關於 Bastion 組態設定
本文中的各節將討論 Azure Bastion 的資源和設定。
SKU
SKU 也稱為「階層」。 Azure Bastion 支援多個 SKU 層。 設定 Bastion 時,您會選取 SKU 層。 您可以根據要使用的功能來決定 SKU 層。 下表顯示每種對應 SKU 的功能可用性。
| 功能 | 開發人員 SKU | 基本 SKU | 標準 SKU | 進階 SKU |
|---|---|---|---|---|
| 連線至相同虛擬網路中的目標 VM | Yes | .是 | .是 | Yes |
| 連線至對等互連虛擬網路中的目標 VM | No | 是 | 是 | 是 |
| 支援並行連線 | No | .是 | .是 | Yes |
| 在 Azure Key Vault (AKV) 中存取 Linux VM 私密金鑰 | No | .是 | .是 | Yes |
| 使用 SSH 連線至 Linux VM | Yes | 是 | 是 | 是 |
| 使用 RDP 連線至 Windows VM | Yes | 是 | 是 | 是 |
| 使用 RDP 連線至 Linux VM | No | 無 | .是 | Yes |
| 使用 SSH 連線至 Windows VM | No | 無 | 是 | 是 |
| 指定自訂輸入連接埠 | No | 無 | 是 | 是 |
| 使用 Azure CLI 連線至 VM | No | 無 | 是 | 是 |
| 主機調整 | No | 無 | 是 | 是 |
| 上傳或下載檔案 | No | 無 | 是 | 是 |
| Kerberos 驗證 | No | 是 | 是 | 是 |
| 可共用連結 | No | 無 | 是 | 是 |
| 透過 IP 位址連線到 VM | No | 無 | 是 | 是 |
| VM 音訊輸入 | Yes | .是 | .是 | Yes |
| 停用複製/貼上 (Web 型用戶端) | No | 無 | .是 | Yes |
| 會話錄製 | No | 無 | 無 | 是 |
| 僅限私人部署 | No | 無 | 無 | 是 |
開發人員 SKU
Bastion 開發人員 SKU 是免費的輕量型 SKU。 此 SKU 適用於想要安全地連線到其 VM,但不需要其他 Bastion 功能或主機調整的使用者。 您可以透過開發人員 SKU,透過虛擬機連線頁面,一次直接連線到一個 Azure VM。
當您使用開發人員 SKU 部署 Bastion 時,部署需求會與使用其他 SKU 進行部署時有所不同。 通常在您建立堡壘主機時,會將主機部署到虛擬網路中的 AzureBastionSubnet。 堡壘主機僅供您使用。 當您使用開發人員 SKU 時,防禦主機不會部署到您的虛擬網路,而且您不需要 AzureBastionSubnet。 不過,開發人員 SKU 防禦主機不是專用資源。 相反地,它是共用集區的一部分。
因為開發人員 SKU 堡壘資源不是專用的,因此開發人員 SKU 的功能會受到限制。 如需 SKU 所列的功能,請參閱 Bastion 組態設定 SKU 一節。 如果您需要支援更多功能,您隨時可以將開發人員 SKU 升級至較高的 SKU。 請參閱升級 SKU。
開發人員 SKU 目前可在下列區域中使用:
- 美國中部 EUAP
- 美國東部 2 EUAP
- 美國中西部
- 美國中北部
- 美國西部
- 北歐
注意
開發人員 SKU 目前不支援 VNet 對等互連。
進階版 SKU (預覽)
進階版 SKU 是支援 Bastion 功能的新 SKU,例如會話錄製和僅限私人防禦。 當您部署防禦時,只有在您需要支援的功能時,才選取 進階版 SKU。
指定 SKU
| 方法 | SKU 值 | 連結 |
|---|---|---|
| Azure 入口網站 | 服務層級 - 開發人員 | 快速入門 |
| Azure 入口網站 | 服務層級 - 基本 | 快速入門 |
| Azure 入口網站 | 階層 - 基本或更新版本 | 教學課程 |
| Azure PowerShell | 階層 - 基本或更新版本 | 操作說明 |
| Azure CLI | 階層 - 基本或更新版本 | 操作說明 |
升級 SKU
您一律可以升級 SKU 以新增更多功能。 如需詳細資訊,請參閱 升級 SKU。
注意
不支援降級 SKU。 若要降級,您必須刪除並重新建立 Azure Bastion。
Azure Bastion 子網路
重要
針對在 2021 年 11 月 2 日或之後部署的 Azure Bastion 資源,最小的 AzureBastionSubnet 大小為 /26 或更大 (/25、/24 等)。 在此日期之前,部署在大小為 /27 的子網路中的所有 Azure Bastion 資源都不受此變更影響,仍持續運作,但強烈建議您將任何現有的 AzureBastionSubnet 大小提高至 /26,以利您在未來選擇使用主機調整。
當您使用開發人員 SKU 以外的任何 SKU 部署 Azure Bastion 時,Bastion 需要名為 AzureBastionSubnet 的專用子網路。 您必須在想要部署 Azure Bastion 的相同虛擬網路中建立此子網路。 子網路必須具有下列設定:
- 子網路的名稱必須是 AzureBastionSubnet。
- 子網大小必須是 /26 或更大 (/25、/24 等)。
- 針對主機調整,建議使用 /26 或更大的子網路。 使用較小的子網路空間會限制縮放單位的數目。 如需詳細資訊,請參閱本文的主機調整一節。
- 子網路必須位於與堡壘主機相同的虛擬網路和資源群組中。
- 子網路不能包含其他資源。
您可以使用下列方法來進行此設定:
| 方法 | 值 | 連結 |
|---|---|---|
| Azure 入口網站 | 子網路 | 快速入門 教學課程 |
| Azure PowerShell | -subnetName | Cmdlet |
| Azure CLI | --subnet-name | 命令 |
公用 IP 位址
除了開發人員 SKU 和僅限私人,Azure Bastion 部署需要公用 IP 位址。 公用 IP 必須具有下列設定:
- 公用 IP 位址 SKU 類型必須是標準。
- 公用 IP 位址指派/配置方法必須是靜態。
- 公用 IP 位址名稱是您想要參考此公用 IP 位址所在資源的名稱。
- 您可以選擇使用您已建立的公用 IP 位址,只要其符合 Azure Bastion 所需的準則,且尚未使用中。
您可以使用下列方法來進行此設定:
| 方法 | 值 | 連結 |
|---|---|---|
| Azure 入口網站 | 公用 IP 位址 | Azure 入口網站 |
| Azure PowerShell | -PublicIpAddress | Cmdlet |
| Azure CLI | --public-ip create | 命令 |
執行個體和主機調整
執行個體是您設定 Azure Bastion 時所建立的最佳化 Azure VM。 其完全由 Azure 管理,並執行 Azure Bastion 所需的所有程序。 執行個體也會參考為縮放單位。 您可以透過 Azure Bastion 執行個體連線至用戶端 VM。 當您使用基本 SKU 設定 Azure Bastion 時,系統會建立兩個執行個體。 如果您使用標準 SKU 或更新版本,則可以指定實例數目(最少兩個實例)。 這稱為主機調整。
每個執行個體都可以針對中型工作負載支援 20 個並行 RDP 連線和 40 個並行 SSH 連線 (如需詳細資訊,請參閱 Azure 訂用帳戶限制和配額)。 每個執行個體的連線數目取決於您連線至用戶端 VM 時所採取的動作。 例如,如果您執行時需要大量資料,其會為執行個體建立更大的負載來處理。 超過並行工作階段之後,便需要其他的縮放單位 (執行個體)。
執行個體會在 AzureBastionSubnet 中建立。 若要允許主機調整,AzureBastionSubnet 應為 /26 或更大。 使用較小的子網路會限制您可以建立的執行個體數目。 如需關於 AzureBastionSubnet 的詳細資訊,請參閱本文中的子網路一節。
您可以使用下列方法來進行此設定:
| 方法 | 值 | 連結 | 需要標準 SKU 或更新版本 |
|---|---|---|---|
| Azure 入口網站 | 執行個體計數 | 操作說明 | Yes |
| Azure PowerShell | ScaleUnit | 操作說明 | Yes |
自訂連接埠
您可以指定想要用來連線至 VM 的連接埠。 根據預設,用來連線的輸入連接埠為針對 RDP 為 3389,SSH 則為 22。 如果您設定自訂連接埠值,請在連線至 VM 時指定該值。
標準 SKU 或更新版本僅支援自定義埠值。
可共用連結
Bastion [可共用連結] 功能可讓使用者使用 Azure Bastion 連線到目標資源,而不需存取 Azure 入口網站。
當沒有 Azure 認證的使用者按一下可共用連結時,網頁隨即開啟,提示使用者透過 RDP 或 SSH 登入目標資源。 使用者會使用使用者名稱和密碼或私鑰進行驗證,視您在該目標資源 Azure 入口網站 中設定的內容而定。 使用者可以連線到您目前可使用 Azure Bastion 連線的相同資源:VM 或虛擬機器擴展集。
| 方法 | 值 | 連結 | 需要標準 SKU 或更新版本 |
|---|---|---|---|
| Azure 入口網站 | 可共用連結 | 設定 | Yes |
僅限私人部署
私人專用 Bastion 部署會建立僅允許私人 IP 位址存取的 Bastion 非因特網路由部署,以鎖定端對端工作負載。 僅限私人的 Bastion 部署不允許透過公用 IP 位址連線到防禦主機。 相反地,一般 Azure Bastion 部署可讓使用者使用公用 IP 位址連線到防禦主機。 如需詳細資訊,請參閱 將 Bastion 部署為僅限私人。
會話錄製
啟用 Azure Bastion 作業階段錄製 功能時,您可以透過防禦主機記錄與虛擬機連線的圖形工作階段(RDP 和 SSH)。 會話關閉或中斷連線之後,記錄的會話會儲存在記憶體帳戶內的 Blob 容器中(透過 SAS URL)。 當工作階段中斷連線時,您可以在 [工作階段錄製] 頁面上的 [Azure 入口網站 中存取和檢視錄製的會話。 會話錄製需要 Bastion 進階版 SKU。 如需詳細資訊,請參閱 Bastion 作業階段錄製。
可用性區域
某些區域支援在可用性區域中部署 Azure Bastion 的功能(或多個區域備援)。 若要以分區方式部署,請使用手動指定的設定來部署 Bastion(請勿使用自動預設設定進行部署)。 指定部署時所需的可用性區域。 部署 Bastion 之後,您無法變更區域性可用性。
可用性區域 的支援目前為預覽狀態。 在預覽期間,有下列區域可供使用:
- 美國東部
- 澳大利亞東部
- 美國東部 2
- 美國中部
- 卡達中部
- 南非北部
- 西歐
- 美國西部 2
- 北歐
- 瑞典中部
- 英國南部
- 加拿大中部
下一步
如需常見問題集,請參閱 Azure Bastion 常見問題集。