什么是 Azure Bastion？

小提示：您能找到这篇{什么是 Azure Bastion？}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的什么是 Azure Bastion？内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">Azure Bastion是你部署的一项服务，借此可使用浏览器和Azure门户连接到虚拟机。Azure Bastion服务是的一种完全平台管理的PaaS服务，可在虚拟网络中进行预配。可通过TLS直接从Azure门户实现与虚拟机之间的安全无缝的RDP/SSH连接。通过Azure Bastion连接时，你的虚拟机无需公共IP、代理或特殊的客户端软件。

< ">Bastion为预配它的虚拟网络中的所有VM提供安全的RDP和SSH连接。使用Azure Bastion可防止虚拟机向外部公开RDP/SSH端口，同时仍然使用RDP/SSH提供安全访问。

< ">体系结构

< ">Azure Bastion部署是按虚拟网络进行的，而不是按订阅/帐户或虚拟机进行的。在虚拟网络中预配Azure Bastion服务后，即可在同一虚拟网络中的所有VM上获得RDP/SSH体验。

< ">RDP和SSH是连接Azure中运行的工作负载的基本方法。不要通过Internet公开RDP/SSH端口，这被视为一个严重的威胁面。这通常是由于协议漏洞造成的。若要包含此威胁面，可以在外围网络的公共端部署bastion主机（也称为跳转服务器）。Bastion主机服务器在设计和配置上考虑了抵御攻击。Bastion服务器还为位于bastion后以及网络内的工作负载提供RDP和SSH连接。

< ">Azure Bastion体系结构

< ">此图显示了Azure Bastion部署体系结构。在此图中：

• < ">Bastion主机部署在虚拟网络中。

• < ">用户使用任何HTML5浏览器连接到Azure门户。

• < ">用户选择要连接到的虚拟机。

• < ">单击一下，在浏览器中打开RDP/SSH会话。

• < ">Azure VM无需公共IP。

< ">主要功能

< ">提供以下功能：

< ">在Azure门户中直接使用RDP和SSH连接：可以通过单击无缝体验直接在Azure门户中进行RDP和SSH会话。

< ">穿越防火墙，通过TLS进行RDP/SSH远程会话：Azure Bastion使用基于HTML5的Web客户端，该客户端自动流式传输到本地设备，使你可以安全穿越公司防火墙，在端口443上通过TLS进行RDP/SSH会话。

< ">Azure VM无需公共IP：Azure Bastion使用VM上的专用IP打开与Azure虚拟机的RDP/SSH连接。虚拟机无需公共IP。

< ">轻松管理NSG：Azure Bastion是Azure提供的完全托管平台PaaS服务，其内部进行了加固，以提供安全的RDP/SSH连接。无需在Azure Bastion子网上应用任何NSG。由于Azure Bastion通过专用IP连接到虚拟机，所以可将NSG配置为仅允许来自Azure Bastion的RDP/SSH。这样消除了每次需要安全地连接到虚拟机时管理NSG的麻烦。

< ">端口扫描防护：因为无需将虚拟机公开到公共Internet，因此可防止VM受到虚拟网络外部的恶意用户的端口扫描。

< ">防止零日漏洞。仅在一个位置强化：Azure Bastion是完全托管平台PaaS服务。由于它位于虚拟网络外围，因此你无需担心如何强化虚拟网络中的每个虚拟机。Azure平台通过使Azure Bastion保持强化且始终保持最新来防范零天攻击。

< ">新增功能

< ">订阅RSS源，并在Azure更新页面上查看最新的Azure Bastion功能更新。

< ">常见问题

< ">面向哪些区域提供？

< ">备注

< ">我们正在努力添加其他区域。添加区域时，我们会将其添加到此列表中。

< ">美洲

• < ">巴西南部

• < ">加拿大中部

• < ">美国中部

• < ">美国东部

• < ">美国东部2

• < ">美国中北部

• < ">美国中南部

• < ">美国中西部

• < ">美国西部

• < ">美国西部2

< ">欧洲

• < ">法国中部

• < ">北欧

• < ">挪威东部

• < ">挪威西部

• < ">瑞士北部

  
  

  

  
  

• < ">英国南部

• < ">英国西部

• < ">西欧

< ">亚太区

• < ">澳大利亚中部2

• < ">澳大利亚东部

• < ">澳大利亚东南部

• < ">东亚

• < ">日本东部

• < ">日本西部

• < ">韩国中部

• < ">韩国南部

• < ">东南亚

• < ">印度中部

• < ">印度西部

< ">中东和非洲

• < ">南非北部

• < ">阿联酋中部

< ">Azure Government

• < ">US DoD中部

• < ">US DoD东部

• < ">US Gov亚利桑那州

• < ">US Gov德克萨斯州

• < ">US Gov弗吉尼亚州

< ">Azure中国

• < ">中国东部2

• < ">中国北部2

< ">我的虚拟机上是否需要公共IP才能通过Azure Bastion进行连接？

< ">否。使用Azure Bastion连接到VM时，不需要在要连接到的Azure虚拟机上具有公共IP。Bastion服务会通过虚拟网络中的虚拟机的专用IP打开到虚拟机的RDP/SSH会话/连接。

< ">是否支持IPv6？

< ">目前不支持IPv6。Azure Bastion仅支持IPv4。

< ">是否需要RDP或SSH客户端？

< ">否。无需RDP或SSH客户端即可在Azure门户中访问RDP/SSH来连接到Azure虚拟机。使用Azure门户能够直接在浏览器中通过RDP/SSH来访问虚拟机。

< ">是否需要在Azure虚拟机中运行代理？

< ">否。无需在浏览器或Azure虚拟机上安装代理或任何软件。Bastion服务没有代理，不需要任何其他软件即可使用RDP/SSH。

< ">每个Azure Bastion支持多少个并发RDP和SSH会话？

< ">RDP和SSH都是基于使用率的协议。会话的使用率高将导致堡垒主机支持的会话总数较少。下面的数字假设采用了标准的日常工作流。

< ">*可能因其他正在进行的RDP会话或其他正在进行的SSH会话而有所不同。

< ">**如果存在现有的RDP连接或通过其他正在进行的SSH会话使用，则可能会有所不同。

< ">RDP会话支持哪些功能？

< ">目前仅支持文本复制/粘贴。不支持文件复制等功能。请随时在Azure Bastion反馈页上分享有关新功能的反馈。

< ">Bastion强化是否适用于AADJ VM扩展加入的VM？

< ">此功能不适用于使用Azure AD用户的AADJ VM扩展加入的计算机。有关详细信息，请参阅Microsoft Azure VM和Azure AD。

< ">支持哪些浏览器？

< ">使用Windows上的Microsoft Edge浏览器或Google Chrome。对于Apple Mac，可使用Google Chrome浏览器。Windows和Mac上也支持Microso网站被攻击ft Edge Chromium。

< ">Azure Bastion将客户数据存储在何处？

< ">Azure Bastion不会将客户数据移出部署的区域或存储到部署区域以外的区域。

< ">是否需要通过角色来访问虚拟机？

< ">需要使用以下角色进行连接：

• < ">虚拟机上的读者角色

• < ">NIC上的读者角色（使用虚拟机的专用IP）

• < ">Azure Bastion资源上的读者角色

  
  

  

  
  

< ">定价是多少？

< ">有关详细信息，请参阅定价页。

< ">Azure Bastion是否需要RDS CAL才能在Azure托管的VM上实现管理目的？

< ">不需要，通过Azure Bastion访问Windows Server VM时，不需要RDS CAL（如果仅用于管理目的）。

< ">Bastion远程会话期间支持哪些键盘布局？

< ">Azure Bastion目前在VM内支持en-us-qwerty键盘布局。对其他区域设置的键盘布局的支持尚在开发中。

< ">Azure Bastion子网是否支持用户定义的路由(UDR)？

< ">不是。Azure Bastion子网不支持UDR。

< ">对于在同一虚拟网络中同时包含Azure Bastion和Azure防火墙/网络虚拟设备(NVA)的方案，无需强制流量从Azure Bastion子网发往Azure防火墙，因为Azure Bastion与VM之间的通信是专用的。有关详细信息，请参阅通过Bastion访问Azure防火墙后的VM。

< ">为什么在Bastion会话启动前收到了“你的会话已过期”的错误消息？

< ">会话只能从Azure门户启动。登录到Azure门户，并重新开始会话。如果直接从另一个浏览器会话或选项卡转到URL，则会出现此错误。它有助于确保会话更安宁波做小程序全，并且该会话只能通过Azure门户来访问。

< ">如何处理部署失败？

< ">查看任何错误消息并根据需要在Azure门户中提出支持请求。Azure订阅限制、配额和约束可能会导致部署失败。具体来说，客户可能会遇到对每个订阅允许的公共IP地址数的限制，这会导致Azure Bastion部署失败。

< ">如何在灾难恢复计划中纳入Azure Bastion？

< ">Azure Bastion是在VNet或对等的VNet中部署的，与Azure区域相关联。由你负责将Azure Bastion部署到灾难恢复(DR)站点VNet。如果出现Azure区域故障，请将VM故障转移到DR区域。然后，使用DR区域中部署的Azure Bastion主机连接到现在此处部署的VM。

< ">后续步骤

< ">教程：创建Azure Bastion主机并连接到Windows VM。

< ">了解Azure的一些其他关键网络功能。