Azure Bastion 常見問題集
Bastion 服務和部署常見問題
支援哪些瀏覽器?
瀏覽器必須支援 HTML 5。 在 Windows 中,請使用 Microsoft Edge 瀏覽器或 Google Chrome。 若為 Apple Mac,請使用 Google Chrome 瀏覽器。 Microsoft Edge Chromium 也分別受到 Windows 和 Mac 的支援。
價格如何運作?
Azure Bastion 定價是根據 SKU 和執行個體 (縮放單位),加上資料傳輸費率的每小時價格組合。 無論輸出資料使用量為何,每小時價格都是從部署 Bastion 的那一刻開始計費。 如需最新的價格資訊,請參閱 Azure Bastion 價格頁面。
是否支援 IPV6?
目前不支援 IPv6。 Azure Bastion 僅支援 IPv4。 這表示,您只能將 IPv4 公用 IP 位址指派給 Bastion 資源,而且您可以使用 Bastion 連線到 IPv4 目標 VM。 您也可以使用 Bastion 連線到雙堆疊目標 VM,但只能透過 Azure Bastion 傳送和接收 IPv4 流量。
Azure Bastion 會將客戶資料儲存在何處?
Azure Bastion 不會將客戶資料移動或儲存到其部署所在的區域外。
Azure Bastion 是否支援可用性區域?
某些區域支援在可用性區域中部署 Azure Bastion 的功能(或多個區域備援)。 若要以分區方式部署,請使用手動指定的設定來部署 Bastion(請勿使用自動預設設定進行部署)。 指定部署時所需的可用性區域。 部署 Bastion 之後,您無法變更區域性可用性。
可用性區域 的支援目前為預覽狀態。 在預覽期間,有下列區域可供使用:
- 美國東部
- 澳大利亞東部
- 美國東部 2
- 美國中部
- 卡達中部
- 南非北部
- 西歐
- 美國西部 2
- 北歐
- 瑞典中部
- 英國南部
- 加拿大中部
如果您無法選取區域,您可能已選取尚未支援可用性區域的 Azure 區域。
如需可用性區域的詳細資訊,請參閱 可用性區域。
Azure Bastion 是否支援虛擬 WAN?
是,您可以使用 Azure Bastion 進行 Virtual WAN 部署。 不過,不支援在虛擬 WAN 中樞內部署 Azure Bastion。 您可以在輪輻虛擬網路中部署 Azure Bastion,並使用 IP 型連線 功能,透過虛擬 WAN 中樞連線到跨不同虛擬網路部署的虛擬機。 如果 Azure 虛擬 WAN 中樞將與 Azure 防火牆 整合為安全的虛擬中樞,AzureBastionSubnet 必須位於預設 0.0.0.0/0 路由傳播在虛擬網路連線層級停用的 虛擬網絡 內。
如果我將因特網流量強制通道回到內部部署位置,可以使用 Azure Bastion 嗎?
否,如果您要透過 ExpressRoute 或 VPN 公告預設路由 (0.0.0.0.0/0),且此路由會插入至您的 虛擬網絡,這會中斷 Azure Bastion 服務。
Azure Bastion 必須能夠與特定內部端點通訊,才能成功連線到目標資源。 因此,只要您選取的區功能變數名稱稱不會與這些內部端點的命名重疊,就「可以」搭配 Azure 私人 DNS 區域使用 Azure Bastion。 部署 Azure Bastion 資源之前,請確定主機虛擬網路未連結至具有下列確切名稱的私人 DNS 區域:
- management.azure.com
- blob.core.windows.net
- core.windows.net
- vaultcore.windows.net
- vault.azure.net
- azure.com
您可以使用私人 DNS 區域,結尾為上一個清單中的其中一個名稱(例如:privatelink.blob.core.windows.net)。
國家雲端中的 Azure 私人 DNS 區域不支援 Azure Bastion。
我的 privatelink.azure.com 無法解析為 management.privatelink.azure.com
這可能是因為連結到 Bastion 虛擬網路 privatelink.azure.com 的私人 DNS 區域,導致 MANAGEMENT.AZURE.COM CNAME 解析為幕後 management.privatelink.azure.com。 在其 privatelink.azure.com 區域中為 management.privatelink.azure.com 建立一個 CNAME 記錄到 arm-frontdoor-prod.trafficmanager.net,以啟用成功的 DNS 解析。
Azure Bastion 是否支援 Private Link?
否,Azure Bastion 目前不支援 Azure Private Link。
為什麼在入口網站中使用「部署 Bastion」時出現「無法新增子網路」錯誤?
目前,針對大多數的位址空間,必須先將名為 AzureBastionSubnet 的子網路新增至虛擬網路,然後選取 [部署 Bastion]。
將 Bastion 部署至 AzureBastionSubnet 是否需要特殊許可權?
若要將 Bastion 部署至 AzureBastionSubnet,則需要寫入許可權。 範例: Microsoft.Network/virtualNetworks/write。
我可以具有大小為 /27 或較小 (/28、/29 等) 的 Azure Bastion 子網路嗎?
針對在 2021 年 11 月 2 日或之後部署的 Azure Bastion 資源,最小的 AzureBastionSubnet 大小為 /26 或更大 (/25、/24 等)。 在此日期之前,部署在 /27 子網中的所有 Azure Bastion 資源都不受此變更影響,且將繼續運作。 不過,強烈建議您將任何現有的 AzureBastionSubnet 大小增加至 /26,以防您在未來選擇利用主機調整。
我可以在 Azure Bastion 子網路中部署多個 Azure 資源嗎?
否。 Azure Bastion 子網路 (AzureBastionSubnet) 僅保留給 Azure Bastion 資源的部署。
Azure Bastion 子網路是否支援使用者定義的路由 (UDR)?
否。 Azure Bastion 子網路不支援 UDR。
若是相同的虛擬網路中同時包含 Azure Bastion 和 Azure 防火牆/網路虛擬設備 (NVA),您無需強制將 Azure Bastion 子網路的流量導向 Azure 防火牆,因為 Azure Bastion 和您的 VM 間採用私人通訊。 如需詳細資訊,請參閱透過 Bastion 從 Azure 防火牆後方存取 VM。
我應該使用哪個 SKU?
Azure Bastion 具有多個 SKU。 應該根據連線和功能需求選取 SKU。 如需 SKU 層和支援連線和功能的完整清單,請參閱組態設定一文。
是否可以升級 SKU?
是。 如需步驟,請參閱升級 SKU。 如需 SKU 的詳細資訊,請參閱組態設定一文。
是否可以降級 SKU?
否。 不支援降級 SKU。 如需 SKU 的詳細資訊,請參閱組態設定一文。
Bastion 是否支援 Azure 虛擬桌面的連線?
否,不支援 Azure 虛擬桌面的 Bastion 連線。
我該如何處理部署失敗?
檢閱任何錯誤訊息,並視需要在 Azure 入口網站提出支援要求。 部署失敗可能是因為 Azure 訂用帳戶限制、配額和條件約束所造成。 具體而言,客戶可能會遇到每個訂用帳戶允許的公用IP位址數目限制,導致Azure Bastion部署失敗。
如何在我的災害復原方案中納入 Azure Bastion?
Azure Bastion 會部署在虛擬網路或對等互連虛擬網路內,且與 Azure 區域相關聯。 您負責將 Azure Bastion 部署至災害復原 (DR) 網站虛擬網路。 如果 Azure 區域失敗,請針對 VM 執行故障轉移作業至 DR 區域。 然後,使用在 DR 區域中部署的 Azure Bastion 主機來連線到現在在該處部署的 VM。
Bastion 是否支援將 VNet 移至另一個資源群組?
否。 如果您將虛擬網路移至另一個資源群組(即使它位於相同的訂用帳戶中),您必須先從虛擬網路中刪除 Bastion,然後繼續將虛擬網路移至新的資源群組。 一旦虛擬網路位於新的資源群組中,您就可以將 Bastion 部署到虛擬網路。
Bastion 是否支援區域備援?
根據預設,新的 Bastion 部署目前不支援區域備援。 先前部署的防禦可能或可能不是區域備援。 例外狀況是南韓中部和東南亞的 Bastion 部署,這些部署確實支援區域備援。
Bastion 是否支援 Microsoft Entra 來賓帳戶?
是,Microsoft Entra 來賓帳戶可以獲得 Bastion 的存取權,並可連線到虛擬機器。 但是,Microsoft Entra 來賓帳戶無法透過 Microsoft Entra 驗證連線到 Azure VM。 透過 Microsoft Entra 驗證支援非來賓使用者。 如需 Azure VM 的 Microsoft Entra 驗證的詳細資訊 (適用於非來賓使用者),請參閱使用 Microsoft Entra ID 登入 Azure 中的 Windows 虛擬機器。
Bastion 可共享連結是否支援自訂網域?
否,Bastion 可共享連結不支援自訂網域。 使用者嘗試在 Bastion 主機憑證的 CN/SAN 中新增特定網域時,會收到憑證錯誤。
VM 連線和可用功能常見問題
需要哪些角色權限才能存取虛擬機器?
若要建立連線,必須具備下列角色:
- 虛擬機器上的讀取者角色。
- 虛擬機器的私人 IP 位址與 NIC 上的讀取者角色。
- Azure Bastion 資源上的讀者角色。
- 目標虛擬機器的虛擬網路上讀取者角色 (若 Bastion 部署位於對等互連的虛擬網路中)。
此外,使用者必須具有連線到 VM 的權限 (如有必要)。 例如,如果使用者透過 RDP 連線到 Windows VM,而且不是本機管理員群組的成員,則其必須是遠端桌面使用者群組的成員。
為什麼在 Bastion 工作階段開始之前,收到「您的工作階段已過期」錯誤訊息?
如果您直接從另一個瀏覽器工作階段或索引標籤移至 URL,則預計會發生此錯誤。 這有助於確保您的工作階段更加安全,而且只能透過 Azure 入口網站存取工作階段。 登入 Azure 入口網站並再次開始您的工作階段。
我的虛擬機器上是否需要公用 IP 才能透過 Azure Bastion 進行連線?
否。 使用 Azure Bastion 連線至 VM 時,要與 VM 連線的 Azure 虛擬機器上不需要公用 IP。 Bastion 服務會透過虛擬網路中虛擬機器的私人 IP,開啟至虛擬機器的 RDP/SSH 工作階段/連線。
我需要 RDP 或 SSH 用戶端嗎?
否。 您可以使用瀏覽器,從 Azure 入口網站存取虛擬機器。 如需可用的連線和方法,請參閱關於 VM 連線和功能。
使用者是否需要對目標 VM 具有特定權限才能進行 RDP 連線?
當使用者透過 RDP 連線到 Windows VM 時,他們必須在目標 VM 上具有權限。 如果使用者不是本機管理員,請將使用者新增至目標 VM 上的遠端桌面使用者群組。
是否可以使用原生用戶端連線到我的 VM?
是。 您可以使用原生用戶端從本機電腦連線到 VM。 請參閱使用原生用戶端連線到 VM。
我需要在 Azure 虛擬機器中執行代理程式嗎?
否。 您不需要在瀏覽器或 Azure 虛擬機器上安裝代理程式或任何軟體。 Bastion 服務沒有代理程式,不需要任何其他 RDP/SSH 軟體。
VM 工作階段支援哪些功能?
如需支援的功能,請參閱關於 VM 連線和功能。
重設密碼是否適用於透過可共享連結進行連線的本機使用者?
否。 某些組織的公司原則要求使用者在第一次登入本機帳戶時重設密碼。 使用可共享連結時,用戶無法變更密碼,即使可能會出現 [重設密碼] 按鈕。
VM 是否可以使用遠端音訊?
是。 請參閱關於 VM 連線和功能。
Azure Bastion 是否支援檔案傳輸?
Azure Bastion 支援使用 Bastion 和 RDP 或原生 SSH 用戶端,在目標 VM 與本機電腦之間傳輸檔案。 目前,您無法使用 PowerShell 或透過 Azure 入口網站上傳或下載檔案。 如需詳細資訊,請參閱使用原生用戶端上傳和下載檔案。
強化的 Bastion 是否會與已加入 AADJ VM 擴充功能的 VM 搭配運作?
這項功能不適用於使用 Microsoft Entra 之使用者且已加入 AADJ VM 擴充功能的電腦。 如需詳細資訊,請參閱使用 Microsoft Entra ID 登入 Azure 中的 Windows 虛擬機器。
Bastion 是否與設定為 RDS 工作階段主機的 VM 相容?
Bastion 不支持連線到設定為 RDS 會話主機的 VM。
Bastion 遠端工作階段期間支援哪些鍵盤配置?
Azure Bastion 目前在 VM 內支援下列鍵盤配置:
- en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
若要為目標語言建立正確的按鍵對應,您必須將本機電腦上的鍵盤配置設定為目標語言「並且」將目標 VM 內的鍵盤配置設定為目標語言。 這兩個鍵盤都必須設定為目標語言,才能在目標 VM 內建立正確的按鍵對應。
若要將目標語言設定為 Windows 工作站上的鍵盤配置,請瀏覽至 [設定] > [時間與語言] > [語言和區域]。 在 [慣用語言] 底下,選取 [新增語言],然後新增目標語言。 然後,您將能夠在工具列上看到鍵盤配置。 若要將英文 (美國) 設定為鍵盤配置,請在工具列上選取 [ENG],或按一下 Windows + 空格鍵以開啟鍵盤配置。
是否有鍵盤解決方案可在 VM 與瀏覽器之間切換焦點?
使用者可以使用「Ctrl+Shift+Alt」,在 VM 與瀏覽器之間有效地切換焦點。
如何? 從實例中取回鍵盤或滑鼠焦點?
按兩下資料列中的 Windows 鍵,即可在 Bastion 視窗中恢復焦點。
透過 Bastion 支援的最大螢幕解析度為何?
目前,1920x1080 (1080p) 是支援的最大解析度。
Azure Bastion 是否支援目標 VM 的時區設定或時區重新導向?
Azure Bastion 目前不支援時區重新導向,而且無法設定時區。 成功連線到客體 OS 之後,可以手動更新 VM 的時區設定。
在 Bastion 主機的維護期間,現有的工作階段是否會中斷連線?
是的,在 Bastion 資源的維護期間,目標 Bastion 資源上的現有工作階段會中斷連線。
我使用 JIT 原則連線到 VM,我需要額外的許可權嗎?
如果使用者使用 JIT 原則連線到 VM,則不需要額外的許可權。 如需使用 JIT 原則連線到 VM 的詳細資訊,請參閱 在 VM 上啟用 Just-In-Time 存取。
VNet 對等互連常見問題集
我是否仍然可以跨對等互連虛擬網路部署多個 Bastion 主機?
是。 根據預設,使用者會看到 Bastion 主機部署在 VM 所在的相同虛擬網路中。 不過,在 [連線] 功能表中,使用者可以看到跨對等互連網路偵測到的 多個 Bastion 主機。 其可以選取偏好的 Bastion 主機,用來連線到虛擬網路中部署的 VM。
如果我的對等互連 VNet 部署在不同的訂用帳戶中,則透過 Bastion 的連線是否會運作?
是,透過 Bastion 的連線將會繼續針對單一租使用者,跨不同訂用帳戶的對等互連虛擬網路運作。 不支援跨兩個不同租用戶的訂用帳戶。 若要在 [連線] 下拉式功能表中看到 Bastion,使用者必須在 [訂用帳戶 > 全域訂用帳戶] 中選取其有權存取的訂用帳戶。
我有對等互連 VNet 的存取權,但看不到該處部署的 VM。
請確定使用者具有 VM 和對等互連虛擬網路的讀取 許可權。 此外,請在 IAM 底下檢查使用者是否具有下列資源的讀取存取權:
- 虛擬機器上的讀取者角色。
- 虛擬機器的私人 IP 位址與 NIC 上的讀取者角色。
- Azure Bastion 資源上的讀者角色。
- 虛擬網路上的讀者角色 (如果沒有對等互連的虛擬網路,則不需要此角色)。
| 權限 | 描述 | 權限類型 |
|---|---|---|
| Microsoft.Network/bastionHosts/read | 取得堡壘主機 | 動作 |
| Microsoft.Network/virtualNetworks/BastionHosts/action | 取得虛擬網路中的堡壘主機參考。 | 動作 |
| Microsoft.Network/virtualNetworks/bastionHosts/default/action | 取得虛擬網路中的堡壘主機參考。 | 動作 |
| Microsoft.Network/networkInterfaces/read | 取得網路介面定義。 | 動作 |
| Microsoft.Network/networkInterfaces/ipconfigurations/read | 取得網路介面 IP 設定定義。 | 動作 |
| Microsoft.Network/virtualNetworks/read | 取得虛擬網路定義 | 動作 |
| Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | 取得虛擬網路子網路中所有虛擬機器的參考 | 動作 |
| Microsoft.Network/virtualNetworks/virtualMachines/read | 取得虛擬網路中所有虛擬機器的參考 | 動作 |
下一步
如需詳細資訊,請參閱什麼是 Azure Bastion。