Udostępnij przez

Konfigurowanie rejestrowania sesji usługi Bastion

Ten artykuł ułatwia skonfigurowanie rejestrowania sesji usługi Bastion. Po włączeniu funkcji nagrywania sesji usługi Azure Bastion można rejestrować sesje graficzne dla połączeń wykonanych z maszynami wirtualnymi (RDP i SSH) za pośrednictwem hosta bastionu. Po zamknięciu lub rozłączeniu sesji zarejestrowane sesje są przechowywane w kontenerze blobów na koncie przechowywania (za pośrednictwem adresu URL sygnatury dostępu współdzielonego). Po rozłączeniu sesji możesz uzyskać dostęp do zarejestrowanych sesji i wyświetlić je w witrynie Azure Portal na stronie Nagrywanie sesji. Rejestrowanie sesji wymaga jednostki SKU usługi Bastion Premium.

Zanim rozpoczniesz

W poniższych sekcjach opisano zagadnienia, ograniczenia i wymagania wstępne dotyczące rejestrowania sesji usługi Bastion.

Zagadnienia i ograniczenia

  • SKU Premium jest wymagane dla tej funkcji.
  • Obsługa identyfikatora Entra dla sesji protokołu RDP w portalu nie może być używana jednocześnie z rejestrowaniem sesji graficznych w tej chwili.
  • Nagrywanie sesji nie jest obecnie dostępne za pośrednictwem klienta natywnego.
  • Nie mogą istnieć niezmienne zasady przechowywania
  • Rejestrowanie sesji obsługuje jednocześnie jedno konto kontenera/magazynu.
  • Zmiana kontenerów, gdy sesja jest aktywna, może spowodować zakłócenia w jej przebiegu.
  • Wersjonowanie blobów na nagraniach nie powinno być obecne
  • Gdy rejestrowanie sesji jest włączone we wdrożeniu usługi Bastion, usługa Bastion rejestruje wszystkie sesje, które przechodzą przez hosta bastionu z włączoną obsługą nagrywania.

Wymagania wstępne

  • Usługa Azure Bastion jest wdrażana w sieci wirtualnej. Zobacz Samouczek — wdrażanie usługi Bastion przy użyciu określonych ustawień , aby uzyskać instrukcje.
  • Usługa Bastion musi być skonfigurowana do używania SKU Premium dla tej funkcji. Możesz zaktualizować jednostkę SKU Premium z niższej jednostki SKU podczas konfigurowania funkcji nagrywania sesji. Aby sprawdzić jednostkę SKU i uaktualnić, w razie potrzeby zobacz Wyświetlanie lub uaktualnianie jednostki SKU.
  • Maszyna wirtualna, z którą nawiązujesz połączenie, musi być wdrożona w sieci wirtualnej, która zawiera host Bastion, lub w sieci wirtualnej, która jest bezpośrednio połączona z siecią wirtualną Bastion.
  • Aby wyświetlić/listować nagrania sesji, użytkownik musi mieć rolę Czytelnik danych Blob Storage.

Włączanie rejestrowania sesji

Rejestrowanie sesji można włączyć podczas tworzenia nowego zasobu hosta bastionu lub skonfigurować go później po wdrożeniu usługi Bastion.

Zrzut ekranu przedstawiający stronę konfiguracji hosta bastionu.

Kroki dotyczące nowych wdrożeń usługi Bastion

Podczas ręcznego konfigurowania i wdrażania serwera bastionowego można określić poziom SKU oraz funkcje w momencie wdrażania. Aby uzyskać kompleksowe kroki wdrażania usługi Bastion, zobacz Wdrażanie usługi Bastion przy użyciu określonych ustawień.

  1. W witrynie Azure Portal wybierz pozycję Utwórz zasób.
  2. Wyszukaj usługę Azure Bastion i wybierz pozycję Utwórz.
  3. Wypełnij wartości przy użyciu ustawień ręcznych, wybierając jednostkę SKU Premium.
  4. Na karcie Zaawansowane wybierz pozycję Nagrywanie sesji , aby włączyć funkcję nagrywania sesji.
  5. Przejrzyj szczegóły i wybierz pozycję Utwórz. Usługa Bastion natychmiast rozpoczyna tworzenie serwera bastionu. Ukończenie tego procesu trwa około 10 minut.

Kroki dotyczące istniejących wdrożeń usługi Bastion

Jeśli usługa Bastion została już wdrożona, wykonaj następujące kroki, aby włączyć rejestrowanie sesji.

  1. W witrynie Azure Portal przejdź do zasobu usługi Bastion.
  2. Na stronie bastionu w okienku po lewej stronie wybierz pozycję Konfiguracja.
  3. Na stronie Konfiguracja w polu Warstwa wybierz pozycję Premium, jeśli nie jest już wybrana. Ta funkcja wymaga jednostki SKU Premium.
  4. Wybierz pozycję Nagrywanie sesji z wymienionych funkcji.
  5. Wybierz i zastosuj. Bastion natychmiast rozpoczyna aktualizację ustawień hosta bastionu. Aktualizacje potrwają około 10 minut.

Konfigurowanie kontenera konta magazynowego

W tej sekcji skonfigurujesz i określisz kontener na potrzeby nagrań sesji.

  1. Utwórz konto magazynowe w grupie zasobów. Aby uzyskać instrukcje, zobacz Tworzenie konta magazynu i Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS).

  2. Na koncie magazynu utwórz kontener. Jest to kontener, którego użyjesz do przechowywania nagrań sesji usługi Bastion. Zalecamy utworzenie wyłącznego kontenera na potrzeby nagrań sesji. Aby uzyskać instrukcje, zobacz Tworzenie kontenera.

  3. Na stronie konta magazynu w okienku po lewej stronie rozwiń Opcje ustawień. Wybierz pozycję Udostępnianie zasobów (CORS).

  4. Utwórz nowe zasady w obszarze Blob Service i zapisz zmiany w górnej części strony.

Nazwa Wartość
Dozwolone źródła https:// a następnie pełną nazwę DNS bastionu, zaczynając od bst-. Należy pamiętać, że te wartości rozróżniają wielkość liter.
Dozwolone metody POBIERZ
Dozwolone nagłówki *
Uwidocznione nagłówki *
Maksymalny wiek 86400

Dodaj lub zaktualizuj adres URL SAS

Aby skonfigurować nagrania sesji, należy dodać adres URL SAS do konfiguracji usługi Bastion nagrań sesji. W tej sekcji wygenerujesz adres URL SAS obiektu blob ze swojego kontenera, a następnie prześlesz go do hosta bastionu.

Poniższe kroki pomogą Ci skonfigurować wymagane ustawienia bezpośrednio na stronie Generowanie sygnatury dostępu współdzielonego. Można jednak opcjonalnie skonfigurować niektóre ustawienia, tworząc przechowywane zasady dostępu. Następnie możesz połączyć przechowywaną politykę dostępu z tokenem SAS na stronie Generowanie SAS. Jeśli chcesz utworzyć politykę dostępu przechowywanego, wybierz Uprawnienia oraz datę rozpoczęcia/wygaśnięcia w zasadach dostępu lub na stronie Generowanie sygnatury dostępu współdzielonego.

  1. Na stronie konta magazynowego przejdź do >.
  2. Znajdź utworzony kontener do przechowywania nagrań sesji Bastion, a następnie kliknij trzy kropki po prawej stronie kontenera i wybierz opcję Generuj sygnaturę dostępu współdzielonego (SAS) z listy rozwijanej.
  3. Na stronie Generowanie sygnatury dostępu współdzielonego w obszarze Uprawnienia wybierz pozycję ODCZYT, UTWÓRZ, ZAPIS, LISTA.
  4. W przypadku daty/godziny rozpoczęcia i wygaśnięcia użyj następujących zaleceń:
    • Ustaw Godzinę rozpoczęcia na co najmniej 15 minut przed godziną bieżącą.
    • Ustaw czas wygaśnięcia na daleką przyszłość.
  5. W obszarze Dozwolone adresy IP wybierz adres IP lub zakres adresów IP do akceptowania żądań. Aby uzyskać więcej informacji, kliknij tutaj
  6. W obszarze Dozwolone protokoły wybierz pozycję Tylko protokół HTTPS .
  7. Kliknij pozycję Generuj token SAS i adres URL. Zobaczysz token SAS i URL dla obiektu blob wygenerowany na dole strony.
  8. Skopiuj adres URL SAS obiektu blob.
  9. Wejdź na serwer bastionu. W okienku po lewej stronie wybierz pozycję Nagrania sesji.
  10. Na górze strony wybierz pozycję Dodaj lub zaktualizuj adres URL sygnatury dostępu współdzielonego. Wklej adres URL SAS, a następnie kliknij Przekaż.

Wyświetlanie nagrania

Sesje są automatycznie rejestrowane, gdy zapisywanie sesji jest włączone na serwerze bastionowym. Nagrania można wyświetlać w witrynie Azure Portal za pośrednictwem zintegrowanego odtwarzacza internetowego.

  1. W portalu Azure przejdź do swojego hosta Bastion.
  2. W okienku po lewej stronie w obszarze Ustawienia wybierz pozycję Nagrania sesji.
  3. Adres URL SAS powinien być już skonfigurowany (wcześniej w tym ćwiczeniu). Jeśli jednak Twój adres URL SAS wygasł lub musisz dodać nowy adres URL SAS, wykonaj poprzednie kroki, aby uzyskać i przesłać adres URL SAS obiektu blob.
  4. Wybierz maszynę wirtualną i link do nagrania, które chcesz zobaczyć, a następnie wybierz pozycję Wyświetl nagranie.

Dalsze kroki

Wyświetl często zadawane pytania dotyczące usługi Bastion , aby uzyskać dodatkowe informacje o usłudze Bastion.

  • Last updated on