Over De configuratie-instellingen van Bastion
In de secties in dit artikel worden de resources en instellingen voor Azure Bastion besproken.
SKU's
Een SKU wordt ook wel een laag genoemd. Azure Bastion ondersteunt meerdere SKU-lagen. Wanneer u Bastion configureert, selecteert u de SKU-laag. U bepaalt de SKU-laag op basis van de functies die u wilt gebruiken. In de volgende tabel ziet u de beschikbaarheid van functies per bijbehorende SKU.
| Functie | Ontwikkelaars-SKU | Basis-SKU | Standaard SKU | Premium SKU |
|---|---|---|---|---|
| Verbinding maken op virtuele machines in hetzelfde virtuele netwerk | Ja | Ja | Ja | Ja |
| Verbinding maken voor doel-VM's in gekoppelde virtuele netwerken | Nr. | Ja | Ja | Ja |
| Ondersteuning voor gelijktijdige verbindingen | Nr. | Ja | Ja | Ja |
| Toegang tot persoonlijke linux-VM-sleutels in Azure Key Vault (AKV) | Nr. | Ja | Ja | Ja |
| Verbinding maken naar linux-VM met behulp van SSH | Ja | Ja | Ja | Ja |
| Verbinding maken naar windows-VM met behulp van RDP | Ja | Ja | Ja | Ja |
| Verbinding maken naar linux-VM met behulp van RDP | Nee | No | Ja | Ja |
| Verbinding maken naar windows-VM met behulp van SSH | Nee | No | Ja | Ja |
| Aangepaste binnenkomende poort opgeven | Nee | No | Ja | Ja |
| Verbinding maken naar VM's met behulp van Azure CLI | Nee | No | Ja | Ja |
| Host schalen | Nee | No | Ja | Ja |
| Bestanden uploaden of downloaden | Nee | No | Ja | Ja |
| Kerberos-verificatie | Nr. | Ja | Ja | Ja |
| Deelbare koppeling | Nee | No | Ja | Ja |
| Verbinding maken via IP-adres naar VM's | Nee | No | Ja | Ja |
| VM-audio-uitvoer | Ja | Ja | Ja | Ja |
| Kopiëren/plakken uitschakelen (webclients) | Nee | No | Ja | Ja |
| Sessie-opname | Nee | No | No | Ja |
| Alleen-privé-implementatie | Nee | No | No | Ja |
Ontwikkelaars-SKU
De Bastion Developer SKU is een gratis, lichtgewicht SKU. Deze SKU is ideaal voor Dev/Test-gebruikers die veilig verbinding willen maken met hun VM's, maar geen extra Bastion-functies of hostschalen nodig hebben. Met de ontwikkelaars-SKU kunt u rechtstreeks via de pagina verbinding maken met één Virtuele Azure-machine tegelijk.
Wanneer u Bastion implementeert met behulp van de ontwikkelaars-SKU, zijn de implementatievereisten anders dan wanneer u implementeert met behulp van andere SKU's. Wanneer u een bastionhost maakt, wordt een host doorgaans geïmplementeerd in het AzureBastionSubnet in uw virtuele netwerk. De Bastion-host is toegewezen voor uw gebruik. Wanneer u de Developer-SKU gebruikt, wordt een bastionhost niet geïmplementeerd in uw virtuele netwerk en hebt u geen AzureBastionSubnet nodig. De bastionhost voor de ontwikkelaars-SKU is echter geen toegewezen resource. In plaats daarvan maakt het deel uit van een gedeelde pool.
Omdat de bastionresource developer-SKU niet is toegewezen, zijn de functies voor de ontwikkelaars-SKU beperkt. Zie de sectie Bastion-configuratie-instellingen SKU voor functies die worden vermeld door SKU. U kunt de developer-SKU altijd upgraden naar een hogere SKU als u meer functies wilt ondersteunen. Zie Een SKU upgraden.
De ontwikkelaars-SKU is momenteel beschikbaar in de volgende regio's:
- VS - centraal EUAP
- VS - oost 2 EUAP
- VS - west-centraal
- VS - noord-centraal
- VS - west
- Europa - noord
Notitie
VNet-peering wordt momenteel niet ondersteund voor de ontwikkelaars-SKU.
Premium SKU (preview)
De Premium-SKU is een nieuwe SKU die ondersteuning biedt voor Bastion-functies zoals Sessieopname en Alleen-privé bastion. Wanneer u bastion implementeert, selecteert u alleen de Premium-SKU als u de functies nodig hebt die worden ondersteund.
SKU opgeven
| Wijze | SKU-waarde | Koppelingen |
|---|---|---|
| Azure Portal | Laag - Ontwikkelaar | Snelstartgids |
| Azure Portal | Laag - Basic | Snelstartgids |
| Azure Portal | Laag - Basic of hoger | Zelfstudie |
| Azure PowerShell | Laag - Basic of hoger | Ondersteuning |
| Azure-CLI | Laag - Basic of hoger | Ondersteuning |
Een SKU upgraden
U kunt altijd een SKU upgraden om meer functies toe te voegen. Zie Een SKU upgraden voor meer informatie.
Notitie
Het downgraden van een SKU wordt niet ondersteund. Als u een downgrade wilt uitvoeren, moet u Azure Bastion verwijderen en opnieuw maken.
Azure Bastion-subnet
Belangrijk
Voor Azure Bastion-resources die zijn geïmplementeerd op of na 2 november 2021, is de minimale grootte van AzureBastionSubnet /26 of groter (/25, /24, enzovoort). Alle Azure Bastion-resources die zijn geïmplementeerd in subnetten van grootte /27 vóór deze datum, worden niet beïnvloed door deze wijziging en blijven werken, maar we raden u ten zeerste aan om de grootte van bestaande AzureBastionSubnet te vergroten naar /26 voor het geval u ervoor kiest om in de toekomst te profiteren van het schalen van hosts.
Wanneer u Azure Bastion implementeert met behulp van een SKU behalve de developer-SKU, vereist Bastion een toegewezen subnet met de naam AzureBastionSubnet. U moet dit subnet maken in hetzelfde virtuele netwerk waarnaar u Azure Bastion wilt implementeren. Het subnet moet de volgende configuratie hebben:
- Subnetnaam moet AzureBastionSubnet zijn.
- Subnetgrootte moet /26 of groter zijn (/25, /24 enzovoort).
- Voor het schalen van de host wordt een /26 of groter subnet aanbevolen. Het gebruik van een kleinere subnetruimte beperkt het aantal schaaleenheden. Zie de sectie Host schalen van dit artikel voor meer informatie.
- Het subnet moet zich in hetzelfde virtuele netwerk en dezelfde resourcegroep bevinden als de bastionhost.
- Het subnet kan geen andere resources bevatten.
U kunt deze instelling configureren met behulp van de volgende methoden:
| Wijze | Weergegeven als | Koppelingen |
|---|---|---|
| Azure Portal | Subnet | Snelstartgids Zelfstudie |
| Azure PowerShell | -subnetName | Cmdlet |
| Azure-CLI | --subnetnaam | Opdracht |
Openbaar IP-adres
Azure Bastion-implementaties, met uitzondering van ontwikkelaars-SKU en alleen privé, vereisen een openbaar IP-adres. Het openbare IP-adres moet de volgende configuratie hebben:
- De openbare IP-adres-SKU moet standaard zijn.
- De toewijzing/toewijzingsmethode van het openbare IP-adres moet statisch zijn.
- De naam van het openbare IP-adres is de resourcenaam waarmee u naar dit openbare IP-adres wilt verwijzen.
- U kunt ervoor kiezen om een openbaar IP-adres te gebruiken dat u al hebt gemaakt, zolang het voldoet aan de criteria die vereist zijn voor Azure Bastion en nog niet in gebruik is.
U kunt deze instelling configureren met behulp van de volgende methoden:
| Wijze | Weergegeven als | Koppelingen |
|---|---|---|
| Azure Portal | Openbaar IP-adres | Azure-portal |
| Azure PowerShell | -PublicIpAddress | Cmdlet |
| Azure-CLI | --public-ip create | Opdracht |
Instanties en hostschalen
Een exemplaar is een geoptimaliseerde Azure-VM die wordt gemaakt wanneer u Azure Bastion configureert. Het wordt volledig beheerd door Azure en voert alle processen uit die nodig zijn voor Azure Bastion. Een exemplaar wordt ook wel een schaaleenheid genoemd. U maakt verbinding met client-VM's via een Azure Bastion-exemplaar. Wanneer u Azure Bastion configureert met behulp van de Basic SKU, worden er twee exemplaren gemaakt. Als u de Standard-SKU of hoger gebruikt, kunt u het aantal exemplaren opgeven (met minimaal twee exemplaren). Dit wordt hostschalen genoemd.
Elk exemplaar kan ondersteuning bieden voor 20 gelijktijdige RDP-verbindingen en 40 gelijktijdige SSH-verbindingen voor middelgrote workloads (zie Limieten en quota voor Azure-abonnementen voor meer informatie). Het aantal verbindingen per instantie is afhankelijk van de acties die u uitvoert wanneer u verbinding maakt met de client-VM. Als u bijvoorbeeld iets gegevensintensief doet, wordt er een grotere belasting gemaakt voor het exemplaar dat moet worden verwerkt. Zodra de gelijktijdige sessies zijn overschreden, is een andere schaaleenheid (instantie) vereist.
Exemplaren worden gemaakt in het AzureBastionSubnet. Als u het schalen van de host wilt toestaan, moet het AzureBastionSubnet /26 of groter zijn. Als u een kleiner subnet gebruikt, beperkt u het aantal exemplaren dat u kunt maken. Zie de sectie subnetten in dit artikel voor meer informatie over het AzureBastionSubnet.
U kunt deze instelling configureren met behulp van de volgende methoden:
| Wijze | Weergegeven als | Koppelingen | Vereist standard-SKU of hoger |
|---|---|---|---|
| Azure Portal | Aantal exemplaren | Ondersteuning | Ja |
| Azure PowerShell | ScaleUnit | Ondersteuning | Ja |
Aangepaste poorten
U kunt de poort opgeven die u wilt gebruiken om verbinding te maken met uw VM's. Standaard zijn de binnenkomende poorten die worden gebruikt om verbinding te maken 3389 voor RDP en 22 voor SSH. Als u een aangepaste poortwaarde configureert, geeft u die waarde op wanneer u verbinding maakt met de virtuele machine.
Aangepaste poortwaarden worden alleen ondersteund voor de Standard-SKU of hoger.
Deelbare koppeling
Met de functie Bastion Shareable Link kunnen gebruikers verbinding maken met een doelresource met behulp van Azure Bastion zonder toegang te krijgen tot Azure Portal.
Wanneer een gebruiker zonder Azure-referenties op een deelbare koppeling klikt, wordt er een webpagina geopend waarin de gebruiker wordt gevraagd zich via RDP of SSH aan te melden bij de doelresource. Gebruikers verifiëren met een gebruikersnaam en wachtwoord of persoonlijke sleutel, afhankelijk van wat u hebt geconfigureerd in Azure Portal voor die doelresource. Gebruikers kunnen verbinding maken met dezelfde resources waarmee u momenteel verbinding kunt maken met Azure Bastion: VM's of virtuele-machineschaalsets.
| Wijze | Weergegeven als | Koppelingen | Vereist standard-SKU of hoger |
|---|---|---|---|
| Azure Portal | Deelbare koppeling | Configureerer | Ja |
Alleen-privé-implementatie
Privé-only Bastion-implementaties vergrendelen workloads end-to-end door een niet-internetrouteerbare implementatie van Bastion te maken die alleen toegang tot privé-IP-adressen toestaat. Bastion-implementaties met alleen privétoegang staan geen verbindingen met de bastionhost toe via een openbaar IP-adres. Met een reguliere Azure Bastion-implementatie kunnen gebruikers echter verbinding maken met de bastionhost met behulp van een openbaar IP-adres. Zie Bastion implementeren als alleen-privé voor meer informatie.
Sessie-opname
Wanneer de functie opname van Azure Bastion-sessies is ingeschakeld, kunt u de grafische sessies opnemen voor verbindingen die zijn gemaakt met virtuele machines (RDP en SSH) via de bastionhost. Nadat de sessie is gesloten of de verbinding is verbroken, worden opgenomen sessies opgeslagen in een blobcontainer binnen uw opslagaccount (via SAS-URL). Wanneer de verbinding met een sessie is verbroken, kunt u uw opgenomen sessies openen en weergeven in Azure Portal op de pagina Sessieopname. Voor sessieopname is de Bastion Premium-SKU vereist. Zie De opname van Bastion-sessies voor meer informatie.
Beschikbaarheidszones
Sommige regio's ondersteunen de mogelijkheid om Azure Bastion te implementeren in een beschikbaarheidszone (of meerdere, voor zoneredundantie). Als u Bastion wilt implementeren met behulp van handmatig opgegeven instellingen (niet implementeren met behulp van de automatische standaardinstellingen). Geef de gewenste beschikbaarheidszones op het moment van de implementatie op. U kunt de zonegebonden beschikbaarheid niet wijzigen nadat Bastion is geïmplementeerd.
Ondersteuning voor Beschikbaarheidszones is momenteel beschikbaar als preview-versie. Tijdens de preview zijn de volgende regio's beschikbaar:
- VS - oost
- Australië - oost
- VS - oost 2
- Central US
- Qatar - centraal
- Zuid-Afrika - noord
- Europa -west
- VS - west 2
- Europa - noord
- Zweden - centraal
- Verenigd Koninkrijk Zuid
- Canada - midden
Volgende stappen
Zie de veelgestelde vragen over Azure Bastion voor veelgestelde vragen.