Tudnivalók a Bastion konfigurációs beállításairól
A cikk szakaszai az Azure Bastion erőforrásait és beállításait ismertetik.
Termékváltozatok
A termékváltozatot rétegnek is nevezik. Az Azure Bastion több termékváltozatszintet is támogat. A Bastion konfigurálásakor válassza ki az SKU-szintet. A használni kívánt funkciók alapján dönti el az SKU-szintet. Az alábbi táblázat a szolgáltatások megfelelő termékváltozatonkénti rendelkezésre állását mutatja be.
| Szolgáltatás | Fejlesztői termékváltozat | Alapszintű termékváltozat | Standard termékváltozat |
|---|---|---|---|
| Csatlakozás virtuális gépek megcélzása ugyanazon a virtuális hálózaton | Igen | Igen | Igen |
| Csatlakozás társhálózatok virtuális gépeinek megcélzása | Nem | Igen | Igen |
| Egyidejű kapcsolatok támogatása | Nem | Igen | Igen |
| Linux rendszerű virtuálisgép-titkos kulcsok elérése az Azure Key Vaultban (AKV) | Nem | Igen | Igen |
| Csatlakozás Linux rendszerű virtuális gépre SSH használatával | Igen | Igen | Igen |
| Csatlakozás Windows rendszerű virtuális gépre RDP használatával | Igen | Igen | Igen |
| Csatlakozás Linux rendszerű virtuális gépre RDP használatával | Nem | Nem | Igen |
| Csatlakozás Windows rendszerű virtuális gépre SSH használatával | Nem | Nem | Igen |
| Egyéni bejövő port megadása | Nem | Nem | Igen |
| Csatlakozás virtuális gépekhez az Azure CLI használatával | Nem | Nem | Igen |
| Gazdagép skálázása | Nem | Nem | Igen |
| Fájlok feltöltése vagy letöltése | Nem | Nem | Igen |
| Kerberos-hitelesítés | Nem | Igen | Igen |
| Megosztható hivatkozás | Nem | Nem | Igen |
| Csatlakozás virtuális gépekre IP-címmel | Nem | Nem | Igen |
| Virtuális gép hangkimenete | Igen | Igen | Igen |
| Másolás/beillesztés letiltása (webalapú ügyfelek) | Nem | Nem | Igen |
Fejlesztői termékváltozat (előzetes verzió)
A Bastion Developer termékváltozat egy új, alacsonyabb költségű, egyszerűsített termékváltozat. Ez az termékváltozat ideális azoknak a fejlesztői/tesztelési felhasználóknak, akik biztonságosan szeretnének csatlakozni a virtuális gépeikhez, és nem igényelnek további funkciókat vagy skálázást. Egyszerre egy Azure-beli virtuális géphez közvetlenül a Virtuális gép csatlakoztatási lapján keresztül csatlakozhat.
A fejlesztői termékváltozat más követelményekkel és korlátozásokkal rendelkezik, mint a többi termékváltozatszint. További információkért és üzembe helyezési lépésekért tekintse meg a Bastion automatikus üzembe helyezését – fejlesztői termékváltozatot .
A fejlesztői termékváltozat (előzetes verzió) jelenleg a következő régiókban érhető el:
- USA középső régiója – EUAP
- USA 2. keleti régiója – EUAP
- USA nyugati középső régiója
- USA északi középső régiója
- USA nyugati régiója
- Észak-Európa
Feljegyzés
A fejlesztői termékváltozat jelenleg nem támogatja a virtuális hálózatok közötti társviszony-létesítést.
Termékváltozat megadása
| Metódus | Termékváltozat értéke | Hivatkozások |
|---|---|---|
| Azure Portal | Réteg – Fejlesztő | Gyors útmutató |
| Azure Portal | Szint – Alapszintű | Gyors útmutató |
| Azure Portal | Szint – Alapszintű vagy Standard | Oktatóanyag |
| Azure PowerShell | Szint – Alapszintű vagy Standard | Útmutató |
| Azure CLI | Szint – Alapszintű vagy Standard | Útmutató |
Termékváltozat frissítése
Az SKU-t mindig frissítheti további funkciók hozzáadásához.
Feljegyzés
A termékváltozatok visszaminősítése nem támogatott. A visszalépéshez törölnie kell és újra létre kell hoznia az Azure Bastiont.
Ezt a beállítást a következő módszerrel konfigurálhatja:
| Metódus | Érték | Hivatkozások |
|---|---|---|
| Azure Portal | Szint | Útmutató |
Azure Bastion-alhálózat
Fontos
A 2021. november 2-án vagy azt követően üzembe helyezett Azure Bastion-erőforrások esetében az AzureBastionSubnet minimális mérete /26 vagy nagyobb (/25, /24 stb.). A jelenlegi /27 méretű alhálózatokon üzembe helyezett Összes Azure Bastion-erőforrást ez a változás nem érinti, és továbbra is működni fog, de javasoljuk, hogy a meglévő AzureBastionSubnet méretét /26-ra növelje, ha a gazdagépek skálázását a jövőben kihasználja.
Ha az Azure Bastiont a fejlesztői termékváltozat kivételével bármely termékváltozat használatával telepíti, a Bastionnak egy Dedikált AzureBastionSubnet nevű alhálózatra van szüksége. Ezt az alhálózatot ugyanabban a virtuális hálózaton kell létrehoznia, amelyben üzembe szeretné helyezni az Azure Bastiont. Az alhálózatnak a következő konfigurációval kell rendelkeznie:
- Az alhálózat nevének AzureBastionSubnetnek kell lennie.
- Az alhálózat méretének /26 vagy nagyobbnak kell lennie (/25, /24 stb.).
- Gazdagépméretezéshez /26 vagy nagyobb alhálózat használata ajánlott. Kisebb alhálózati terület használata korlátozza a méretezési egységek számát. További információt a jelen cikk Gazdagép skálázás című szakaszában talál.
- Az alhálózatnak ugyanabban a virtuális hálózatban és erőforráscsoportban kell lennie, mint a megerősített gazdagépnek.
- Az alhálózat nem tartalmazhat más erőforrásokat.
Ezt a beállítást a következő módszerekkel konfigurálhatja:
| Metódus | Érték | Hivatkozások |
|---|---|---|
| Azure Portal | Alhálózat | Gyors útmutató Oktatóanyag |
| Azure PowerShell | -subnetName | Parancsmag |
| Azure CLI | --alhálózat neve | Parancs |
Nyilvános IP-cím
Az Azure Bastion üzemelő példányai nyilvános IP-címet igényelnek, kivéve a fejlesztői termékváltozat-telepítéseket. A nyilvános IP-címnek a következő konfigurációval kell rendelkeznie:
- A nyilvános IP-cím termékváltozatának standardnak kell lennie.
- A nyilvános IP-cím hozzárendelési/foglalási metódusnak statikusnak kell lennie.
- A nyilvános IP-cím az az erőforrásnév, amellyel hivatkozni szeretne erre a nyilvános IP-címre.
- Dönthet úgy, hogy a már létrehozott nyilvános IP-címet használja, ha az megfelel az Azure Bastion által megkövetelt feltételeknek, és még nincs használatban.
Ezt a beállítást a következő módszerekkel konfigurálhatja:
| Metódus | Érték | Hivatkozások |
|---|---|---|
| Azure Portal | Nyilvános IP-cím | Azure Portalra |
| Azure PowerShell | -PublicIpAddress | Parancsmag |
| Azure CLI | --public-ip create | Parancs |
Példányok és gazdagépek méretezése
A példány egy optimalizált Azure-beli virtuális gép, amely az Azure Bastion konfigurálásakor jön létre. Az Azure teljes mértékben felügyeli, és az Azure Bastionhoz szükséges összes folyamatot futtatja. A példányokat skálázási egységnek is nevezik. Egy Azure Bastion-példányon keresztül csatlakozhat ügyfél virtuális gépekhez. Ha az Azure Bastiont az alapszintű termékváltozat használatával konfigurálja, két példány jön létre. Ha a Standard termékváltozatot használja, megadhatja a példányok számát (legalább két példánysal). Ezt gazdaméretezésnek nevezzük.
Minden példány 20 egyidejű RDP-kapcsolatot és 40 egyidejű SSH-kapcsolatot támogat közepes számítási feladatokhoz (további információkért lásd az Azure-előfizetés korlátait és kvótáit ). A példányonkénti kapcsolatok száma attól függ, hogy milyen műveleteket hajt végre az ügyfél virtuális gépéhez való csatlakozáskor. Ha például adatigényes műveletet végez, az nagyobb terhelést okoz a példány feldolgozásához. Az egyidejű munkamenetek túllépése után egy másik skálázási egységre (példányra) van szükség.
A példányok az AzureBastionSubnetben jönnek létre. A gazdagépek skálázásának engedélyezéséhez az AzureBastionSubnetnek /26 vagy nagyobbnak kell lennie. Kisebb alhálózat használata korlátozza a létrehozható példányok számát. Az AzureBastionSubnetről további információt a jelen cikk alhálózatok szakaszában talál.
Ezt a beállítást a következő módszerekkel konfigurálhatja:
| Metódus | Érték | Hivatkozások | Standard termékváltozatot igényel |
|---|---|---|---|
| Azure Portal | Példányok száma | Útmutató | Igen |
| Azure PowerShell | ScaleUnit | Útmutató | Igen |
Egyéni portok
Megadhatja, hogy melyik portot szeretné használni a virtuális gépekhez való csatlakozáshoz. Alapértelmezés szerint a csatlakozáshoz használt bejövő portok RDP esetén 3389, SSH esetén pedig 22. Ha egyéni portértéket konfigurál, a virtuális géphez való csatlakozáskor adja meg ezt az értéket.
Az egyéni portértékek csak a Standard termékváltozat esetében támogatottak.
Megosztható hivatkozás
A Bastion Shareable Link funkcióval a felhasználók az Azure Portal elérése nélkül csatlakozhatnak egy célerőforráshoz az Azure Bastion használatával.
Amikor egy Azure-beli hitelesítő adatokkal nem rendelkező felhasználó egy megosztható hivatkozásra kattint, megnyílik egy weblap, amely arra kéri a felhasználót, hogy jelentkezzen be a célerőforrásba RDP-vel vagy SSH-val. A felhasználók felhasználónévvel és jelszóval vagy titkos kulccsal hitelesíthetők attól függően, hogy mit konfigurált az Azure Portalon a célerőforráshoz. A felhasználók ugyanazokhoz az erőforrásokhoz csatlakozhatnak, amelyekhez jelenleg az Azure Bastion szolgáltatással csatlakozhat: virtuális gépekhez vagy virtuálisgép-méretezési csoporthoz.
| Metódus | Érték | Hivatkozások | Standard termékváltozatot igényel |
|---|---|---|---|
| Azure Portal | Megosztható hivatkozás | Konfigurálás | Igen |
Rendelkezésreállási zónák
Egyes régiók támogatják az Azure Bastion üzembe helyezését egy rendelkezésre állási zónában (vagy több, zónaredundancia esetén). A zónaszintű üzembe helyezéshez helyezze üzembe a Bastiont manuálisan megadott beállításokkal (ne az automatikus alapértelmezett beállításokkal telepítse). Adja meg a kívánt rendelkezésre állási zónákat az üzembe helyezéskor. A Bastion üzembe helyezése után nem módosíthatja a zónabeli rendelkezésre állást.
A rendelkezésre állási zónák támogatása jelenleg előzetes verzióban érhető el. Az előzetes verzióban a következő régiók érhetők el:
- USA keleti régiója
- Kelet-Ausztrália
- USA 2. keleti régiója
- Az USA középső régiója
- Közép-Katar
- Dél-Afrika északi régiója
- Nyugat-Európa
- USA 2. nyugati régiója
- Észak-Európa
- Közép-Svédország
- Az Egyesült Királyság déli régiója
- Közép-Kanada
Következő lépések
A gyakori kérdésekért tekintse meg az Azure Bastion gyakori kérdéseit.