다음을 통해 공유

Bastion 세션 기록 구성

  • 아티클

이 문서는 Bastion 세션 녹화를 구성하는 데 도움이 됩니다. Azure Bastion 세션 기록 기능이 사용하도록 설정되면 베스천 호스트를 통해 가상 머신(RDP 및 SSH)에 대한 연결에 대한 그래픽 세션을 기록할 수 있습니다. 세션이 닫히거나 연결이 끊어진 후 기록된 세션은 SAS URL을 통해 스토리지 계정 내의 Blob 컨테이너에 저장됩니다. 세션 연결이 끊어지면 Azure Portal의 세션 기록 페이지에서 기록된 세션에 액세스하고 볼 수 있습니다. 세션 녹화에는 Bastion 프리미엄 SKU가 필요합니다.

시작하기 전에

다음 섹션에서는 Bastion 세션 기록에 대한 고려 사항, 제한 사항 및 필수 조건을 간략하게 설명합니다.

고려 사항 및 제한 사항

  • 이 기능을 사용하려면 프리미엄 SKU가 필요합니다.
  • 현재는 네이티브 클라이언트를 통해 세션 녹화를 사용할 수 없습니다.
  • Immutabale 스토리지 정책이 없어야 합니다.
  • 세션 기록은 한 번에 하나의 컨테이너/스토리지 계정을 지원합니다.
  • 세션이 활성화된 동안 스토리지 컨테이너를 변경하면 세션이 중단될 수 있습니다.
  • 녹음/녹화의 Blob 버전 관리가 없어야 합니다.
  • Bastion 배포에서 세션 기록을 사용하도록 설정하면 Bastion은 녹음이 가능한 요새 호스트를 통과하는 모든 세션을 기록합니다.

필수 구성 요소

  • Azure Bastion이 가상 네트워크에 배포됩니다. 단계는 자습서 - 지정된 설정을 사용하여 Bastion 배포를 참조하세요.
  • 이 기능을 위해 프리미엄 SKU를 사용하도록 Bastion을 구성해야 합니다. 세션 기록 기능을 구성할 때 더 낮은 SKU에서 프리미엄 SKU로 업데이트할 수 있습니다. SKU를 확인하고 필요한 경우 업그레이드하려면 SKU 보기 또는 업그레이드를 참조하세요.
  • 연결하는 가상 머신은 베스천 호스트를 포함하는 가상 네트워크 또는 Bastion 가상 네트워크에 직접 피어링되는 가상 네트워크에 배포되어야 합니다.

세션 녹화 사용

새 베스천 호스트 리소스를 만들 때 세션 기록을 사용하도록 설정하거나 나중에 Bastion을 배포한 후 구성할 수 있습니다.

베스천 호스트의 구성 페이지를 보여 주는 스크린샷.

새로운 Bastion 배포 단계

베스천 호스트를 수동으로 구성하고 배포하는 경우 배포 시 SKU 계층과 기능을 지정할 수 있습니다. Bastion 배포에 대한 포괄적인 단계는 지정된 설정을 사용하여 Bastion 배포를 참조하세요.

  1. Azure Portal에서 리소스 만들기를 선택합니다.
  2. Azure Bastion을 검색하고 만들기를 선택합니다.
  3. 수동 설정을 사용하여 값을 입력하고 프리미엄 SKU를 선택합니다.
  4. 고급 탭에서 세션 녹화를 선택하여 세션 녹화 기능을 사용하도록 설정합니다.
  5. 세부 정보를 검토하고 만들기를 선택합니다. Bastion은 즉시 베스천 호스트 만들기를 시작합니다. 이 프로세스를 완료하는 데는 약 10분이 걸립니다.

기존 Bastion 배포 단계

Bastion을 이미 배포한 경우 다음 단계에서 세션 기록을 사용하도록 설정합니다.

  1. Azure Portal에서 베스천 리소스로 이동합니다.
  2. Bastion 페이지의 왼쪽 창에서 구성을 선택합니다.
  3. 구성 페이지에서 계층에 대해 아직 선택하지 않은 경우 프리미엄을 선택합니다. 이 기능을 사용하려면 프리미엄 SKU가 필요합니다.
  4. 나열된 기능에서 세션 녹화(미리 보기)를 선택합니다.
  5. 적용을 선택합니다. Bastion은 즉시 베스천 호스트에 대한 설정 업데이트를 시작합니다. 업데이트에는 약 10분 정도 소요됩니다.

스토리지 계정 컨테이너 구성

이 섹션에서는 세션 녹화용 컨테이너를 설정하고 지정합니다.

  1. 리소스 그룹에 스토리지 계정을 만듭니다. 단계는 스토리지 계정 만들기SAS(공유 액세스 서명)을 사용하여 Azure Storage 리소스에 제한된 액세스 권한 부여를 참조하세요.

  2. 스토리지 계정 내에 컨테이너를 만듭니다. 이는 Bastion 세션 녹음을 저장하는 데 사용할 컨테이너입니다. 세션 녹화 전용 컨테이너를 만드는 것이 좋습니다. 단계는 컨테이너 만들기를 참조하세요.

  3. 스토리지 계정 페이지의 왼쪽 창에서 설정을 확장합니다. 리소스 공유(CORS)를 선택합니다.

  4. Blob 서비스에서 새 정책을 만들고 페이지 맨 위에 변경 내용을 저장합니다.

속성
허용된 원본 https:// 다음으로 시작하는 배스천의 전체 DNS 이름 뒤에 잇습니다 bst-. 이러한 값은 대/소문자를 구분합니다.
허용된 메서드 GET
허용된 헤더 *
노출된 헤더 *
최대 기간 86400

SAS URL 추가 또는 업데이트

세션 기록을 구성하려면 Bastion 세션 기록 구성에 SAS URL을 추가해야 합니다. 이 섹션에서는 컨테이너에서 Blob SAS URL을 생성한 다음 이를 베스천 호스트에 업로드합니다.

다음 단계는 SAS 생성 페이지에서 직접 필요한 설정을 구성하는 데 도움이 됩니다. 그러나 저장된 액세스 정책을 만들어 일부 설정을 선택적으로 구성할 수 있습니다. 그런 다음 SAS 생성 페이지에서 저장된 액세스 정책을 SAS 토큰에 연결할 수 있습니다. 저장된 액세스 정책을 만들려면 액세스 정책이나 SAS 만들기 페이지에서 권한과 시작/만료 날짜 및 시간을 선택합니다.

  1. 스토리지 계정 페이지에서 데이터 스토리지 -> 컨테이너로 이동합니다.
  2. Bastion 세션 기록을 저장하기 위해 만든 컨테이너를 찾은 다음 컨테이너 오른쪽에 있는 점 3개(줄임표)를 클릭하고 드롭다운 목록에서 SAS 만들기를 선택합니다.
  3. SAS 생성 페이지에서 권한에 대해 READ, CREATE, WRITE, LIST를 선택합니다.
  4. 시작 및 만료 날짜/시간에는 다음 권장 사항을 따릅니다.
    • 시작 시간을 현재 시간보다 최소 15분 전으로 설정합니다.
    • 만료 시간을 오랜 시간 이후로 설정합니다.
  5. 허용된 프로토콜에서 HTTPS만을 선택합니다.
  6. SAS 토큰 및 URL 생성을 클릭합니다. 페이지 하단에 생성된 Blob SAS 토큰과 Blob SAS URL이 표시됩니다.
  7. Blob SAS URL을 복사합니다.
  8. 베스천 호스트로 이동합니다. 왼쪽 창에서 세션 녹화를 선택합니다.
  9. 페이지 상단에서 SAS URL 추가 또는 업데이트를 선택합니다. SAS URL을 붙여넣은 다음 업로드를 클릭합니다.

녹음 보기

베스천 호스트에서 세션 기록이 사용하도록 설정되면 세션이 자동으로 기록됩니다. 통합 웹 플레이어를 통해 Azure Portal에서 녹음 내용을 볼 수 있습니다.

  1. Azure Portal에서 베스천 호스트로 이동합니다.
  2. 왼쪽 창의 설정에서 세션 녹화를 선택합니다.
  3. SAS URL은 이미 구성되어 있어야 합니다(이 연습의 앞부분). 그러나 SAS URL이 만료되었거나 SAS URL을 추가해야 하는 경우 이전 단계에서 Blob SAS URL을 획득하고 업로드합니다.
  4. 보려는 VM과 녹화 링크를 선택한 다음 녹화 보기를 선택합니다.

다음 단계

Bastion에 대한 추가 정보는 Bastion FAQ를 참조하세요.