Informazioni sulle impostazioni di configurazione di Bastion
Le sezioni di questo articolo illustrano le risorse e le impostazioni per Azure Bastion.
SKU
Uno SKU è noto anche come livello. Azure Bastion supporta più livelli sku. Quando si configura Bastion, si seleziona il livello SKU. Si decide il livello SKU in base alle funzionalità che si desidera usare. La tabella seguente illustra la disponibilità delle funzionalità per ogni SKU corrispondente.
| Funzionalità | SKU per sviluppatori | SKU Basic | SKU Standard |
|---|---|---|---|
| Connessione alle macchine virtuali di destinazione nella stessa rete virtuale | Sì | Sì | Sì |
| Connessione alle macchine virtuali di destinazione nelle reti virtuali con peering | No | Sì | Sì |
| Supporto per connessioni simultanee | No | Sì | Sì |
| Accedere alle chiavi private della macchina virtuale Linux in Azure Key Vault (AKV) | No | Sì | Sì |
| Connessione alla macchina virtuale Linux tramite SSH | Sì | Sì | Sì |
| Connessione alla macchina virtuale Windows con RDP | Sì | Sì | Sì |
| Connessione alla macchina virtuale Linux con RDP | No | No | Sì |
| Connessione alla macchina virtuale Windows tramite SSH | No | No | Sì |
| Specificare la porta in ingresso personalizzata | No | No | Sì |
| Connessione alle macchine virtuali con l'interfaccia della riga di comando di Azure | No | No | Sì |
| Ridimensionamento dell'host | No | No | Sì |
| Caricare o scaricare file | No | No | Sì |
| Autenticazione Kerberos | No | Sì | Sì |
| Collegamento condivisibile | No | No | Sì |
| Connessione alle macchine virtuali tramite indirizzo IP | No | No | Sì |
| Output audio della macchina virtuale | Sì | Sì | Sì |
| Disabilitare la copia/incolla (client basati sul Web) | No | No | Sì |
SKU per sviluppatori (anteprima)
Lo SKU dello sviluppatore Bastion è un nuovo SKU leggero e a basso costo. Questo SKU è ideale per gli utenti di sviluppo/test che vogliono connettersi in modo sicuro alle macchine virtuali e che non necessitano di funzionalità o scalabilità aggiuntive. È possibile connettersi a una macchina virtuale di Azure alla volta direttamente tramite la pagina Connessione macchina virtuale.
Lo SKU per sviluppatori presenta requisiti e limitazioni diversi rispetto agli altri livelli di SKU. Per altre informazioni e procedure di distribuzione, vedere Deploy Bastion automatically - Developer SKU (Distribuire automaticamente Bastion - SKU per sviluppatori).
Lo SKU per sviluppatori (anteprima) è attualmente disponibile nelle aree seguenti:
- Stati Uniti centrali (EUAP)
- Stati Uniti orientali 2 EUAP
- Stati Uniti centro-occidentali
- Stati Uniti centro-settentrionali
- Stati Uniti occidentali
- Europa settentrionale
Nota
Il peering reti virtuali non è attualmente supportato per lo SKU per sviluppatori.
Specificare lo SKU
| Metodo | Valore SKU | Collegamenti |
|---|---|---|
| Azure portal | Livello - Sviluppatore | Guida introduttiva |
| Azure portal | Livello - Basic | Guida introduttiva |
| Azure portal | Livello - Basic o Standard | Esercitazione |
| Azure PowerShell | Livello - Basic o Standard | Procedure |
| Interfaccia della riga di comando di Azure | Livello - Basic o Standard | Procedure |
Aggiornare uno SKU
È sempre possibile aggiornare uno SKU per aggiungere altre funzionalità.
Nota
Il downgrade di uno SKU non è supportato. Per effettuare il downgrade, è necessario eliminare e ricreare Azure Bastion.
È possibile configurare questa impostazione usando il metodo seguente:
| Metodo | Valore | Collegamenti |
|---|---|---|
| Azure portal | Livello | Procedure |
Subnet di Azure Bastion
Importante
Per le risorse di Azure Bastion distribuite il 2 novembre 2021, le dimensioni minime di AzureBastionSubnet sono /26 o superiori (/25, /24 e così via). Tutte le risorse di Azure Bastion distribuite nelle subnet di dimensioni /27 precedenti a questa data non sono interessate da questa modifica e continueranno a funzionare, ma è consigliabile aumentare le dimensioni di qualsiasi azureBastionSubnet esistente a /26 nel caso in cui si scelga di sfruttare il ridimensionamento dell'host in futuro.
Quando si distribuisce Azure Bastion usando qualsiasi SKU ad eccezione dello SKU developer, Bastion richiede una subnet dedicata denominata AzureBastionSubnet. È necessario creare questa subnet nella stessa rete virtuale in cui si vuole distribuire Azure Bastion. La subnet deve avere la configurazione seguente:
- Il nome della subnet deve essere AzureBastionSubnet.
- Le dimensioni della subnet devono essere /26 o superiori (/25, /24 e così via).
- Per il ridimensionamento dell'host, è consigliabile usare una subnet /26 o superiore. L'uso di uno spazio subnet inferiore limita il numero di unità di scala. Per altre informazioni, vedere la sezione Ridimensionamento host di questo articolo.
- La subnet deve trovarsi nella stessa rete virtuale e nello stesso gruppo di risorse dell'host bastion.
- La subnet non può contenere altre risorse.
È possibile configurare questa impostazione usando i metodi seguenti:
| Metodo | Valore | Collegamenti |
|---|---|---|
| Azure portal | Subnet | Guida introduttiva Esercitazione |
| Azure PowerShell | -Subnetname | Cmdlet |
| Interfaccia della riga di comando di Azure | --subnet-name | command |
Indirizzo IP pubblico
Le distribuzioni di Azure Bastion richiedono un indirizzo IP pubblico, ad eccezione delle distribuzioni di SKU per sviluppatori. L'indirizzo IP pubblico deve avere la configurazione seguente:
- Lo SKU dell'indirizzo IP pubblico deve essere Standard.
- Il metodo di assegnazione/allocazione dell'indirizzo IP pubblico deve essere Statico.
- Il nome dell'indirizzo IP pubblico è il nome della risorsa in base al quale si vuole fare riferimento a questo indirizzo IP pubblico.
- È possibile scegliere di usare un indirizzo IP pubblico già creato, purché soddisfi i criteri richiesti da Azure Bastion e non sia già in uso.
È possibile configurare questa impostazione usando i metodi seguenti:
| Metodo | Valore | Collegamenti |
|---|---|---|
| Azure portal | Indirizzo IP pubblico | Azure portal |
| Azure PowerShell | -PublicIpAddress | Cmdlet |
| Interfaccia della riga di comando di Azure | --public-ip create | command |
Istanze e ridimensionamento dell'host
Un'istanza è una macchina virtuale di Azure ottimizzata creata durante la configurazione di Azure Bastion. È completamente gestito da Azure ed esegue tutti i processi necessari per Azure Bastion. Un'istanza è detta anche unità di scala. Connettersi alle macchine virtuali client tramite un'istanza di Azure Bastion. Quando si configura Azure Bastion usando lo SKU Basic, vengono create due istanze. Se si usa lo SKU Standard, è possibile specificare il numero di istanze (con almeno due istanze). Questa operazione è denominata ridimensionamento host.
Ogni istanza può supportare 20 connessioni RDP simultanee e 40 connessioni SSH simultanee per carichi di lavoro medi (vedere Limiti e quote delle sottoscrizioni di Azure per altre informazioni). Il numero di connessioni per ogni istanza dipende dalle azioni eseguite durante la connessione alla macchina virtuale client. Ad esempio, se si esegue un'operazione che richiede un uso intensivo dei dati, viene creato un carico più elevato per l'elaborazione dell'istanza. Dopo aver superato le sessioni simultanee, è necessaria un'altra unità di scala (istanza).
Le istanze vengono create in AzureBastionSubnet. Per consentire il ridimensionamento dell'host, AzureBastionSubnet deve essere /26 o superiore. L'uso di una subnet più piccola limita il numero di istanze che è possibile creare. Per altre informazioni su AzureBastionSubnet, vedere la sezione subnet in questo articolo.
È possibile configurare questa impostazione usando i metodi seguenti:
| Metodo | Valore | Collegamenti | Richiede SKU Standard |
|---|---|---|---|
| Azure portal | Numero di istanze | Procedure | Sì |
| Azure PowerShell | ScaleUnit | Procedure | Sì |
Porte personalizzate
È possibile specificare la porta da usare per connettersi alle macchine virtuali. Per impostazione predefinita, le porte in ingresso usate per la connessione sono 3389 per RDP e 22 per SSH. Se si configura un valore di porta personalizzato, specificare tale valore quando ci si connette alla macchina virtuale.
I valori di porta personalizzati sono supportati solo per lo SKU Standard.
Collegamento condivisibile
La funzionalità Collegamento condivisibile bastion consente agli utenti di connettersi a una risorsa di destinazione usando Azure Bastion senza accedere al portale di Azure.
Quando un utente senza credenziali di Azure fa clic su un collegamento condivisibile, viene aperta una pagina Web che richiede all'utente di accedere alla risorsa di destinazione tramite RDP o SSH. Gli utenti eseguono l'autenticazione usando nome utente e password o chiave privata, a seconda di ciò che è stato configurato nella portale di Azure per tale risorsa di destinazione. Gli utenti possono connettersi alle stesse risorse a cui è attualmente possibile connettersi con Azure Bastion: macchine virtuali o set di scalabilità di macchine virtuali.
| Metodo | Valore | Collegamenti | Richiede SKU Standard |
|---|---|---|---|
| Azure portal | Collegamento condivisibile | Configurare | Sì |
Passaggi successivi
Per domande frequenti, vedere domande frequenti su Azure Bastion.