معلومات حول إعدادات تكوين Bastion
تناقش الأقسام الموجودة في هذه المقالة الموارد والإعدادات الخاصة بـ Azure Bastion.
وحدات SKU
تُعرف وحدة SKU أيضاً باسم مستوى. يدعم Azure Bastion مستويات SKU متعددة. عند تكوين Bastion، يمكنك تحديد مستوى SKU. يمكنك تحديد مستوى SKU استنادا إلى الميزات التي تريد استخدامها. يوضح الجدول التالي توفر الميزات لكل SKU مطابق.
| ميزة | وحدة SKU للمطور | SKU الأساسية | SKU القياسية | SKU المتميزة |
|---|---|---|---|---|
| الاتصال لاستهداف الأجهزة الظاهرية في نفس الشبكة الظاهرية | نعم | نعم | نعم | نعم |
| الاتصال بالأجهزة الظاهرية الهدف في شبكات ظاهرية نظيرة | لا | نعم | نعم | نعم |
| دعم الاتصالات المتزامنة | لا | نعم | نعم | نعم |
| الوصول إلى المفاتيح الخاصة للأجهزة الظاهرية لـ Linux في Azure Key Vault (AKV) | لا | نعم | نعم | نعم |
| الاتصال بـ Linux VM باستخدام SSH | نعم | نعم | نعم | نعم |
| الاتصال بـ Windows VM باستخدام RDP | نعم | نعم | نعم | نعم |
| قم بالاتصال بـLinux VM باستخدام RDP | لا | لا | نعم | نعم |
| قم بالاتصال إلى Windows VM باستخدام SSH | لا | لا | نعم | نعم |
| تحديد منفذ وارد مخصص | لا | لا | نعم | نعم |
| الاتصال إلى الأجهزة الظاهرية باستخدام Azure CLI | لا | لا | نعم | نعم |
| تغيير حجم المضيف | لا | لا | نعم | نعم |
| تحميل الملفات أو تنزيلها | لا | لا | نعم | نعم |
| مصادقة Kerberos | لا | نعم | نعم | نعم |
| ارتباط قابل للمشاركة | لا | لا | نعم | نعم |
| الاتصال إلى الأجهزة الظاهرية عبر عنوان IP | لا | لا | نعم | نعم |
| إخراج صوت VM | نعم | نعم | نعم | نعم |
| تعطيل النسخ/اللصق (العملاء على شبكة الإنترنت) | لا | لا | نعم | نعم |
| تسجيل الجلسة | لا | لا | لا | نعم |
| النشر الخاص فقط | لا | لا | لا | نعم |
وحدة SKU للمطور
SKU لمطور Bastion هو SKU مجاني وخفيف الوزن. تعد وحدة SKU هذه مثالية لمستخدمي Dev/Test الذين يرغبون في الاتصال بأمان بألأجهزة الظاهرية الخاصة بهم، ولكن لا يحتاجون إلى ميزات Bastion إضافية أو تحجيم المضيف. باستخدام Developer SKU، يمكنك الاتصال بجهاز Azure ظاهري واحد في كل مرة مباشرة من خلال صفحة اتصال الجهاز الظاهري.
عند نشر Bastion باستخدام Developer SKU، تختلف متطلبات النشر عن عند النشر باستخدام وحدات SKU الأخرى. عادة عند إنشاء مضيف bastion، يتم نشر مضيف إلى AzureBastionSubnet في شبكتك الظاهرية. مضيف Bastion مخصص للاستخدام الخاص بك. عند استخدام Developer SKU، لا يتم نشر مضيف bastion على شبكتك الظاهرية ولا تحتاج إلى AzureBastionSubnet. ومع ذلك، فإن مضيف SKU للمطور ليس موردا مخصصا. بدلا من ذلك، فهو جزء من تجمع مشترك.
نظرا لأن مورد SKU الأساسي للمطور غير مخصص، فإن ميزات Developer SKU محدودة. راجع قسم إعدادات تكوين Bastion SKU للحصول على الميزات المدرجة بواسطة SKU. يمكنك دائما ترقية Developer SKU إلى SKU أعلى إذا كنت بحاجة إلى دعم المزيد من الميزات. راجع ترقية SKU.
تتوفر وحدة SKU للمطور حاليا في المناطق التالية:
- EUAP بوسط الولايات المتحدة
- شرق الولايات المتحدة 2 EUAP
- غرب وسط الولايات المتحدة
- وسط شمال الولايات المتحدة
- غرب الولايات المتحدة
- أوروبا الشمالية
إشعار
تناظر VNet غير مدعوم حاليا ل Developer SKU.
Premium SKU (معاينة)
Premium SKU هو SKU جديد يدعم ميزات Bastion مثل تسجيل الجلسة وPrive-Only Bastion. عند نشر bastion، حدد Premium SKU فقط إذا كنت بحاجة إلى الميزات التي يدعمها.
تحديد SKU
| الأسلوب | قيمة وحدة حفظ المخزون | الارتباطات |
|---|---|---|
| مدخل Azure | المستوى - المطور | التشغيل السريع |
| مدخل Azure | الطبقة - أساسي | التشغيل السريع |
| مدخل Azure | المستوى - أساسي أو أعلى | تعليمي |
| Azure PowerShell | المستوى - أساسي أو أعلى | كيفية القيام بها |
| Azure CLI | المستوى - أساسي أو أعلى | كيفية القيام بها |
ترقية SKU
يمكنك دائما ترقية SKU لإضافة المزيد من الميزات. لمزيد من المعلومات، راجع ترقية SKU.
إشعار
إن الرجوع إلى إصدار SKU غير مدعوم. للرجوع لإصدار أقدم، يجب حذف Azure Bastion وإعادة إنشاؤه.
الشبكة الفرعية Azure Bastion
هام
بالنسبة لموارد Azure Bastion التي تم توزيعها في 2 نوفمبر 2021 أو بعده، يكون الحد الأدنى لحجم AzureBastionSubnet هو/26 أو أكبر (/ 25،/24، وما إلى ذلك). جميع موارد Azure Bastion التي تم توزيعها في شبكات فرعية بالحجم / 27 قبل هذا التاريخ لا تتأثر بهذا التغيير وستستمر في العمل، لكننا نوصي بشدة بزيادة حجم أي AzureBastionSubnet موجود إلى / 26 في حالة اختيارك للاستفادة من تحجيم المضيف في المستقبل.
عند نشر Azure Bastion باستخدام أي SKU باستثناء SKU المطور، يتطلب Bastion شبكة فرعية مخصصة تسمى AzureBastionSubnet. يجب إنشاء هذه الشبكة الفرعية في نفس الشبكة الظاهرية التي تريد توزيع Azure Bastion عليها. يجب أن تحتوي الشبكة الفرعية على التكوين التالي:
- يجب أن يكون اسم الشبكة الفرعية هو AzureBastionSubnet.
- يجب أن يكون حجم الشبكة الفرعية / 26 أو أكبر (/ 25، / 24 وما إلى ذلك).
- لتحجيم المضيف، يوصى باستخدام شبكة فرعية / 26 أو شبكة فرعية أكبر. يؤدي استخدام مساحة شبكة فرعية أصغر إلى الحد من عدد وحدات المقياس. للحصول على مزيدٍ من المعلومات، راجع قسم تحجيم المضيف من هذه المقالة.
- يجب أن تكون الشبكة الفرعية في نفس الشبكة الظاهرية ومجموعة الموارد مثل مضيف bastion.
- لا يمكن أن تحتوي الشبكة الفرعية على موارد أخرى.
يمكنك تكوين هذا الإعداد باستخدام الطرق التالية:
| الأسلوب | القيمة | الارتباطات |
|---|---|---|
| مدخل Azure | الشبكة الفرعية | التشغيل السريع تعليمي |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | الأمر |
عنوان IP العام
تتطلب عمليات نشر Azure Bastion، باستثناء SKU المطور وخاص فقط، عنوان IP عام. يجب أن يحتوي عنوان IP العام على التكوين التالي:
- يجب أن تكون وحدة SKU لعنوان IP العام قياسياً.
- يجب أن تكون طريقة تخصيص / تخصيص عنوان IP العام ثابتة.
- اسم عنوان IP العام هو اسم المورد الذي تريد الإشارة من خلاله إلى عنوان IP العام هذا.
- يمكنك اختيار استخدام عنوان IP عام قمت بإنشائه بالفعل، طالما أنه يفي بالمعايير المطلوبة من قبل Azure Bastion ولم يكن قيد الاستخدام بالفعل.
يمكنك تكوين هذا الإعداد باستخدام الطرق التالية:
| الأسلوب | القيمة | الارتباطات |
|---|---|---|
| مدخل Azure | عنوان IP العام | مدخل Microsoft Azure |
| Azure PowerShell | -PublicIpAddress | cmdlet |
| Azure CLI | --إنشاء public-ip | الأمر |
المثيلات وتحجيم المضيف
المثيل عبارة عن جهاز ظاهري في Azure محسن يتم إنشاؤه عند تكوين Azure Bastion. يُدار بالكامل من Azure ويقوم بتشغيل جميع العمليات اللازمة لـ Azure Bastion. يُشار إلى المثيل أيضاً على أنه خادم مخصص. يمكنك الاتصال بأجهزة ظاهرية للعميل عبر مثيل Azure Bastion. عند تكوين Azure Bastion باستخدام وحدة SKU الأساسية، يتم إنشاء مثيلين. إذا كنت تستخدم SKU القياسي أو أعلى، يمكنك تحديد عدد المثيلات (بحد أدنى مثيلين). وهذا ما يُسمى تحجيم المضيف.
يمكن لكل مثيل دعم 20 اتصال RDP متزامن و40 اتصال SSH متزامن لأحمال العمل المتوسطة (راجع حدود اشتراك Azure والحصص النسبية لمزيد من المعلومات). يعتمد عدد الاتصالات لكل مثيل على الإجراءات التي تتخذها عند الاتصال بالجهاز الظاهري للعميل. على سبيل المثال، إذا كنت تفعل شيئا مكثفا للبيانات، فإنه ينشئ حملا أكبر للمثيل لمعالجته. بمجرد تجاوز الجلسات المتزامنة، يلزم وجود وحدة مقياس أخرى (مثيل).
يتم إنشاء المثيلات في AzureBastionSubnet. للسماح بتحجيم المضيف، يجب أن تكون AzureBastionSubnet بحجم /26 أو أكبر. يؤدي استخدام شبكة فرعية أصغر إلى الحد من عدد المثيلات التي يمكنك إنشاؤها. للحصول على مزيدٍ من المعلومات حول AzureBastionSubnet، راجع قسم الشبكات الفرعية في هذه المقالة.
يمكنك تكوين هذا الإعداد باستخدام الطرق التالية:
| الأسلوب | القيمة | الارتباطات | يتطلب SKU قياسيا أو أعلى |
|---|---|---|---|
| مدخل Azure | عدد المثيلات | كيفية القيام بها | نعم |
| Azure PowerShell | ScaleUnit | كيفية القيام بها | نعم |
المنافذ المخصصة
يمكنك تحديد المنفذ الذي تريد استخدامه للاتصال بأجهزتك الظاهرية. بشكل افتراضي، المنافذ الداخلية المستخدمة للاتصال هي 3389 لـ RDP و22 لـ SSH. إذا قمت بتكوين قيمة منفذ مخصصة، فحدد هذه القيمة عند الاتصال بالجهاز الظاهري.
يتم دعم قيم المنفذ المخصص لوحدة SKU القياسية أو أعلى فقط.
ارتباط قابل للمشاركة
تتيح ميزة Bastion Shareable Link للمستخدمين الاتصال بمورد هدف باستخدام Azure Bastion دون الوصول إلى مدخل Microsoft Azure.
عندما ينقر مستخدم بدون بيانات اعتماد Azure فوق ارتباط قابل للمشاركة، تفتح صفحة ويب تطالب المستخدم بتسجيل الدخول إلى المورد الهدف عبر RDP أو SSH. يقوم المستخدمون بالمصادقة باستخدام اسم المستخدم وكلمة المرور أو المفتاح الخاص، اعتمادا على ما قمت بتكوينه في مدخل Microsoft Azure لهذا المورد الهدف. يمكن للمستخدمين الاتصال بنفس الموارد التي يمكنك الاتصال بها حاليا باستخدام Azure Bastion: الأجهزة الظاهرية أو مجموعة مقياس الجهاز الظاهري.
| الأسلوب | القيمة | الارتباطات | يتطلب SKU قياسيا أو أعلى |
|---|---|---|---|
| مدخل Azure | ارتباط قابل للمشاركة | تكوين | نعم |
النشر الخاص فقط
تقوم عمليات توزيع Bastion الخاصة فقط بتأمين أحمال العمل من طرف إلى طرف عن طريق إنشاء نشر غير قابل للتوجيه عبر الإنترنت من Bastion يسمح فقط بالوصول إلى عنوان IP الخاص. لا تسمح عمليات نشر Bastion الخاصة فقط بالاتصالات بمضيف bastion عبر عنوان IP العام. في المقابل، يسمح توزيع Azure Bastion العادي للمستخدمين بالاتصال بمضيف bastion باستخدام عنوان IP عام. لمزيد من المعلومات، راجع نشر Bastion كخاص فقط.
تسجيل الجلسة
عند تمكين ميزة تسجيل جلسة Azure Bastion، يمكنك تسجيل الجلسات الرسومية للاتصالات التي تم إجراؤها على الأجهزة الظاهرية (RDP وSSH) عبر مضيف bastion. بعد إغلاق الجلسة أو قطع الاتصال، يتم تخزين الجلسات المسجلة في حاوية كائن ثنائي كبير الحجم داخل حساب التخزين الخاص بك (عبر SAS URL). عند قطع اتصال جلسة العمل، يمكنك الوصول إلى جلسات العمل المسجلة وعرضها في مدخل Microsoft Azure في صفحة تسجيل الجلسة. يتطلب تسجيل الجلسة Bastion Premium SKU. لمزيد من المعلومات، راجع تسجيل جلسة Bastion.
مجموعات التوافر
تدعم بعض المناطق القدرة على نشر Azure Bastion في منطقة توفر (أو متعددة، لتكرار المنطقة). للنشر على نطاق منطقة، انشر Bastion باستخدام الإعدادات المحددة يدويا (لا تنشر باستخدام الإعدادات الافتراضية التلقائية). حدد مناطق التوفر المطلوبة في وقت التوزيع. لا يمكنك تغيير التوفر النطاقي بعد توزيع Bastion.
دعم مناطق التوفر قيد المعاينة حاليا. أثناء المعاينة، تتوفر المناطق التالية:
- شرق الولايات المتحدة
- شرق أستراليا
- East US 2
- Central US
- قطر الوسطى
- جنوب أفريقيا
- أوروبا الغربية
- West US 2
- أوروبا الشمالية
- منطقة السويد الوسطى
- جنوب المملكة المتحدة
- وسط كندا
الخطوات التالية
للاطلاع على الأسئلة المتداولة راجع الأسئلة المتداولة حول Bastion.