Параметры конфигурации Бастиона
В разделах этой статьи идет речь о ресурсах и параметрах Бастиона Azure.
Номера SKU
Номер SKU также известен как уровень. Бастион Azure поддерживает несколько уровней SKU. При настройке Бастиона выберите уровень SKU. Вы решите уровень SKU на основе функций, которые вы хотите использовать. В следующей таблице показана доступность функций для каждого соответствующего SKU.
| Функция | Номер SKU разработчика | SKU "Базовый" | SKU "Стандартный" | SKU "Премиум" |
|---|---|---|---|---|
| Подключение на целевые виртуальные машины в одной виртуальной сети | Да | Да | Да | Да |
| Подключение к целевым виртуальным машинам в одноранговых виртуальных сетях | No | Да | Да | Да |
| Поддержка одновременных подключений | No | Да | Да | Да |
| Доступ к закрытым ключам виртуальной машины Linux в Azure Key Vault (AKV) | No | Да | Да | Да |
| Подключение к виртуальной машине Linux с помощью SSH | Да | Да | Да | Да |
| Подключение к виртуальной машине Windows с помощью RDP | Да | Да | Да | Да |
| Подключение к виртуальной машине Linux с помощью RDP | No | No | Да | Да |
| Подключение к виртуальной машине Windows с помощью SSH | No | No | Да | Да |
| Определение настраиваемого входящего порта | No | No | Да | Да |
| Подключение на виртуальные машины с помощью Azure CLI | No | No | Да | Да |
| Масштабирование узлов | No | No | Да | Да |
| Отправка или скачивание файлов | No | No | Да | Да |
| Проверка подлинности Kerberos | No | Да | Да | Да |
| Ссылка, доступная для общего доступа | No | No | Да | Да |
| Подключение на виртуальные машины с помощью IP-адреса | No | No | Да | Да |
| Аудиовыход виртуальной машины | Да | Да | Да | Да |
| Отключение копирования и вставки (веб-клиенты) | No | No | Да | Да |
| Запись сеанса | No | No | No | Да |
| Развертывание только для частного использования | No | No | No | Да |
Номер SKU разработчика
Номер SKU разработчика Бастиона — это бесплатный, упрощенный номер SKU. Этот номер SKU идеально подходит для пользователей разработки и тестирования, которые хотят безопасно подключиться к виртуальным машинам, но не требуют дополнительных функций Бастиона или масштабирования узлов. С помощью номера SKU разработчика можно подключиться к одной виртуальной машине Azure одновременно с помощью страницы подключения к виртуальной машине.
При развертывании Бастиона с помощью SKU разработчика требования к развертыванию отличаются от требований при развертывании с помощью других номеров SKU. Как правило, при создании узла бастиона узел развертывается в AzureBastionSubnet в виртуальной сети. Узел Бастиона предназначен для использования. При использовании SKU разработчика узел бастиона не развертывается в виртуальной сети и не нужен AzureBastionSubnet. Однако узел бастиона SKU разработчика не является выделенным ресурсом. Вместо этого это часть общего пула.
Так как ресурс бастиона SKU разработчика не выделен, возможности SKU разработчика ограничены. См. раздел SKU параметров конфигурации Бастиона для функций, перечисленных по номеру SKU. Вы всегда можете обновить номер SKU разработчика до более высокого номера SKU, если вам потребуется поддержка дополнительных функций. См. статью об обновлении номера SKU.
Номер SKU разработчика в настоящее время доступен в следующих регионах:
- Центральная часть США (EUAP)
- Восточная часть США 2 (EUAP)
- Центрально-западная часть США
- Центрально-северная часть США
- Западная часть США
- Северная Европа
Примечание.
Пиринг виртуальных сетей в настоящее время не поддерживается для SKU разработчика.
Номер SKU уровня "Премиум" (предварительная версия)
Номер SKU уровня "Премиум" — это новый номер SKU, который поддерживает функции бастиона бастиона, такие как запись сеансов и бастион только для частного использования. При развертывании бастиона выберите только номер SKU уровня "Премиум", если вам нужны поддерживаемые функции.
Указание SKU
| Способ | Значение SKU | Ссылки. |
|---|---|---|
| Портал Azure | Уровень — разработчик | Краткое руководство |
| Портал Azure | Уровень: "Базовый" | Краткое руководство |
| Портал Azure | Уровень — базовый или более высокий | Руководство |
| Azure PowerShell | Уровень — базовый или более высокий | Практическое руководство |
| Azure CLI | Уровень — базовый или более высокий | Практическое руководство |
Обновление SKU
Вы всегда можете обновить номер SKU, чтобы добавить дополнительные функции. Дополнительные сведения см. в статье об обновлении номера SKU.
Примечание.
Понижение уровня SKU не поддерживается. Чтобы перейти на более раннюю версию, необходимо удалить и повторно создать Бастион Azure.
Подсеть Бастиона Azure
Внимание
Для ресурсов Бастиона Azure, развернутых 2 ноября 2021 г. или после этой даты, минимальный размер AzureBastionSubnet должен составлять /26 или больше (/25, /24 и т. д.). Все ресурсы Бастиона Azure, развернутые в подсетях размером /27 до этой даты, не затрагиваются этим изменением и будут продолжать работать. Однако мы настоятельно рекомендуем увеличить размер любого существующего AzureBastionSubnet до /26, если вы решите воспользоваться преимуществами масштабирования узла в будущем.
При развертывании Бастиона Azure с помощью любого номера SKU разработчика бастион требует выделенной подсети с именем AzureBastionSubnet. Эту подсеть необходимо создать в той же виртуальной сети, где необходимо развернуть Бастион Azure. Подсеть должна иметь следующую конфигурацию:
- Именем подсети должно быть AzureBastionSubnet.
- Размер подсети должен быть /26 или больше (/25, /24 и т. д.).
- Для масштабирования узла рекомендуется использовать подсеть размером /26 или более крупную. При использовании подсети меньшего размера количество единиц масштабирования ограничено. Дополнительные сведения см. в разделе о масштабировании узла этой статьи.
- Подсеть должна находиться в той же виртуальной сети и группе ресурсов, что и узел бастиона.
- Подсеть не может содержать другие ресурсы.
Вы можете настроить этот параметр, используя следующие методы:
| Способ | Значение | Ссылки. |
|---|---|---|
| Портал Azure | Подсеть | Краткое руководство Руководство |
| Azure PowerShell | -subnetName | командлет |
| Azure CLI | --subnet-name | command |
Общедоступный IP-адрес
Для развертываний Бастиона Azure, кроме SKU разработчика и только частного, требуется общедоступный IP-адрес. Общедоступный IP-адрес должен иметь следующую конфигурацию:
- Номер SKU общедоступного IP-адреса должен принадлежать к типу Стандартный.
- Метод назначения или распределения общедоступного IP-адреса должен быть статическим.
- Имя общедоступного IP-адреса — это имя ресурса, по которому можно будет ссылаться на этот общедоступный IP-адрес.
- Вы можете использовать уже созданный общедоступный IP-адрес, если он соответствует критериям, необходимым бастиону Azure, и он еще не используется.
Вы можете настроить этот параметр, используя следующие методы:
| Способ | Значение | Ссылки. |
|---|---|---|
| Портал Azure | Общедоступный IP-адрес | Портал Azure |
| Azure PowerShell | -PublicIpAddress | командлет |
| Azure CLI | --public-ip create | command |
Экземпляры и масштабирование узла
Экземпляр — это оптимизированная виртуальная машина Azure, которая создается при настройке Бастиона Azure. Он полностью управляется Azure и выполняет все процессы, необходимые для Бастиона Azure. Экземпляр также называется единицей масштабирования. Подключение к виртуальным машинам клиента осуществляется через экземпляр Бастион Azure. При настройке Бастиона Azure с помощью номера SKU "Базовый" создаются два экземпляра. Если используется номер SKU категории "Стандартный" или более поздней версии, можно указать количество экземпляров (не менее двух экземпляров). Этот процесс называется масштабированием узла.
Каждый экземпляр может поддерживать 20 одновременных подключений RDP и 40 одновременных подключений SSH для средних рабочих нагрузок (дополнительные сведения см. в разделе об ограничениях и квотах подписки Azure). Количество подключений на экземпляры зависит от того, какие действия вы выполняете при подключении к клиентской виртуальной машине. Например, если вы делаете что-то интенсивное, он создает большую нагрузку для обработки экземпляра. После превышения одновременных сеансов требуется еще одна единица масштабирования (экземпляр).
Экземпляры создаются в AzureBastionSubnet. Чтобы обеспечить масштабирование узла, AzureBastionSubnet должен быть равен /26 или больше. При использовании меньшей подсети количество экземпляров, которые можно создать, ограничено. Дополнительные сведения об AzureBastionSubnet см. в разделе о подсетях этой статьи.
Вы можете настроить этот параметр, используя следующие методы:
| Способ | Значение | Ссылки. | Требуется номер SKU уровня "Стандартный" или более поздней версии |
|---|---|---|---|
| Портал Azure | Число экземпляров | Практическое руководство | Да |
| Azure PowerShell | ScaleUnit | Практическое руководство | Да |
Пользовательские порты
Вы можете указать порт, который хотите использовать для подключения к виртуальным машинам. По умолчанию для подключения используются следующие входящие порты: 3389 (протокол RDP) и 22 (протокол SSH). Если вы используете пользовательский порт, укажите его значение при подключении к виртуальной машине.
Пользовательские значения портов поддерживаются только для номера SKU уровня "Стандартный" или более поздней версии.
Ссылка, доступная для общего доступа
Функция Бастиона Shareable Link позволяет пользователям подключаться к целевому ресурсу с помощью Бастиона Azure без доступа к портал Azure.
Когда пользователь без учетных данных Azure щелкает общую ссылку, откроется веб-страница, которая предложит пользователю войти в целевой ресурс через RDP или SSH. Пользователи проходят проверку подлинности с помощью имени пользователя и пароля или закрытого ключа в зависимости от того, что вы настроили в портал Azure для этого целевого ресурса. Пользователи могут подключаться к тем же ресурсам, к которым можно подключиться с помощью Бастиона Azure: виртуальных машин или масштабируемого набора виртуальных машин.
| Способ | Значение | Ссылки. | Требуется номер SKU уровня "Стандартный" или более поздней версии |
|---|---|---|---|
| Портал Azure | Ссылка для общего доступа | Настройка | Да |
Развертывание только для частного использования
Развертывания бастиона только для частных пользователей блокируют сквозные рабочие нагрузки, создавая развертывание бастиона, отличное от Интернета, которое позволяет получить доступ только к частному IP-адресу. Развертывания бастиона только для частных служб не разрешают подключения к узлу бастиона через общедоступный IP-адрес. В отличие от этого, обычное развертывание Бастиона Azure позволяет пользователям подключаться к узлу бастиона с помощью общедоступного IP-адреса. Дополнительные сведения см. в разделе "Развертывание бастиона как только для частного".
Запись сеанса
Если включена функция записи сеанса Бастиона Azure, можно записать графические сеансы для подключений к виртуальным машинам (RDP и SSH) через узел бастиона. После закрытия или отключения сеанса записанные сеансы хранятся в контейнере BLOB-объектов в учетной записи хранения (через URL-адрес SAS). При отключении сеанса вы можете получить доступ к записанным сеансам и просмотреть их в портал Azure на странице записи сеансов. Для записи сеанса требуется номер SKU Бастиона Premium. Дополнительные сведения см. в записи сеанса Бастиона.
Зоны доступности
Некоторые регионы поддерживают возможность развертывания Бастиона Azure в зоне доступности (или нескольких для избыточности зоны). Чтобы развернуть зонально, разверните бастион с помощью вручную указанных параметров (не развертывайте с помощью автоматических параметров по умолчанию). Укажите требуемые зоны доступности во время развертывания. Вы не можете изменить зональную доступность после развертывания Бастиона.
Поддержка Зоны доступности в настоящее время доступна в предварительной версии. Во время предварительной версии доступны следующие регионы:
- Восточная часть США
- Восточная Австралия
- Восточная часть США 2
- Центральная часть США
- Центральный Катар
- Северная часть ЮАР
- Западная Европа
- западная часть США 2
- Северная Европа
- Центральная Швеция
- южная часть Соединенного Королевства
- Центральная Канада
Следующие шаги
Часто задаваемые вопросы см. в разделе с вопросами и ответами о Бастионе Azure.