Over De configuratie-instellingen van Bastion
In de secties in dit artikel worden de resources en instellingen voor Azure Bastion besproken.
SKU's
Een SKU wordt ook wel een laag genoemd. Azure Bastion ondersteunt meerdere SKU-lagen. Wanneer u Bastion configureert, selecteert u de SKU-laag. U bepaalt de SKU-laag op basis van de functies die u wilt gebruiken. In de volgende tabel ziet u de beschikbaarheid van functies per bijbehorende SKU.
| Functie | Ontwikkelaars-SKU | Basis-SKU | Standaard SKU |
|---|---|---|---|
| Verbinding maken op virtuele machines in hetzelfde virtuele netwerk | Ja | Ja | Ja |
| Verbinding maken voor doel-VM's in gekoppelde virtuele netwerken | Nr. | Ja | Ja |
| Ondersteuning voor gelijktijdige verbindingen | Nr. | Ja | Ja |
| Toegang tot persoonlijke linux-VM-sleutels in Azure Key Vault (AKV) | Nr. | Ja | Ja |
| Verbinding maken naar linux-VM met behulp van SSH | Ja | Ja | Ja |
| Verbinding maken naar windows-VM met behulp van RDP | Ja | Ja | Ja |
| Verbinding maken naar linux-VM met behulp van RDP | Nee | No | Ja |
| Verbinding maken naar windows-VM met behulp van SSH | Nee | No | Ja |
| Aangepaste binnenkomende poort opgeven | Nee | No | Ja |
| Verbinding maken naar VM's met behulp van Azure CLI | Nee | No | Ja |
| Host schalen | Nee | No | Ja |
| Bestanden uploaden of downloaden | Nee | No | Ja |
| Kerberos-verificatie | Nr. | Ja | Ja |
| Deelbare koppeling | Nee | No | Ja |
| Verbinding maken via IP-adres naar VM's | Nee | No | Ja |
| VM-audio-uitvoer | Ja | Ja | Ja |
| Kopiëren/plakken uitschakelen (webclients) | Nee | No | Ja |
Ontwikkelaars-SKU (preview)
De Bastion Developer-SKU is een nieuwe, goedkopere, lichtgewicht SKU. Deze SKU is ideaal voor Dev/Test-gebruikers die veilig verbinding willen maken met hun VM's en die geen extra functies of schalen nodig hebben. U kunt rechtstreeks verbinding maken met één Virtuele Azure-machine tegelijk via de pagina Verbinding maken met virtuele machines.
De developer-SKU heeft andere vereisten en beperkingen dan de andere SKU-lagen. Zie Bastion automatisch implementeren - Ontwikkelaars-SKU voor meer informatie en implementatiestappen.
De developer-SKU (preview) is momenteel beschikbaar in de volgende regio's:
- VS - centraal EUAP
- VS - oost 2 EUAP
- VS - west-centraal
- VS - noord-centraal
- VS - west
- Europa - noord
Notitie
VNet-peering wordt momenteel niet ondersteund voor de ontwikkelaars-SKU.
SKU opgeven
| Wijze | SKU-waarde | Koppelingen |
|---|---|---|
| Azure Portal | Laag - Ontwikkelaar | Snelstartgids |
| Azure Portal | Laag - Basic | Snelstartgids |
| Azure Portal | Laag - Basic of Standard | Zelfstudie |
| Azure PowerShell | Laag - Basic of Standard | Ondersteuning |
| Azure-CLI | Laag - Basic of Standard | Ondersteuning |
Een SKU upgraden
U kunt altijd een SKU upgraden om meer functies toe te voegen. Zie Een SKU upgraden voor meer informatie.
Notitie
Het downgraden van een SKU wordt niet ondersteund. Als u een downgrade wilt uitvoeren, moet u Azure Bastion verwijderen en opnieuw maken.
Azure Bastion-subnet
Belangrijk
Voor Azure Bastion-resources die zijn geïmplementeerd op of na 2 november 2021, is de minimale grootte van AzureBastionSubnet /26 of groter (/25, /24, enzovoort). Alle Azure Bastion-resources die zijn geïmplementeerd in subnetten van grootte /27 vóór deze datum, worden niet beïnvloed door deze wijziging en blijven werken, maar we raden u ten zeerste aan om de grootte van bestaande AzureBastionSubnet te vergroten naar /26 voor het geval u ervoor kiest om in de toekomst te profiteren van het schalen van hosts.
Wanneer u Azure Bastion implementeert met behulp van een SKU behalve de developer-SKU, vereist Bastion een toegewezen subnet met de naam AzureBastionSubnet. U moet dit subnet maken in hetzelfde virtuele netwerk waarnaar u Azure Bastion wilt implementeren. Het subnet moet de volgende configuratie hebben:
- Subnetnaam moet AzureBastionSubnet zijn.
- Subnetgrootte moet /26 of groter zijn (/25, /24 enzovoort).
- Voor het schalen van de host wordt een /26 of groter subnet aanbevolen. Het gebruik van een kleinere subnetruimte beperkt het aantal schaaleenheden. Zie de sectie Host schalen van dit artikel voor meer informatie.
- Het subnet moet zich in hetzelfde virtuele netwerk en dezelfde resourcegroep bevinden als de bastionhost.
- Het subnet kan geen andere resources bevatten.
U kunt deze instelling configureren met behulp van de volgende methoden:
| Wijze | Weergegeven als | Koppelingen |
|---|---|---|
| Azure Portal | Subnet | Snelstartgids Zelfstudie |
| Azure PowerShell | -subnetName | Cmdlet |
| Azure-CLI | --subnetnaam | Opdracht |
Openbaar IP-adres
Voor Azure Bastion-implementaties is een openbaar IP-adres vereist, met uitzondering van implementaties van ontwikkelaars-SKU's. Het openbare IP-adres moet de volgende configuratie hebben:
- De openbare IP-adres-SKU moet standaard zijn.
- De toewijzing/toewijzingsmethode van het openbare IP-adres moet statisch zijn.
- De naam van het openbare IP-adres is de resourcenaam waarmee u naar dit openbare IP-adres wilt verwijzen.
- U kunt ervoor kiezen om een openbaar IP-adres te gebruiken dat u al hebt gemaakt, zolang het voldoet aan de criteria die vereist zijn voor Azure Bastion en nog niet in gebruik is.
U kunt deze instelling configureren met behulp van de volgende methoden:
| Wijze | Weergegeven als | Koppelingen |
|---|---|---|
| Azure Portal | Openbaar IP-adres | Azure-portal |
| Azure PowerShell | -PublicIpAddress | Cmdlet |
| Azure-CLI | --public-ip create | Opdracht |
Instanties en hostschalen
Een exemplaar is een geoptimaliseerde Azure-VM die wordt gemaakt wanneer u Azure Bastion configureert. Het wordt volledig beheerd door Azure en voert alle processen uit die nodig zijn voor Azure Bastion. Een exemplaar wordt ook wel een schaaleenheid genoemd. U maakt verbinding met client-VM's via een Azure Bastion-exemplaar. Wanneer u Azure Bastion configureert met behulp van de Basic SKU, worden er twee exemplaren gemaakt. Als u de Standard-SKU gebruikt, kunt u het aantal exemplaren opgeven (met minimaal twee exemplaren). Dit wordt hostschalen genoemd.
Elk exemplaar kan ondersteuning bieden voor 20 gelijktijdige RDP-verbindingen en 40 gelijktijdige SSH-verbindingen voor middelgrote workloads (zie Limieten en quota voor Azure-abonnementen voor meer informatie). Het aantal verbindingen per instantie is afhankelijk van de acties die u uitvoert wanneer u verbinding maakt met de client-VM. Als u bijvoorbeeld iets gegevensintensief doet, wordt er een grotere belasting gemaakt voor het exemplaar dat moet worden verwerkt. Zodra de gelijktijdige sessies zijn overschreden, is een andere schaaleenheid (instantie) vereist.
Exemplaren worden gemaakt in het AzureBastionSubnet. Als u het schalen van de host wilt toestaan, moet het AzureBastionSubnet /26 of groter zijn. Als u een kleiner subnet gebruikt, beperkt u het aantal exemplaren dat u kunt maken. Zie de sectie subnetten in dit artikel voor meer informatie over het AzureBastionSubnet.
U kunt deze instelling configureren met behulp van de volgende methoden:
| Wijze | Weergegeven als | Koppelingen | Vereist Standard-SKU |
|---|---|---|---|
| Azure Portal | Aantal exemplaren | Ondersteuning | Ja |
| Azure PowerShell | ScaleUnit | Ondersteuning | Ja |
Aangepaste poorten
U kunt de poort opgeven die u wilt gebruiken om verbinding te maken met uw VM's. Standaard zijn de binnenkomende poorten die worden gebruikt om verbinding te maken 3389 voor RDP en 22 voor SSH. Als u een aangepaste poortwaarde configureert, geeft u die waarde op wanneer u verbinding maakt met de virtuele machine.
Aangepaste poortwaarden worden alleen ondersteund voor de Standard-SKU.
Deelbare koppeling
Met de functie Bastion Shareable Link kunnen gebruikers verbinding maken met een doelresource met behulp van Azure Bastion zonder toegang te krijgen tot Azure Portal.
Wanneer een gebruiker zonder Azure-referenties op een deelbare koppeling klikt, wordt er een webpagina geopend waarin de gebruiker wordt gevraagd zich via RDP of SSH aan te melden bij de doelresource. Gebruikers verifiëren zich met behulp van een gebruikersnaam en wachtwoord of persoonlijke sleutel, afhankelijk van wat u hebt geconfigureerd in Azure Portal voor die doelresource. Gebruikers kunnen verbinding maken met dezelfde resources waarmee u momenteel verbinding kunt maken met Azure Bastion: VM's of virtuele-machineschaalsets.
| Wijze | Weergegeven als | Koppelingen | Vereist Standard-SKU |
|---|---|---|---|
| Azure Portal | Deelbare koppeling | Configureerer | Ja |
Beschikbaarheidszones
Sommige regio's ondersteunen de mogelijkheid om Azure Bastion te implementeren in een beschikbaarheidszone (of meerdere, voor zoneredundantie). Als u Bastion wilt implementeren met behulp van handmatig opgegeven instellingen (niet implementeren met behulp van de automatische standaardinstellingen). Geef de gewenste beschikbaarheidszones op het moment van de implementatie op. U kunt de zonegebonden beschikbaarheid niet wijzigen nadat Bastion is geïmplementeerd.
Ondersteuning voor Beschikbaarheidszones is momenteel beschikbaar als preview-versie. Tijdens de preview zijn de volgende regio's beschikbaar:
- VS - oost
- Australië - oost
- VS - oost 2
- Central US
- Qatar - centraal
- Zuid-Afrika - noord
- Europa -west
- VS - west 2
- Europa - noord
- Zweden - centraal
- Verenigd Koninkrijk Zuid
- Canada - midden
Volgende stappen
Zie de veelgestelde vragen over Azure Bastion voor veelgestelde vragen.