什么是 Azure Bastion？

Azure Bastion是你部署的一項服務(wù)，借此可使用瀏覽器和Azure門戶連接到虛擬機。Azure Bastion服務(wù)是的一種完全平臺管理的PaaS服務(wù)，可在虛擬網(wǎng)絡(luò)中進(jìn)行預(yù)配?？赏ㄟ^TLS直接從Azure門戶實現(xiàn)與虛擬機之間的安全無縫的RDP/SSH連接。通過Azure Bastion連接時，你的虛擬機無需公共IP、代理或特殊的客戶端軟件。

Bastion為預(yù)配它的虛擬網(wǎng)絡(luò)中的所有VM提供安全的RDP和SSH連接。使用Azure Bastion可防止虛擬機向外部公開RDP/SSH端口，同時仍然使用RDP/SSH提供安全訪問。

體系結(jié)構(gòu)

Azure Bastion部署是按虛擬網(wǎng)絡(luò)進(jìn)行的，而不是按訂閱/帳戶或虛擬機進(jìn)行的。在虛擬網(wǎng)絡(luò)中預(yù)配Azure Bastion服務(wù)后，即可在同一虛擬網(wǎng)絡(luò)中的所有VM上獲得RDP/SSH體驗。

RDP和SSH是連接Azure中運行的工作負(fù)載的基本方法。不要通過Internet公開RDP/SSH端口，這被視為一個嚴(yán)重的威脅面。這通常是由于協(xié)議漏洞造成的。若要包含此威脅面，可以在外圍網(wǎng)絡(luò)的公共端部署bastion主機（也稱為跳轉(zhuǎn)服務(wù)器）。Bastion主機服務(wù)器在設(shè)計和配置上考慮了抵御攻擊。Bastion服務(wù)器還為位于bastion后以及網(wǎng)絡(luò)內(nèi)的工作負(fù)載提供RDP和SSH連接。

Azure Bastion體系結(jié)構(gòu)

此圖顯示了Azure Bastion部署體系結(jié)構(gòu)。在此圖中：

• Bastion主機部署在虛擬網(wǎng)絡(luò)中。

• 用戶使用任何HTML5瀏覽器連接到Azure門戶。

• 用戶選擇要連接到的虛擬機。

• 單擊一下，在瀏覽器中打開RDP/SSH會話。

• Azure VM無需公共IP。

主要功能

提供以下功能：

在Azure門戶中直接使用RDP和SSH連接：可以通過單擊無縫體驗直接在Azure門戶中進(jìn)行RDP和SSH會話。

穿越防火墻，通過TLS進(jìn)行RDP/SSH遠(yuǎn)程會話：Azure Bastion使用基于HTML5的Web客戶端，該客戶端自動流式傳輸?shù)奖镜卦O(shè)備，使你可以安全穿越公司防火墻，在端口443上通過TLS進(jìn)行RDP/SSH會話。

Azure VM無需公共IP：Azure Bastion使用VM上的專用IP打開與Azure虛擬機的RDP/SSH連接。虛擬機無需公共IP。

輕松管理NSG：Azure Bastion是Azure提供的完全托管平臺PaaS服務(wù)，其內(nèi)部進(jìn)行了加固，以提供安全的RDP/SSH連接。無需在Azure Bastion子網(wǎng)上應(yīng)用任何NSG。由于Azure Bastion通過專用IP連接到虛擬機，所以可將NSG配置為僅允許來自Azure Bastion的RDP/SSH。這樣消除了每次需要安全地連接到虛擬機時管理NSG的麻煩。

端口掃描防護(hù)：因為無需將虛擬機公開到公共Internet，因此可防止VM受到虛擬網(wǎng)絡(luò)外部的惡意用戶的端口掃描。

防止零日漏洞。僅在一個位置強化：Azure Bastion是完全托管平臺PaaS服務(wù)。由于它位于虛擬網(wǎng)絡(luò)外圍，因此你無需擔(dān)心如何強化虛擬網(wǎng)絡(luò)中的每個虛擬機。Azure平臺通過使Azure Bastion保持強化且始終保持最新來防范零天攻擊。

新增功能

訂閱RSS源，并在Azure更新頁面上查看最新的Azure Bastion功能更新。

常見問題

面向哪些區(qū)域提供？

備注

我們正在努力添加其他區(qū)域。添加區(qū)域時，我們會將其添加到此列表中。

美洲

• 巴西南部

• 加拿大中部

• 美國中部

• 美國東部

• 美國東部2

• 美國中北部

• 美國中南部

• 美國中西部

• 美國西部

• 美國西部2

歐洲

• 法國中部

• 北歐

• 挪威東部

• 挪威西部

• 瑞士北部

• 英國南部

• 英國西部

• 西歐

亞太區(qū)

• 澳大利亞中部2

• 澳大利亞東部

• 澳大利亞東南部

• 東亞

• 日本東部

• 日本西部

• 韓國中部

• 韓國南部

• 東南亞

• 印度中部

• 印度西部

中東和非洲

• 南非北部

• 阿聯(lián)酋中部

Azure Government

• US DoD中部

• US DoD東部

• US Gov亞利桑那州

• US Gov德克薩斯州

• US Gov弗吉尼亞州

Azure中國

• 中國東部2

• 中國北部2

我的虛擬機上是否需要公共IP才能通過Azure Bastion進(jìn)行連接？

否。使用Azure Bastion連接到VM時，不需要在要連接到的Azure虛擬機上具有公共IP。Bastion服務(wù)會通過虛擬網(wǎng)絡(luò)中的虛擬機的專用IP打開到虛擬機的RDP/SSH會話/連接。

是否支持IPv6？

目前不支持IPv6。Azure Bastion僅支持IPv4。

是否需要RDP或SSH客戶端？

否。無需RDP或SSH客戶端即可在Azure門戶中訪問RDP/SSH來連接到Azure虛擬機。使用Azure門戶能夠直接在瀏覽器中通過RDP/SSH來訪問虛擬機。

是否需要在Azure虛擬機中運行代理？

否。無需在瀏覽器或Azure虛擬機上安裝代理或任何軟件。Bastion服務(wù)沒有代理，不需要任何其他軟件即可使用RDP/SSH。

每個Azure Bastion支持多少個并發(fā)RDP和SSH會話？

RDP和SSH都是基于使用率的協(xié)議。會話的使用率高將導(dǎo)致堡壘主機支持的會話總數(shù)較少。下面的數(shù)字假設(shè)采用了標(biāo)準(zhǔn)的日常工作流。

*可能因其他正在進(jìn)行的RDP會話或其他正在進(jìn)行的SSH會話而有所不同。

**如果存在現(xiàn)有的RDP連接或通過其他正在進(jìn)行的SSH會話使用，則可能會有所不同。

RDP會話支持哪些功能？

目前僅支持文本復(fù)制/粘貼。不支持文件復(fù)制等功能。請隨時在Azure Bastion反饋頁上分享有關(guān)新功能的反饋。

Bastion強化是否適用于AADJ VM擴展加入的VM？

此功能不適用于使用Azure AD用戶的AADJ VM擴展加入的計算機。有關(guān)詳細(xì)信息，請參閱Microsoft Azure VM和Azure AD。

支持哪些瀏覽器？

使用Windows上的Microsoft Edge瀏覽器或Google Chrome。對于Apple Mac，可使用Google Chrome瀏覽器。Windows和Mac上也支持Microsoft Edge Chromium。

Azure Bastion將客戶數(shù)據(jù)存儲在何處？

Azure Bastion不會將客戶數(shù)據(jù)移出部署的區(qū)域或存儲到部署區(qū)域以外的區(qū)域。

是否需要通過角色來訪問虛擬機？

需要使用以下角色進(jìn)行連接：

• 虛擬機上的讀者角色

• NIC上的讀者角色（使用虛擬機的專用IP）

• Azure Bastion資源上的讀者角色

定價是多少？

有關(guān)詳細(xì)信息，請參閱定價頁。

Azure Bastion是否需要RDS CAL才能在Azure托管的VM上實現(xiàn)管理目的？

不需要，通過Azure Bastion訪問Windows Server VM時，不需要RDS CAL（如果僅用于管理目的）。

Bastion遠(yuǎn)程會話期間支持哪些鍵盤布局？

Azure Bastion目前在VM內(nèi)支持en-us-qwerty鍵盤布局。對其他區(qū)域設(shè)置的鍵盤布局的支持尚在開發(fā)中。

Azure Bastion子網(wǎng)是否支持用戶定義的路由(UDR)？

不是。Azure Bastion子網(wǎng)不支持UDR。

對于在同一虛擬網(wǎng)絡(luò)中同時包含Azure Bastion和Azure防火墻/網(wǎng)絡(luò)虛擬設(shè)備(NVA)的方案，無需強制流量從Azure Bastion子網(wǎng)發(fā)往Azure防火墻，因為Azure Bastion與VM之間的通信是專用的。有關(guān)詳細(xì)信息，請參閱通過Bastion訪問Azure防火墻后的VM。

為什么在Bastion會話啟動前收到了“你的會話已過期”的錯誤消息？

會話只能從Azure門戶啟動。登錄到Azure門戶，并重新開始會話。如果直接從另一個瀏覽器會話或選項卡轉(zhuǎn)到URL，則會出現(xiàn)此錯誤。它有助于確保會話更安全，并且該會話只能通過Azure門戶來訪問。

如何處理部署失??？

查看任何錯誤消息并根據(jù)需要在Azure門戶中提出支持請求。Azure訂閱限制、配額和約束可能會導(dǎo)致部署失敗。具體來說，客戶可能會遇到對每個訂閱允許的公共IP地址數(shù)的限制，這會導(dǎo)致Azure Bastion部署失敗。

如何在災(zāi)難恢復(fù)計劃中納入Azure Bastion？

Azure Bastion是在VNet或?qū)Φ鹊腣Net中部署的，與Azure區(qū)域相關(guān)聯(lián)。由你負(fù)責(zé)將Azure Bastion部署到災(zāi)難恢復(fù)(DR)站點VNet。如果出現(xiàn)Azure區(qū)域故障，請將VM故障轉(zhuǎn)移到DR區(qū)域。然后，使用DR區(qū)域中部署的Azure Bastion主機連接到現(xiàn)在此處部署的VM。

后續(xù)步驟

教程：創(chuàng)建Azure Bastion主機并連接到Windows VM。

了解Azure的一些其他關(guān)鍵網(wǎng)絡(luò)功能。