共用方式為

設定 Bastion 工作階段錄製 (預覽)

  • 發行項

本文可協助您設定 Bastion 會話錄製。 啟用 Azure Bastion 作業階段錄製 功能時,您可以透過防禦主機記錄與虛擬機連線的圖形工作階段(RDP 和 SSH)。 會話關閉或中斷連線之後,記錄的會話會儲存在記憶體帳戶內的 Blob 容器中(透過 SAS URL)。 當工作階段中斷連線時,您可以在 [工作階段錄製] 頁面上的 [Azure 入口網站 中存取和檢視錄製的會話。 會話錄製需要 Bastion 進階版 SKU。

開始之前

下列各節概述 Bastion 會話錄製的考慮、限制和必要條件。

考慮和限制

  • 此功能需要 進階版 SKU。
  • 目前無法透過原生用戶端使用會話錄製。
  • 會話錄製一次支援一個容器/記憶體帳戶。
  • 在防禦主機上啟用會話錄製時,Bastion 會記錄所有經過已啟用錄製的防禦主機的會話。

先決條件

  • Azure Bastion 會部署到您的虛擬網路。 如需步驟,請參閱 教學課程 - 使用指定的設定 部署 Bastion。
  • Bastion 必須設定為針對此功能使用 進階版 SKU。 當您設定會話錄製功能時,您可以從較低的 SKU 更新至 進階版 SKU。 若要檢查您的 SKU 並視需要升級,請參閱 檢視或升級 SKU
  • 您連接的虛擬機必須部署至包含防禦主機的虛擬網路,或直接對等互連至 Bastion 虛擬網路的虛擬網路。

啟用會話錄製

您可以在建立新的防禦主機資源時啟用會話錄製,也可以在部署 Bastion 之後稍後進行設定。

此螢幕快照顯示防禦主機的組態頁面。

新 Bastion 部署的步驟

當您手動設定和部署防禦主機時,您可以在部署時指定 SKU 層和功能。 如需部署 Bastion 的完整步驟,請參閱 使用指定的設定部署 Bastion。

  1. 在 Azure 入口網站 中,選取 [建立資源]。
  2. 搜尋 Azure Bastion ,然後選取 [ 建立]。
  3. 使用手動設定填入值,請務必選取 進階版 SKU
  4. 在 [進階] 索引標籤中,選取 [會話錄製] 以啟用會話錄製功能。
  5. 檢閱詳細數據,然後選取 [ 建立]。 Bastion 會立即開始建立防禦主機。 此程式需要約 10 分鐘才能完成。

現有 Bastion 部署的步驟

如果您已部署 Bastion,請使用下列步驟來啟用會話錄製。

  1. 在 Azure 入口網站 中,移至您的 Bastion 資源。
  2. 在 Bastion 頁面上的左窗格中,選取 [ 組態]。
  3. 在 [組態] 頁面上,針對 [層] 選取 [進階版 尚未選取。 此功能需要 進階版 SKU。
  4. 從列出的功能中選取 [會話錄製] [預覽]。
  5. 選取套用。 Bastion 會立即開始更新防禦主機的設定。 更新 大約需要 10 分鐘的時間。

設定記憶體帳戶容器

在本節中,您會設定並指定會話錄製的容器。

  1. 在您的資源群組中建立記憶體帳戶。 如需步驟,請參閱建立記憶體帳戶,並使用共用存取簽章將有限存取權授與 Azure 儲存體 資源的存取權。

  2. 在儲存體帳戶內,建立容器。 這是您將用來儲存 Bastion 會話錄製的容器。 建議您建立會話錄製的獨佔容器。 如需了解步驟,請參閱建立容器

  3. 在記憶體帳戶的頁面上,於左窗格中展開 [設定]。 選取 [資源分享] [CORS]。

  4. 在 Blob 服務下建立新的原則。

    • 針對 [允許的來源],輸入 HTTPS:// ,後面接著防禦的 DNS 名稱。

    • 針對 [允許的方法],選取 [GET]。

    • 針對 [最大年齡],請使用 86400

    • 您可以將其他欄位保留空白。

      此螢幕快照顯示 Blob 服務設定的資源分享頁面。

  5. 變更儲存在頁面頂端。

新增或更新SAS URL

若要設定會話錄製,您必須將 SAS URL 新增至 Bastion 會話錄製設定 。 在本節中,您會從容器產生 Blob SAS URL,然後將它上傳至防禦主機。

下列步驟可協助您直接在 [產生 SAS ] 頁面上設定必要的設定。 不過,您可以藉由建立預存存取原則,選擇性地設定部分設定。 接著,您可以將預存存取原則連結至 [產生 SAS] 頁面上的 SAS 令牌。 如果您想要建立預存存取原則,請在存取原則中選取 [許可權] 和 [開始/到期日期和時間],或在 [產生 SAS ] 頁面上。

  1. 在您的記憶體帳戶頁面上,移至 [數據記憶體 -> 容器]。
  2. 找出您建立以儲存 Bastion 會話錄製的容器,然後按下容器右側的 3 個點(省略號),然後從下拉式清單中選取 [ 產生 SAS ]。
  3. 在 [ 產生 SAS] 頁面上,針對 [ 許可權],選取 [ 讀取]、[建立]、[寫入]、[列表]。
  4. 針對 [開始] 和 [到期日/時間],請使用下列建議:
    • 將 [開始時間] 設定為目前時間前至少 15 分鐘。
    • 將到期時間設定為未來很長。
  5. 在 [允許的通訊協定] 下,選取 [僅限 HTTPS]。
  6. 按一下 [產生 SAS 權杖與 URL]。 您會看到頁面底部產生的 Blob SAS 令牌和 Blob SAS URL。
  7. 複製 [Blob SAS URL]
  8. 移至您的堡壘主機。 在左窗格中,選取 [會話錄製]。
  9. 在頁面頂端,選取 [新增或更新 SAS URL]。 貼上您的 SAS URL,然後按兩下 [ 上傳]。

檢視錄製

當防禦主機上啟用會話錄製時,會自動錄製會話。 您可以透過整合式網頁播放器在 Azure 入口網站 中檢視錄製內容。

  1. 在 Azure 入口網站 中,移至您的 Bastion 主機。
  2. 在左窗格中的 [設定] 下,選取 [會話錄製]。
  3. SAS URL 應該已經設定(本練習稍早)。 不過,如果您的 SAS URL 過期,或您需要新增 SAS URL,請使用先前的步驟來取得並上傳 Blob SAS URL。
  4. 選取您想要檢視的 VM 和錄製連結,然後選取 [ 檢視錄製]。

下一步

如需 Bastion 的其他資訊,請檢視 Bastion 常見問題