關於 Bastion 組態設定
本文中的各節將討論 Azure Bastion 的資源和設定。
SKU
SKU 也稱為「階層」。 Azure Bastion 支援多個 SKU 層。 設定 Bastion 時,您會選取 SKU 層。 您可以根據要使用的功能來決定 SKU 層。 下表顯示每種對應 SKU 的功能可用性。
| 功能 | 開發人員 SKU | 基本 SKU | 標準 SKU |
|---|---|---|---|
| 連線至相同虛擬網路中的目標 VM | Yes | .是 | Yes |
| 連線至對等互連虛擬網路中的目標 VM | No | 是 | 是 |
| 支援並行連線 | No | .是 | Yes |
| 在 Azure Key Vault (AKV) 中存取 Linux VM 私密金鑰 | No | .是 | Yes |
| 使用 SSH 連線至 Linux VM | Yes | 是 | 是 |
| 使用 RDP 連線至 Windows VM | Yes | 是 | 是 |
| 使用 RDP 連線至 Linux VM | No | 無 | Yes |
| 使用 SSH 連線至 Windows VM | No | 無 | 是 |
| 指定自訂輸入連接埠 | No | 無 | 是 |
| 使用 Azure CLI 連線至 VM | No | 無 | 是 |
| 主機調整 | No | 無 | 是 |
| 上傳或下載檔案 | No | 無 | 是 |
| Kerberos 驗證 | No | 是 | 是 |
| 可共用連結 | No | 無 | 是 |
| 透過 IP 位址連線到 VM | No | 無 | 是 |
| VM 音訊輸入 | Yes | .是 | Yes |
| 停用複製/貼上 (Web 型用戶端) | No | 無 | Yes |
開發人員 SKU (預覽)
Bastion 開發人員 SKU 是新的低成本、輕量型 SKU。 此 SKU 適用於想要在不需要其他功能或調整時,安全地連線至 VM 的開發/測試使用者。 您可以透過虛擬機器連線頁面,一次直接連線至一個 Azure VM。
開發人員 SKU 相較於其他 SKU 層有不同的需求和限制。 如需詳細資訊和部署步驟,請參閱自動部署 Bastion - 開發人員 SKU。
目前在下列區域提供開發人員 SKU (預覽):
- 美國中部 EUAP
- 美國東部 2 EUAP
- 美國中西部
- 美國中北部
- 美國西部
- 北歐
注意
開發人員 SKU 目前不支援 VNet 對等互連。
指定 SKU
| 方法 | SKU 值 | 連結 |
|---|---|---|
| Azure 入口網站 | 服務層級 - 開發人員 | 快速入門 |
| Azure 入口網站 | 服務層級 - 基本 | 快速入門 |
| Azure 入口網站 | 服務階層 - 基本或標準 | 教學課程 |
| Azure PowerShell | 服務階層 - 基本或標準 | 操作說明 |
| Azure CLI | 服務階層 - 基本或標準 | 操作說明 |
升級 SKU
您一律可以升級 SKU 以新增更多功能。
注意
不支援降級 SKU。 若要降級,您必須刪除並重新建立 Azure Bastion。
您可以使用下列方法來進行此設定:
| 方法 | 值 | 連結 |
|---|---|---|
| Azure 入口網站 | 層 | 操作說明 |
Azure Bastion 子網路
重要
針對在 2021 年 11 月 2 日或之後部署的 Azure Bastion 資源,最小的 AzureBastionSubnet 大小為 /26 或更大 (/25、/24 等)。 在此日期之前,部署在大小為 /27 的子網路中的所有 Azure Bastion 資源都不受此變更影響,仍持續運作,但強烈建議您將任何現有的 AzureBastionSubnet 大小提高至 /26,以利您在未來選擇使用主機調整。
當您使用開發人員 SKU 以外的任何 SKU 部署 Azure Bastion 時,Bastion 需要名為 AzureBastionSubnet 的專用子網路。 您必須在想要部署 Azure Bastion 的相同虛擬網路中建立此子網路。 子網路必須具有下列設定:
- 子網路的名稱必須是 AzureBastionSubnet。
- 子網大小必須是 /26 或更大 (/25、/24 等)。
- 針對主機調整,建議使用 /26 或更大的子網路。 使用較小的子網路空間會限制縮放單位的數目。 如需詳細資訊,請參閱本文的主機調整一節。
- 子網路必須位於與堡壘主機相同的虛擬網路和資源群組中。
- 子網路不能包含其他資源。
您可以使用下列方法來進行此設定:
| 方法 | 值 | 連結 |
|---|---|---|
| Azure 入口網站 | 子網路 | 快速入門 教學課程 |
| Azure PowerShell | -subnetName | Cmdlet |
| Azure CLI | --subnet-name | 命令 |
公用 IP 位址
Azure Bastion 部署需要公用IP位址,但開發人員 SKU 部署除外。 公用 IP 必須具有下列設定:
- 公用 IP 位址 SKU 類型必須是標準。
- 公用 IP 位址指派/配置方法必須是靜態。
- 公用 IP 位址名稱是您想要參考此公用 IP 位址所在資源的名稱。
- 您可以選擇使用您已建立的公用 IP 位址,只要其符合 Azure Bastion 所需的準則,且尚未使用中。
您可以使用下列方法來進行此設定:
| 方法 | 值 | 連結 |
|---|---|---|
| Azure 入口網站 | 公用 IP 位址 | Azure 入口網站 |
| Azure PowerShell | -PublicIpAddress | Cmdlet |
| Azure CLI | --public-ip create | 命令 |
執行個體和主機調整
執行個體是您設定 Azure Bastion 時所建立的最佳化 Azure VM。 其完全由 Azure 管理,並執行 Azure Bastion 所需的所有程序。 執行個體也會參考為縮放單位。 您可以透過 Azure Bastion 執行個體連線至用戶端 VM。 當您使用基本 SKU 設定 Azure Bastion 時,系統會建立兩個執行個體。 如果您使用標準 SKU,則可以指定執行個體數目 (最少兩個執行個體)。 這稱為主機調整。
每個執行個體都可以針對中型工作負載支援 20 個並行 RDP 連線和 40 個並行 SSH 連線 (如需詳細資訊,請參閱 Azure 訂用帳戶限制和配額)。 每個執行個體的連線數目取決於您連線至用戶端 VM 時所採取的動作。 例如,如果您執行時需要大量資料,其會為執行個體建立更大的負載來處理。 超過並行工作階段之後,便需要其他的縮放單位 (執行個體)。
執行個體會在 AzureBastionSubnet 中建立。 若要允許主機調整,AzureBastionSubnet 應為 /26 或更大。 使用較小的子網路會限制您可以建立的執行個體數目。 如需關於 AzureBastionSubnet 的詳細資訊,請參閱本文中的子網路一節。
您可以使用下列方法來進行此設定:
| 方法 | 值 | 連結 | 需要標準 SKU |
|---|---|---|---|
| Azure 入口網站 | 執行個體計數 | 操作說明 | Yes |
| Azure PowerShell | ScaleUnit | 操作說明 | Yes |
自訂連接埠
您可以指定想要用來連線至 VM 的連接埠。 根據預設,用來連線的輸入連接埠為針對 RDP 為 3389,SSH 則為 22。 如果您設定自訂連接埠值,請在連線至 VM 時指定該值。
標準 SKU 僅支援自訂連接埠值。
可共用連結
Bastion [可共用連結] 功能可讓使用者使用 Azure Bastion 連線到目標資源,而不需存取 Azure 入口網站。
當沒有 Azure 認證的使用者按一下可共用連結時,網頁隨即開啟,提示使用者透過 RDP 或 SSH 登入目標資源。 視您在 Azure 入口網站中為目標資源設定的內容而定,使用者會使用使用者名稱和密碼或私密金鑰進行驗證。 使用者可以連線到您目前可使用 Azure Bastion 連線的相同資源:VM 或虛擬機器擴展集。
| 方法 | 值 | 連結 | 需要標準 SKU |
|---|---|---|---|
| Azure 入口網站 | 可共用連結 | 設定 | Yes |
下一步
如需常見問題集,請參閱 Azure Bastion 常見問題集。