Параметры конфигурации Бастиона
В разделах этой статьи идет речь о ресурсах и параметрах Бастиона Azure.
Номера SKU
Номер SKU также известен как уровень. Бастион Azure поддерживает несколько уровней SKU. При настройке Бастиона выберите уровень SKU. Вы решите уровень SKU на основе функций, которые вы хотите использовать. В следующей таблице показана доступность функций для каждого соответствующего SKU.
| Функция | Номер SKU разработчика | SKU "Базовый" | SKU "Стандартный" |
|---|---|---|---|
| Подключение на целевые виртуальные машины в одной виртуальной сети | Да | Да | Да |
| Подключение к целевым виртуальным машинам в одноранговых виртуальных сетях | No | Да | Да |
| Поддержка одновременных подключений | No | Да | Да |
| Доступ к закрытым ключам виртуальной машины Linux в Azure Key Vault (AKV) | No | Да | Да |
| Подключение к виртуальной машине Linux с помощью SSH | Да | Да | Да |
| Подключение к виртуальной машине Windows с помощью RDP | Да | Да | Да |
| Подключение к виртуальной машине Linux с помощью RDP | No | No | Да |
| Подключение к виртуальной машине Windows с помощью SSH | No | No | Да |
| Определение настраиваемого входящего порта | No | No | Да |
| Подключение на виртуальные машины с помощью Azure CLI | No | No | Да |
| Масштабирование узлов | No | No | Да |
| Отправка или скачивание файлов | No | No | Да |
| Проверка подлинности Kerberos | No | Да | Да |
| Ссылка, доступная для общего доступа | No | No | Да |
| Подключение на виртуальные машины с помощью IP-адреса | No | No | Да |
| Аудиовыход виртуальной машины | Да | Да | Да |
| Отключение копирования и вставки (веб-клиенты) | No | No | Да |
Номер SKU разработчика (предварительная версия)
Номер SKU разработчика Бастиона — это новый, более низкий, упрощенный номер SKU. Этот номер SKU идеально подходит для пользователей разработки и тестирования, которые хотят безопасно подключиться к виртуальным машинам и не нуждаются в дополнительных функциях или масштабировании. Вы можете подключиться к одной виртуальной машине Azure одновременно с помощью страницы подключения виртуальной машины.
Номер SKU разработчика имеет разные требования и ограничения, отличные от других уровней SKU. Дополнительные сведения и действия по развертыванию см. в статье "Автоматическое развертывание бастиона" — SKU разработчика.
Номер SKU разработчика (предварительная версия) в настоящее время доступен в следующих регионах:
- Центральная часть США (EUAP)
- Восточная часть США 2 (EUAP)
- Центрально-западная часть США
- Центрально-северная часть США
- Западная часть США
- Северная Европа
Примечание.
Пиринг виртуальных сетей в настоящее время не поддерживается для SKU разработчика.
Указание SKU
| Способ | Значение SKU | Ссылки. |
|---|---|---|
| Портал Azure | Уровень — разработчик | Краткое руководство |
| Портал Azure | Уровень: "Базовый" | Краткое руководство |
| Портал Azure | Уровень: "Базовый" или "Стандартный" | Руководство |
| Azure PowerShell | Уровень: "Базовый" или "Стандартный" | Практическое руководство |
| Azure CLI | Уровень: "Базовый" или "Стандартный" | Практическое руководство |
Обновление SKU
Вы всегда можете обновить номер SKU, чтобы добавить дополнительные функции. Дополнительные сведения см. в статье об обновлении номера SKU.
Примечание.
Понижение уровня SKU не поддерживается. Чтобы перейти на более раннюю версию, необходимо удалить и повторно создать Бастион Azure.
Подсеть Бастиона Azure
Внимание
Для ресурсов Бастиона Azure, развернутых 2 ноября 2021 г. или после этой даты, минимальный размер AzureBastionSubnet должен составлять /26 или больше (/25, /24 и т. д.). Все ресурсы Бастиона Azure, развернутые в подсетях размером /27 до этой даты, не затрагиваются этим изменением и будут продолжать работать. Однако мы настоятельно рекомендуем увеличить размер любого существующего AzureBastionSubnet до /26, если вы решите воспользоваться преимуществами масштабирования узла в будущем.
При развертывании Бастиона Azure с помощью любого номера SKU разработчика бастион требует выделенной подсети с именем AzureBastionSubnet. Эту подсеть необходимо создать в той же виртуальной сети, где необходимо развернуть Бастион Azure. Подсеть должна иметь следующую конфигурацию:
- Именем подсети должно быть AzureBastionSubnet.
- Размер подсети должен быть /26 или больше (/25, /24 и т. д.).
- Для масштабирования узла рекомендуется использовать подсеть размером /26 или более крупную. При использовании подсети меньшего размера количество единиц масштабирования ограничено. Дополнительные сведения см. в разделе о масштабировании узла этой статьи.
- Подсеть должна находиться в той же виртуальной сети и группе ресурсов, что и узел бастиона.
- Подсеть не может содержать другие ресурсы.
Вы можете настроить этот параметр, используя следующие методы:
| Способ | Значение | Ссылки. |
|---|---|---|
| Портал Azure | Подсеть | Краткое руководство Руководство |
| Azure PowerShell | -subnetName | командлет |
| Azure CLI | --subnet-name | command |
Общедоступный IP-адрес
Для развертываний Бастиона Azure требуется общедоступный IP-адрес, кроме развертываний SKU разработчика. Общедоступный IP-адрес должен иметь следующую конфигурацию:
- Номер SKU общедоступного IP-адреса должен принадлежать к типу Стандартный.
- Метод назначения или распределения общедоступного IP-адреса должен быть статическим.
- Имя общедоступного IP-адреса — это имя ресурса, по которому можно будет ссылаться на этот общедоступный IP-адрес.
- Вы можете использовать уже созданный общедоступный IP-адрес, если он соответствует критериям, необходимым бастиону Azure, и он еще не используется.
Вы можете настроить этот параметр, используя следующие методы:
| Способ | Значение | Ссылки. |
|---|---|---|
| Портал Azure | Общедоступный IP-адрес | Портал Azure |
| Azure PowerShell | -PublicIpAddress | командлет |
| Azure CLI | --public-ip create | command |
Экземпляры и масштабирование узла
Экземпляр — это оптимизированная виртуальная машина Azure, которая создается при настройке Бастиона Azure. Он полностью управляется Azure и выполняет все процессы, необходимые для Бастиона Azure. Экземпляр также называется единицей масштабирования. Подключение к виртуальным машинам клиента осуществляется через экземпляр Бастион Azure. При настройке Бастиона Azure с помощью номера SKU "Базовый" создаются два экземпляра. Если используется номер SKU уровня "Стандартный", можно указать количество экземпляров (не менее двух экземпляров). Этот процесс называется масштабированием узла.
Каждый экземпляр может поддерживать 20 одновременных подключений RDP и 40 одновременных подключений SSH для средних рабочих нагрузок (дополнительные сведения см. в разделе об ограничениях и квотах подписки Azure). Количество подключений на экземпляры зависит от того, какие действия вы выполняете при подключении к клиентской виртуальной машине. Например, если вы делаете что-то интенсивное, он создает большую нагрузку для обработки экземпляра. После превышения одновременных сеансов требуется еще одна единица масштабирования (экземпляр).
Экземпляры создаются в AzureBastionSubnet. Чтобы обеспечить масштабирование узла, AzureBastionSubnet должен быть равен /26 или больше. При использовании меньшей подсети количество экземпляров, которые можно создать, ограничено. Дополнительные сведения об AzureBastionSubnet см. в разделе о подсетях этой статьи.
Вы можете настроить этот параметр, используя следующие методы:
| Способ | Значение | Ссылки. | Требуется SKU "Стандартный" |
|---|---|---|---|
| Портал Azure | Число экземпляров | Практическое руководство | Да |
| Azure PowerShell | ScaleUnit | Практическое руководство | Да |
Пользовательские порты
Вы можете указать порт, который хотите использовать для подключения к виртуальным машинам. По умолчанию для подключения используются следующие входящие порты: 3389 (протокол RDP) и 22 (протокол SSH). Если вы используете пользовательский порт, укажите его значение при подключении к виртуальной машине.
Значения пользовательских портов поддерживаются только для ценовой категории "Стандартный".
Ссылка, доступная для общего доступа
Функция Бастиона Shareable Link позволяет пользователям подключаться к целевому ресурсу с помощью Бастиона Azure без доступа к портал Azure.
Когда пользователь без учетных данных Azure щелкает общую ссылку, откроется веб-страница, которая предложит пользователю войти в целевой ресурс через RDP или SSH. Пользователи проходят проверку подлинности с помощью имени пользователя и пароля или закрытого ключа в зависимости от того, что вы настроили в портал Azure для этого целевого ресурса. Пользователи могут подключаться к тем же ресурсам, к которым можно подключиться с помощью Бастиона Azure: виртуальных машин или масштабируемого набора виртуальных машин.
| Способ | Значение | Ссылки. | Требуется SKU "Стандартный" |
|---|---|---|---|
| Портал Azure | Ссылка для общего доступа | Настройка | Да |
Зоны доступности
Некоторые регионы поддерживают возможность развертывания Бастиона Azure в зоне доступности (или нескольких для избыточности зоны). Чтобы развернуть зонально, разверните бастион с помощью вручную указанных параметров (не развертывайте с помощью автоматических параметров по умолчанию). Укажите требуемые зоны доступности во время развертывания. Вы не можете изменить зональную доступность после развертывания Бастиона.
Поддержка Зоны доступности в настоящее время доступна в предварительной версии. Во время предварительной версии доступны следующие регионы:
- Восточная часть США
- Восточная Австралия
- Восточная часть США 2
- Центральная часть США
- Центральный Катар
- Северная часть ЮАР
- Западная Европа
- западная часть США 2
- Северная Европа
- Центральная Швеция
- южная часть Соединенного Королевства
- Центральная Канада
Следующие шаги
Часто задаваемые вопросы см. в разделе с вопросами и ответами о Бастионе Azure.