Informace o nastavení konfigurace Bastionu
Oddíly v tomto článku diskutují o prostředcích a nastaveních služby Azure Bastion.
Skladové položky
Skladová položka se označuje také jako úroveň. Azure Bastion podporuje více úrovní SKU. Při konfiguraci Bastionu vyberete úroveň skladové položky. Úroveň skladové položky se rozhodnete na základě funkcí, které chcete použít. Následující tabulka uvádí dostupnost funkcí na odpovídající skladovou položku.
| Funkce | Skladová položka pro vývojáře | Základní SKU | Standardní SKU | Skladová položka Premium |
|---|---|---|---|---|
| Připojení k cílovým virtuálním počítačům ve stejné virtuální síti | Ano | Ano | Ano | Yes |
| Připojení k cílovým virtuálním počítačům v partnerských virtuálních sítích | No | Ano | Ano | Ano |
| Podpora souběžných připojení | No | Ano | Ano | Yes |
| Přístup k privátním klíčům virtuálního počítače s Linuxem ve službě Azure Key Vault (AKV) | Ano | Ano | Ano | Yes |
| Připojení k virtuálnímu počítači s Linuxem pomocí SSH | Ano | Ano | Ano | Ano |
| Připojení k virtuálnímu počítači s Windows pomocí protokolu RDP | Ano | Ano | Ano | Ano |
| Připojení k virtuálnímu počítači s Linuxem pomocí protokolu RDP | No | No | Ano | Yes |
| Připojení k virtuálnímu počítači s Windows pomocí SSH | No | No | Ano | Ano |
| Určení vlastního příchozího portu | No | No | Ano | Ano |
| Připojení k virtuálním počítačům pomocí Azure CLI | No | No | Ano | Ano |
| Škálování hostitele | No | No | Ano | Ano |
| Nahrání nebo stažení souborů | No | No | Ano | Ano |
| Ověřování protokolem Kerberos | No | Ano | Ano | Ano |
| Odkaz ke sdílení | No | No | Ano | Ano |
| Připojení k virtuálním počítačům přes IP adresu | No | No | Ano | Ano |
| Výstup zvuku virtuálního počítače | Ano | Ano | Ano | Yes |
| Zakázání kopírování a vkládání (webových klientů) | No | No | Ano | Yes |
| Záznam relace | No | No | No | Ano |
| Nasazení jen pro privátní uživatele | No | No | No | Ano |
Skladová položka pro vývojáře
Skladová položka Bastion Developer je bezplatná, odlehčená skladová položka. Tato skladová položka je ideální pro uživatele pro vývoj/testování, kteří se chtějí bezpečně připojit ke svým virtuálním počítačům, ale nepotřebují další funkce Bastionu ani škálování hostitele. Pomocí skladové položky pro vývojáře se můžete připojit k jednomu virtuálnímu počítači Azure najednou přímo přes stránku pro připojení virtuálního počítače.
Když nasadíte Bastion pomocí skladové položky pro vývojáře, požadavky na nasazení se liší od nasazení pomocí jiných skladových položek. Obvykle se při vytváření hostitele bastionu nasadí hostitel do podsítě AzureBastionSubnet ve vaší virtuální síti. Hostitel Bastionu je vyhrazený pro vaše použití. Když použijete skladovou položku pro vývojáře, hostitel bastionu není nasazený do vaší virtuální sítě a nepotřebujete AzureBastionSubnet. Hostitel bastionu SKU pro vývojáře ale není vyhrazeným prostředkem. Místo toho je součástí sdíleného fondu.
Vzhledem k tomu, že prostředek bastionu SKU pro vývojáře není vyhrazený, jsou funkce skladové položky pro vývojáře omezené. Informace o funkcích uvedených podle skladové položky najdete v části Nastavení konfigurace Bastionu. Skladovou položku pro vývojáře můžete kdykoli upgradovat na vyšší skladovou položku, pokud potřebujete podporovat více funkcí. Viz Upgrade skladové položky.
Skladová položka pro vývojáře je aktuálně dostupná v následujících oblastech:
- USA – střed (EUAP)
- USA – východ 2 (EUAP)
- Středozápad USA
- Severní střed USA
- USA – západ
- Severní Evropa
Poznámka:
V současné době se partnerský vztah virtuálních sítí pro skladovou položku pro vývojáře nepodporuje.
Skladová položka Premium
Skladová položka Premium je nová skladová položka, která podporuje funkce Bastionu, jako je záznam relace a privátní bastion. Když nasadíte Bastion, doporučujeme vybrat skladovou položku Premium jenom v případě, že potřebujete funkce, které podporuje.
Určení skladové položky
| metoda | Hodnota skladové položky | Odkazy |
|---|---|---|
| portál Azure | Úroveň – vývojář | Rychlý start |
| portál Azure | Úroveň – Basic | Rychlý start |
| portál Azure | Úroveň – Basic nebo vyšší | Kurz |
| Azure PowerShell | Úroveň – Basic nebo vyšší | Příručkový |
| Azure CLI | Úroveň – Basic nebo vyšší | Příručkový |
Upgrade skladové položky
Skladovou položku můžete kdykoli upgradovat a přidat další funkce. Další informace najdete v tématu Upgrade skladové položky.
Poznámka:
Downgradování skladové položky se nepodporuje. Pokud chcete downgradovat, musíte službu Azure Bastion odstranit a znovu vytvořit.
Podsíť Služby Azure Bastion
Důležité
Pro prostředky Služby Azure Bastion nasazené 2. listopadu 2021 nebo novější je minimální velikost podsítě AzureBastionSubnet /26 nebo větší (/25, /24 atd.). Na všechny prostředky služby Azure Bastion nasazené v podsítích velikosti /27 před tímto datem tato změna nemá vliv, ale důrazně doporučujeme zvětšit velikost existující podsítě AzureBastionSubnet na /26, pokud se rozhodnete využít škálování hostitele v budoucnu.
Když nasadíte Azure Bastion pomocí jakékoli skladové položky s výjimkou skladové položky pro vývojáře, bastion vyžaduje vyhrazenou podsíť s názvem AzureBastionSubnet. Tuto podsíť musíte vytvořit ve stejné virtuální síti, do které chcete nasadit Azure Bastion. Podsíť musí mít následující konfiguraci:
- Název podsítě musí být AzureBastionSubnet.
- Velikost podsítě musí být /26 nebo větší (/25, /24 atd.).
- Pro škálování hostitele se doporučuje podsíť /26 nebo větší. Použití menšího prostoru podsítě omezuje počet jednotek škálování. Další informace najdete v části Škálování hostitele tohoto článku.
- Podsíť musí být ve stejné virtuální síti a skupině prostředků jako hostitel bastionu.
- Podsíť nemůže obsahovat další prostředky.
Toto nastavení můžete nakonfigurovat pomocí následujících metod:
| metoda | Hodnota | Odkazy |
|---|---|---|
| portál Azure | Podsíť | Rychlý start Kurz |
| Azure PowerShell | -subnetName | rutina |
| Azure CLI | --subnet-name | příkaz |
Veřejná IP adresa
Nasazení služby Azure Bastion s výjimkou skladových položek pro vývojáře a privátních prostředků vyžadují veřejnou IP adresu. Veřejná IP adresa musí mít následující konfiguraci:
- Skladová položka veřejné IP adresy musí být Standardní.
- Metoda přiřazení nebo přidělení veřejné IP adresy musí být statická.
- Název veřejné IP adresy je název prostředku, kterým chcete odkazovat na tuto veřejnou IP adresu.
- Můžete použít veřejnou IP adresu, kterou jste už vytvořili, pokud splňuje kritéria požadovaná službou Azure Bastion a ještě se nepoužívá.
Toto nastavení můžete nakonfigurovat pomocí následujících metod:
| metoda | Hodnota | Odkazy |
|---|---|---|
| portál Azure | Veřejná IP adresa | Azure Portal |
| Azure PowerShell | -PublicIpAddress | rutina |
| Azure CLI | --public-ip create | příkaz |
Instance a škálování hostitele
Instance je optimalizovaný virtuální počítač Azure, který se vytvoří při konfiguraci služby Azure Bastion. Plně spravuje Azure a spouští všechny procesy potřebné pro Azure Bastion. Instance se také označuje jako jednotka škálování. Připojíte se k klientským virtuálním počítačům prostřednictvím instance služby Azure Bastion. Při konfiguraci služby Azure Bastion pomocí základní skladové položky se vytvoří dvě instance. Pokud používáte skladovou položku Standard nebo vyšší, můžete zadat počet instancí (s minimálně dvěma instancemi). Tomu se říká škálování hostitele.
Každá instance může podporovat 20 souběžných připojení RDP a 40 souběžných připojení SSH pro střední úlohy (další informace najdete v omezeních a kvótách předplatného Azure). Počet připojení na instance závisí na tom, jaké akce provádíte při připojení k klientskému virtuálnímu počítači. Pokud například děláte něco náročného na data, vytvoří se větší zatížení, aby instance zpracovávala. Po překročení souběžných relací se vyžaduje další jednotka škálování (instance).
Instance se vytvářejí v podsítě AzureBastionSubnet. Aby bylo možné škálování hostitele, měla by být podsíť AzureBastionSubnet /26 nebo větší. Použití menší podsítě omezuje počet instancí, které můžete vytvořit. Další informace o podsíti AzureBastionSubnet najdete v části podsítě v tomto článku.
Toto nastavení můžete nakonfigurovat pomocí následujících metod:
| metoda | Hodnota | Odkazy | Vyžaduje skladovou položku Standard nebo vyšší. |
|---|---|---|---|
| portál Azure | Počet instancí | Příručkový | Ano |
| Azure PowerShell | ScaleUnit | Příručkový | Ano |
Vlastní porty
Můžete zadat port, který chcete použít pro připojení k virtuálním počítačům. Ve výchozím nastavení jsou příchozí porty používané pro připojení 3389 pro protokol RDP a 22 pro SSH. Pokud nakonfigurujete vlastní hodnotu portu, zadejte tuto hodnotu při připojení k virtuálnímu počítači.
Vlastní hodnoty portů jsou podporovány pouze pro skladovou položku Standard nebo vyšší.
Odkaz ke sdílení
Funkce Bastion Shareable Link umožňuje uživatelům připojit se k cílovému prostředku pomocí služby Azure Bastion bez přístupu k webu Azure Portal.
Když uživatel bez přihlašovacích údajů Azure klikne na odkaz ke sdílení, otevře se webová stránka s výzvou, aby se uživatel přihlásil k cílovému prostředku přes protokol RDP nebo SSH. Uživatelé se ověřují pomocí uživatelského jména a hesla nebo privátního klíče v závislosti na tom, co jste nakonfigurovali na webu Azure Portal pro tento cílový prostředek. Uživatelé se můžou připojit ke stejným prostředkům, ke kterým se aktuálně můžete připojit pomocí služby Azure Bastion: virtuální počítače nebo škálovací sada virtuálních počítačů.
| metoda | Hodnota | Odkazy | Vyžaduje skladovou položku Standard nebo vyšší. |
|---|---|---|---|
| portál Azure | Odkaz ke sdílení | Konfigurace | Ano |
Nasazení jen pro privátní uživatele
Nasazení Bastionu, která jsou pouze privátní, zamknou úlohy tak, že vytvoří ne internetově směrovatelné nasazení Bastionu, které umožňuje přístup pouze k privátní IP adrese. Nasazení Bastionu, která jsou pouze privátní, neumožňují připojení k hostiteli bastionu prostřednictvím veřejné IP adresy. Naproti tomu běžné nasazení služby Azure Bastion umožňuje uživatelům připojit se k hostiteli bastionu pomocí veřejné IP adresy. Další informace naleznete v tématu Nasazení Bastionu jako pouze privátní.
Záznam relace
Pokud je povolená funkce záznamu relace služby Azure Bastion, můžete zaznamenat grafické relace pro připojení k virtuálním počítačům (RDP a SSH) prostřednictvím hostitele bastionu. Po zavření nebo odpojení relace se zaznamenané relace ukládají v kontejneru objektů blob v rámci vašeho účtu úložiště (přes adresu URL SAS). Když je relace odpojená, můžete získat přístup k zaznamenaným relacím a zobrazit je na webu Azure Portal na stránce Záznam relace. Záznam relace vyžaduje skladovou položku Bastion Premium. Další informace najdete v tématu Záznam relace Bastionu.
Zóny dostupnosti
Některé oblasti podporují možnost nasazení služby Azure Bastion do zóny dostupnosti (nebo více pro redundanci zón). Pokud chcete nasadit zónově, nasaďte Bastion pomocí ručně zadaných nastavení (nenasazujte pomocí automatického výchozího nastavení). Zadejte požadované zóny dostupnosti v době nasazení. Po nasazení Bastionu nemůžete změnit zónovou dostupnost.
Podpora pro Zóny dostupnosti je aktuálně ve verzi Preview. Ve verzi Preview jsou k dispozici následující oblasti:
- USA – východ
- Austrálie – východ
- USA – východ 2
- USA – střed
- Střední Katar
- Jižní Afrika – sever
- Západní Evropa
- Západní USA 2
- Severní Evropa
- Švédsko – střed
- Velká Británie – jih
- Střední Kanada
Další kroky
Nejčastější dotazy najdete v nejčastějších dotazech ke službě Azure Bastion.