設定 Bastion 工作階段錄製 (預覽)
本文可協助您設定 Bastion 會話錄製。 啟用 Azure Bastion 作業階段錄製 功能時,您可以透過防禦主機記錄與虛擬機連線的圖形工作階段(RDP 和 SSH)。 會話關閉或中斷連線之後,記錄的會話會儲存在記憶體帳戶內的 Blob 容器中(透過 SAS URL)。 當工作階段中斷連線時,您可以在 [工作階段錄製] 頁面上的 [Azure 入口網站 中存取和檢視錄製的會話。 會話錄製需要 Bastion 進階版 SKU。
開始之前
下列各節概述 Bastion 會話錄製的考慮、限制和必要條件。
考慮和限制
- 此功能需要 進階版 SKU。
- 目前無法透過原生用戶端使用會話錄製。
- 會話錄製一次支援一個容器/記憶體帳戶。
- 在防禦主機上啟用會話錄製時,Bastion 會記錄所有經過已啟用錄製的防禦主機的會話。
先決條件
- Azure Bastion 會部署到您的虛擬網路。 如需步驟,請參閱 教學課程 - 使用指定的設定 部署 Bastion。
- Bastion 必須設定為針對此功能使用 進階版 SKU。 當您設定會話錄製功能時,您可以從較低的 SKU 更新至 進階版 SKU。 若要檢查您的 SKU 並視需要升級,請參閱 檢視或升級 SKU。
- 您連接的虛擬機必須部署至包含防禦主機的虛擬網路,或直接對等互連至 Bastion 虛擬網路的虛擬網路。
啟用會話錄製
您可以在建立新的防禦主機資源時啟用會話錄製,也可以在部署 Bastion 之後稍後進行設定。
新 Bastion 部署的步驟
當您手動設定和部署防禦主機時,您可以在部署時指定 SKU 層和功能。 如需部署 Bastion 的完整步驟,請參閱 使用指定的設定部署 Bastion。
- 在 Azure 入口網站 中,選取 [建立資源]。
- 搜尋 Azure Bastion ,然後選取 [ 建立]。
- 使用手動設定填入值,請務必選取 進階版 SKU。
- 在 [進階] 索引標籤中,選取 [會話錄製] 以啟用會話錄製功能。
- 檢閱詳細數據,然後選取 [ 建立]。 Bastion 會立即開始建立防禦主機。 此程式需要約 10 分鐘才能完成。
現有 Bastion 部署的步驟
如果您已部署 Bastion,請使用下列步驟來啟用會話錄製。
- 在 Azure 入口網站 中,移至您的 Bastion 資源。
- 在 Bastion 頁面上的左窗格中,選取 [ 組態]。
- 在 [組態] 頁面上,針對 [層] 選取 [進階版 尚未選取。 此功能需要 進階版 SKU。
- 從列出的功能中選取 [會話錄製] [預覽]。
- 選取套用。 Bastion 會立即開始更新防禦主機的設定。 更新 大約需要 10 分鐘的時間。
設定記憶體帳戶容器
在本節中,您會設定並指定會話錄製的容器。
在您的資源群組中建立記憶體帳戶。 如需步驟,請參閱建立記憶體帳戶,並使用共用存取簽章將有限存取權授與 Azure 儲存體 資源的存取權。
在儲存體帳戶內,建立容器。 這是您將用來儲存 Bastion 會話錄製的容器。 建議您建立會話錄製的獨佔容器。 如需了解步驟,請參閱建立容器。
在記憶體帳戶的頁面上,於左窗格中展開 [設定]。 選取 [資源分享] [CORS]。
在 Blob 服務下建立新的原則。
將 變更儲存在頁面頂端。
新增或更新SAS URL
若要設定會話錄製,您必須將 SAS URL 新增至 Bastion 會話錄製設定 。 在本節中,您會從容器產生 Blob SAS URL,然後將它上傳至防禦主機。
下列步驟可協助您直接在 [產生 SAS ] 頁面上設定必要的設定。 不過,您可以藉由建立預存存取原則,選擇性地設定部分設定。 接著,您可以將預存存取原則連結至 [產生 SAS] 頁面上的 SAS 令牌。 如果您想要建立預存存取原則,請在存取原則中選取 [許可權] 和 [開始/到期日期和時間],或在 [產生 SAS ] 頁面上。
- 在您的記憶體帳戶頁面上,移至 [數據記憶體 -> 容器]。
- 找出您建立以儲存 Bastion 會話錄製的容器,然後按下容器右側的 3 個點(省略號),然後從下拉式清單中選取 [ 產生 SAS ]。
- 在 [ 產生 SAS] 頁面上,針對 [ 許可權],選取 [ 讀取]、[建立]、[寫入]、[列表]。
- 針對 [開始] 和 [到期日/時間],請使用下列建議:
- 將 [開始時間] 設定為目前時間前至少 15 分鐘。
- 將到期時間設定為未來很長。
- 在 [允許的通訊協定] 下,選取 [僅限 HTTPS]。
- 按一下 [產生 SAS 權杖與 URL]。 您會看到頁面底部產生的 Blob SAS 令牌和 Blob SAS URL。
- 複製 [Blob SAS URL]。
- 移至您的堡壘主機。 在左窗格中,選取 [會話錄製]。
- 在頁面頂端,選取 [新增或更新 SAS URL]。 貼上您的 SAS URL,然後按兩下 [ 上傳]。
檢視錄製
當防禦主機上啟用會話錄製時,會自動錄製會話。 您可以透過整合式網頁播放器在 Azure 入口網站 中檢視錄製內容。
- 在 Azure 入口網站 中,移至您的 Bastion 主機。
- 在左窗格中的 [設定] 下,選取 [會話錄製]。
- SAS URL 應該已經設定(本練習稍早)。 不過,如果您的 SAS URL 過期,或您需要新增 SAS URL,請使用先前的步驟來取得並上傳 Blob SAS URL。
- 選取您想要檢視的 VM 和錄製連結,然後選取 [ 檢視錄製]。