配置 Bastion 会话录制
本文可帮助你配置 Bastion 会话录制。 启用 Azure Bastion 会话录制功能后,可以通过堡垒主机录制与虚拟机(RDP 和 SSH)建立的连接的图形化会话。 会话关闭或断开连接后,所录制的会话将存储在你的存储帐户中的 Blob 容器中(通过 SAS URL)。 会话断开连接后,可以在 Azure 门户中的“会话录制”页上访问和查看录制的会话。 会话录制需要 Bastion Premium SKU。
开始之前
下面的各部分概述了 Bastion 会话录制的注意事项、限制和先决条件。
注意事项和限制
- 此功能需要高级 SKU。
- 目前无法通过原生客户端进行会话录制。
- 会话录制一次支持一个容器/存储帐户。
- 在堡垒主机上启用会话录制后,Bastion 会录制所有通过启用了录制的堡垒主机的会话。
先决条件
- Azure Bastion 已部署到你的虚拟网络。 有关步骤,请参阅教程 - 使用指定的设置部署 Bastion。
- 要想使用此功能,必须将 Bastion 配置为使用高级 SKU。 配置会话录制功能时,你可以从较低的 SKU 更新到高级 SKU。 若要检查 SKU 并根据需要进行升级,请参阅查看或升级 SKU。
- 你连接到的虚拟机必须部署到包含堡垒主机的虚拟网络,或者部署到直接对等互连到 Bastion 虚拟网络的虚拟网络。
启用会话录制
可以在创建新的堡垒主机资源时启用会话录制,也可以在部署 Bastion 后对其进行配置。
进行新的 Bastion 部署的步骤
手动配置和部署堡垒主机时,可以在部署时指定 SKU 层级和功能。 有关部署 Bastion 的完整步骤,请参阅使用指定的设置部署 Bastion。
- 在 Azure 门户中,选择“创建资源”。
- 搜索“Azure Bastion”并选择“创建”。
- 使用手动设置填写值,确保选择“高级 SKU”。
- 在“高级”选项卡中,选择“会话录制”以启用会话录制功能。
- 复查你的详细信息,然后选择“创建”。 Bastion 会立即开始创建堡垒主机。 此过程需要大约 10 分钟才能完成。
适用于现有 Bastion 部署的步骤
如果你已经部署了 Bastion,请使用以下步骤来启用会话录制。
- 在 Azure 门户中,转到你的 Bastion 资源。
- 在 Bastion 页上,在左窗格中选择“配置”。
- 在“配置”页上,对于“层级”,请选择“高级”(如果尚未选择)。 此功能需要高级 SKU。
- 从列出的功能中选择“会话录制(预览版)”。
- 选择“应用”。 Bastion 会立即开始更新堡垒主机的设置。 更新需要花费大约 10 分钟。
配置存储帐户容器
在本部分中,你将设置并指定用于会话录制的容器。
在你的资源组中创建一个存储帐户。 有关步骤,请参阅创建存储帐户和使用共享访问签名 (SAS) 授予对 Azure 存储资源的有限访问权限。
在存储帐户中创建“容器”。 这是将用于存储你的 Bastion 会话录制的容器。 建议为会话录制创建专用的容器。 有关详细步骤,请参阅创建容器。
在你的存储帐户的页面上,在左窗格中展开“设置”。 选择“资源共享 (CORS)”。
在 BLOB 服务下创建新策略,并将更改保存在页面顶部。
名称 值 允许的源 https://
后跟堡垒的完整 DNS 名称,并以bst-
开头。 请记住,这些值区分大小写。允许的方法 GET 允许的标头 * 公开的标题 * 最长时间 86400
添加或更新 SAS URL
若要配置会话录制,必须将 SAS URL 添加到 Bastion 会话录制配置。 在本部分中,你将从容器生成 Blob SAS URL,然后将其上传到你的堡垒主机。
以下步骤可帮助你直接在“生成 SAS”页上配置所需的设置。 不过,你也可以通过创建存储的访问策略来配置某些设置。 然后,可以在“生成 SAS”页上将存储的访问策略链接到 SAS 令牌。 如果要创建存储的访问策略,请在访问策略中或在“生成 SAS”页上选择“权限”和“开始/到期日期和时间”。
- 在你的存储帐户页上,转到“数据存储”->“容器”。
- 找到你创建的用于存储 Bastion 会话录制的容器,然后单击容器右侧的 3 个点(省略号),并从下拉列表中选择“生成 SAS”。
- 在“生成 SAS”页上,对于“权限”,请选择“读取”、“创建”、“写入”、“列出”。
- 对于“开始和到期日期/时间”,请使用以下建议:
- 将“开始时间”设置为在当前时间之前至少 15 分钟。
- 将“到期时间”设置为离现在很远的将来时间。
- 在“允许的协议”下,仅选择“HTTPS”。
- 单击“生成 SAS 令牌和 URL”。 你会在页面底部看到生成的 Blob SAS 令牌和 Blob SAS URL。
- 复制 Blob SAS URL。
- 转到你的堡垒主机。 在左窗格中,选择“会话录制”。
- 在页面顶部,选择“添加或更新 SAS URL”。 粘贴你的 SAS URL,然后单击“上传”。
查看录制内容
在堡垒主机上启用会话录制后,会自动录制会话。 可以在 Azure 门户中通过集成的 Web 播放器查看录制内容。
- 在 Azure 门户中,转到你的 Bastion 主机。
- 在左侧窗格的“设置”下选择“会话录制”。
- 应当已配置了 SAS URL(在本练习的先前部分中)。 但是,如果 SAS URL 已过期,或者需要添加 SAS URL,请使用前面的步骤获取和上传 Blob SAS URL。
- 选择要查看的 VM 和录制内容链接,然后选择“查看录制内容”。
后续步骤
有关 Bastion 的其他信息,请查看 Bastion 常见问题解答。