Konfigurowanie rejestrowania sesji usługi Bastion
Ten artykuł ułatwia skonfigurowanie rejestrowania sesji usługi Bastion. Po włączeniu funkcji nagrywania sesji usługi Azure Bastion można rejestrować sesje graficzne dla połączeń wykonanych z maszynami wirtualnymi (RDP i SSH) za pośrednictwem hosta bastionu. Po zamknięciu lub rozłączeniu sesji zarejestrowane sesje są przechowywane w kontenerze obiektów blob na koncie magazynu (za pośrednictwem adresu URL sygnatury dostępu współdzielonego). Po rozłączeniu sesji możesz uzyskać dostęp do zarejestrowanych sesji i wyświetlić je w witrynie Azure Portal na stronie Nagrywanie sesji. Rejestrowanie sesji wymaga jednostki SKU usługi Bastion Premium.
Zanim rozpoczniesz
W poniższych sekcjach opisano zagadnienia, ograniczenia i wymagania wstępne dotyczące rejestrowania sesji usługi Bastion.
Zagadnienia i ograniczenia
- Jednostka SKU w warstwie Premium jest wymagana dla tej funkcji.
- Nagrywanie sesji nie jest obecnie dostępne za pośrednictwem klienta natywnego.
- Rejestrowanie sesji obsługuje jednocześnie jedno konto kontenera/magazynu.
- Gdy rejestrowanie sesji jest włączone na hoście bastionu, usługa Bastion rejestruje wszystkie sesje, które przechodzą przez hosta bastionu z włączoną obsługą nagrywania.
Wymagania wstępne
- Usługa Azure Bastion jest wdrażana w sieci wirtualnej. Zobacz Samouczek — wdrażanie usługi Bastion przy użyciu określonych ustawień , aby uzyskać instrukcje.
- Usługa Bastion musi być skonfigurowana do używania jednostki SKU w warstwie Premium dla tej funkcji. Możesz zaktualizować jednostkę SKU Premium z niższej jednostki SKU podczas konfigurowania funkcji nagrywania sesji. Aby sprawdzić jednostkę SKU i uaktualnić, w razie potrzeby zobacz Wyświetlanie lub uaktualnianie jednostki SKU.
- Maszyna wirtualna, z którą nawiązujesz połączenie, musi zostać wdrożona w sieci wirtualnej zawierającej hosta bastionu lub do sieci wirtualnej, która jest bezpośrednio połączona za pomocą komunikacji równorzędnej z siecią wirtualną usługi Bastion.
Włączanie rejestrowania sesji
Rejestrowanie sesji można włączyć podczas tworzenia nowego zasobu hosta bastionu lub skonfigurować go później po wdrożeniu usługi Bastion.
Kroki dotyczące nowych wdrożeń usługi Bastion
Podczas ręcznego konfigurowania i wdrażania hosta bastionu można określić warstwę jednostki SKU i funkcje podczas wdrażania. Aby uzyskać kompleksowe kroki wdrażania usługi Bastion, zobacz Wdrażanie usługi Bastion przy użyciu określonych ustawień.
- W witrynie Azure Portal wybierz pozycję Utwórz zasób.
- Wyszukaj usługę Azure Bastion i wybierz pozycję Utwórz.
- Wypełnij wartości przy użyciu ustawień ręcznych, wybierając jednostkę SKU Premium.
- Na karcie Zaawansowane wybierz pozycję Nagrywanie sesji, aby włączyć funkcję nagrywania sesji.
- Przejrzyj szczegóły i wybierz pozycję Utwórz. Usługa Bastion natychmiast rozpoczyna tworzenie hosta bastionu. Ukończenie tego procesu trwa około 10 minut.
Kroki dotyczące istniejących wdrożeń usługi Bastion
Jeśli usługa Bastion została już wdrożona, wykonaj następujące kroki, aby włączyć rejestrowanie sesji.
- W witrynie Azure Portal przejdź do zasobu usługi Bastion.
- Na stronie bastionu w okienku po lewej stronie wybierz pozycję Konfiguracja.
- Na stronie Konfiguracja w polu Warstwa wybierz pozycję Premium , jeśli nie została jeszcze wybrana. Ta funkcja wymaga jednostki SKU Premium.
- Wybierz pozycję Nagrywanie sesji (wersja zapoznawcza) z wymienionych funkcji.
- Wybierz Zastosuj. Usługa Bastion natychmiast rozpoczyna aktualizowanie ustawień hosta bastionu. Aktualizacje potrwają około 10 minut.
Konfigurowanie kontenera konta magazynu
W tej sekcji skonfigurujesz i określisz kontener na potrzeby nagrań sesji.
Utwórz konto magazynu w grupie zasobów. Aby uzyskać instrukcje, zobacz Tworzenie konta magazynu i Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS).
Utwórz Kontener w ramach konta magazynu. Jest to kontener używany do przechowywania nagrań sesji usługi Bastion. Zalecamy utworzenie wyłącznego kontenera na potrzeby nagrań sesji. Aby uzyskać instrukcje, zobacz Tworzenie kontenera.
Na stronie konta magazynu w okienku po lewej stronie rozwiń węzeł Ustawienia. Wybierz pozycję Udostępnianie zasobów (CORS).
Utwórz nowe zasady w obszarze Blob Service i zapisz zmiany w górnej części strony.
Nazwa/nazwisko | Wartość |
---|---|
Dozwolone źródła | https:// a następnie pełną nazwę DNS bastionu, zaczynając od bst- . Należy pamiętać, że te wartości są uwzględniane w wielkości liter. |
Dozwolone metody | GET |
Dozwolone nagłówki | * |
Uwidocznione nagłówki | * |
Maksymalny wiek | 86400 |
Dodawanie lub aktualizowanie adresu URL sygnatury dostępu współdzielonego
Aby skonfigurować nagrania sesji, należy dodać adres URL sygnatury dostępu współdzielonego do konfiguracji nagrań sesji usługi Bastion. W tej sekcji wygenerujesz adres URL sygnatury dostępu współdzielonego obiektu blob z kontenera, a następnie przekażesz go do hosta bastionu.
Poniższe kroki ułatwiają skonfigurowanie wymaganych ustawień bezpośrednio na stronie Generowanie sygnatury dostępu współdzielonego . Można jednak opcjonalnie skonfigurować niektóre ustawienia, tworząc przechowywane zasady dostępu. Następnie możesz połączyć przechowywane zasady dostępu z tokenem SAS na stronie Generowanie sygnatury dostępu współdzielonego . Jeśli chcesz utworzyć przechowywane zasady dostępu, wybierz pozycję Uprawnienia i Data rozpoczęcia/wygaśnięcia w zasadach dostępu lub na stronie Generowanie sygnatury dostępu współdzielonego .
- Na stronie konta magazynu przejdź do pozycji Magazyn danych —> Kontenery.
- Znajdź utworzony kontener do przechowywania nagrań sesji usługi Bastion, a następnie kliknij 3 kropki (wielokropek) z prawej strony kontenera i wybierz pozycję Generuj sygnaturę dostępu współdzielonego z listy rozwijanej.
- Na stronie Generowanie sygnatury dostępu współdzielonego w obszarze Uprawnienia wybierz pozycję ODCZYT, UTWÓRZ, ZAPIS, LISTA.
- W przypadku daty/godziny rozpoczęcia i wygaśnięcia użyj następujących zaleceń:
- Ustaw wartość Godzina rozpoczęcia na co najmniej 15 minut przed upływem bieżącego czasu.
- Ustaw czas wygaśnięcia na długi czas w przyszłości.
- W obszarze Dozwolone protokoły wybierz pozycję Tylko protokół HTTPS .
- Kliknij pozycję Generuj token SAS i adres URL. Zobaczysz token SAS obiektu blob i adres URL sygnatury dostępu współdzielonego obiektu blob wygenerowany w dolnej części strony.
- Skopiuj adres URL sygnatury dostępu współdzielonego obiektu blob.
- Przejdź do hosta bastionu. W okienku po lewej stronie wybierz pozycję Nagrania sesji.
- W górnej części strony wybierz pozycję Dodaj lub zaktualizuj adres URL sygnatury dostępu współdzielonego. Wklej adres URL sygnatury dostępu współdzielonego, a następnie kliknij pozycję Przekaż.
Wyświetlanie nagrania
Sesje są rejestrowane automatycznie, gdy rejestrowanie sesji jest włączone na hoście bastionu. Nagrania można wyświetlać w witrynie Azure Portal za pośrednictwem zintegrowanego odtwarzacza internetowego.
- W witrynie Azure Portal przejdź do swojego hosta Bastion.
- W okienku po lewej stronie w obszarze Ustawienia wybierz pozycję Nagrania sesji.
- Adres URL sygnatury dostępu współdzielonego powinien być już skonfigurowany (wcześniej w tym ćwiczeniu). Jeśli jednak adres URL sygnatury dostępu współdzielonego wygasł lub musisz dodać adres URL sygnatury dostępu współdzielonego, wykonaj poprzednie kroki, aby uzyskać i przekazać adres URL sygnatury dostępu współdzielonego obiektu blob.
- Wybierz link maszyna wirtualna i nagranie, które chcesz wyświetlić, a następnie wybierz pozycję Wyświetl nagranie.
Następne kroki
Wyświetl często zadawane pytania dotyczące usługi Bastion, aby uzyskać dodatkowe informacje o usłudze Bastion.