مشاركة عبر

التخطيط للوصول عن بعد للجهاز الظاهري

  • مقالة

توضح هذه المقالة الإرشادات الموصى بها لتوفير الوصول عن بعد إلى الأجهزة الظاهرية (VMs) المنشورة داخل بنية مناطق هبوط Azure.

يقدم Azure تقنيات مختلفة لتوفير الوصول عن بعد إلى الأجهزة الظاهرية:

  • Azure Bastion، حل النظام الأساسي كخدمة (PaaS)، للوصول إلى الأجهزة الظاهرية من خلال مستعرض أو قيد المعاينة حاليا من خلال عميل SSH/RDP الأصلي على محطات عمل Windows
  • الوصول في الوقت المناسب (JIT) المقدم من خلال Microsoft Defender للسحابة
  • خيارات الاتصال المختلط، مثل Azure ExpressRoute والشبكات الظاهرية الخاصة
  • عنوان IP العام المرفق مباشرة بالجهاز الظاهري أو من خلال قاعدة NAT عبر موازن تحميل عام في Azure

يعتمد اختيار حل الوصول عن بعد الأكثر ملاءمة على عوامل مثل الحجم والطوبولوجيا ومتطلبات الأمان.

اعتبارات التصميم

  • عند توفره، يمكنك استخدام الاتصال المختلط الحالي بشبكات Azure الظاهرية عبر اتصالات ExpressRoute أو S2S/P2S VPN لتوفير الوصول عن بعد من أماكن العمل إلى أجهزة Windows وLinux Azure الظاهرية.
  • يمكن استخدام مجموعات أمان الشبكة لتأمين اتصالات SSH/RDP بالأجهزة الظاهرية ل Azure.
  • يسمح JIT بالوصول عن بعد إلى SSH/RDP عبر الإنترنت دون الحاجة إلى نشر أي بنية أساسية أخرى.
  • هناك بعض قيود التوفر مع الوصول إلى JIT.
    • لا يمكن استخدام الوصول إلى JIT للأجهزة الظاهرية المحمية بواسطة جدران حماية Azure التي يتحكم فيها Azure Firewall Manager.
  • يوفر Azure Bastion طبقة إضافية من التحكم. فهو يتيح اتصال RDP/SSH آمنا وسلسا بالأجهزة الظاهرية الخاصة بك مباشرة من مدخل Microsoft Azure أو العميل الأصلي في المعاينة عبر قناة TLS آمنة. يلغي Azure Bastion أيضا الحاجة إلى الاتصال المختلط.
  • ضع في اعتبارك Azure Bastion SKU المناسب لاستخدامه استنادا إلى متطلباتك كما هو موضح في حول إعدادات تكوين Azure Bastion.
  • راجع الأسئلة المتداولة حول Azure Bastion للحصول على إجابات على الأسئلة الشائعة التي قد تكون لديك حول الخدمة.
  • يمكن استخدام Azure Bastion في طوبولوجيا Azure Virtual WAN ولكن هناك بعض القيود:
    • لا يمكن نشر Azure Bastion داخل مركز ظاهري WAN ظاهري.
    • يجب أن يستخدم Standard Azure Bastion SKU ويجب أيضا تمكين الميزة IP based connection على مورد Azure Bastion، راجع وثائق الاتصال المستندة إلى Azure Bastion IP
    • يمكن توزيع Azure Bastion في أي شبكة ظاهرية محورية متصلة في شبكة WAN ظاهرية، للوصول إلى الأجهزة الظاهرية، في شبكتها الخاصة أو، الشبكات الظاهرية الأخرى المتصلة بنفس شبكة WAN الظاهرية، عبر المراكز المرتبطة بها، من خلال اتصالات الشبكة الظاهرية WAN الظاهرية؛ يتم تكوين توفير التوجيه بشكل صحيح.

تلميح

يسمح الاتصال المستند إلى Azure Bastion IP أيضا بالاتصال بالأجهزة المحلية، ما يوفر وجود اتصال مختلط تم إنشاؤه بين مورد Azure Bastion والجهاز الذي تريد الاتصال به. راجع الاتصال بجهاز ظاهري عبر عنوان IP خاص محدد من خلال المدخل

توصيات التصميم

  • استخدم اتصال ExpressRoute أو VPN الحالي لتوفير الوصول عن بعد إلى أجهزة Azure الظاهرية التي يمكن الوصول إليها من أماكن العمل عبر اتصالات ExpressRoute أو VPN.
  • في طبولوجيا الشبكة المستندة إلى شبكة WAN الظاهرية حيث يلزم الوصول عن بعد إلى الأجهزة الظاهرية عبر الإنترنت:
    • يمكن توزيع Azure Bastion في كل شبكة ظاهرية محورية للأجهزة الظاهرية المعنية.
    • أو يمكنك اختيار توزيع مثيل Azure Bastion مركزي في محور واحد في مخطط شبكة WAN الظاهرية، كما هو موضح في الشكل 1. يقلل هذا التكوين من عدد مثيلات Azure Bastion لإدارتها في بيئتك. يتطلب هذا السيناريو من المستخدمين الذين يسجلون الدخول إلى أجهزة Windows وLinux الظاهرية عبر Azure Bastion أن يكون لهم دور قارئ على مورد Azure Bastion والشبكة الظاهرية المحورية المختارة. قد يكون لبعض عمليات التنفيذ اعتبارات أمان أو توافق تقيد هذا أو تمنعه.
  • في تخطيط الشبكة المحورية، حيث يلزم الوصول عن بعد إلى أجهزة Azure الظاهرية عبر الإنترنت:
    • يمكن نشر مضيف Azure Bastion واحد في الشبكة الظاهرية المركزية، والتي يمكن أن توفر الاتصال ب Azure VMs على الشبكات الظاهرية المحورية عبر تناظر الشبكة الظاهرية. يقلل هذا التكوين من عدد مثيلات Azure Bastion لإدارتها في بيئتك. يتطلب هذا السيناريو من المستخدمين الذين يسجلون الدخول إلى أجهزة Windows وLinux الظاهرية عبر Azure Bastion أن يكون لهم دور قارئ على مورد Azure Bastion والشبكة الظاهرية المركزية. قد يكون لبعض عمليات التنفيذ اعتبارات أمان أو توافق. راجع الشكل 2.
    • قد لا تسمح بيئتك بمنح المستخدمين دور التحكم في الوصول المستند إلى دور القارئ (RBAC) على مورد Azure Bastion والشبكة الظاهرية المركزية. استخدم Azure Bastion Basic أو Standard لتوفير الاتصال بالأجهزة الظاهرية داخل شبكة ظاهرية محورية. نشر مثيل Azure Bastion مخصص في كل شبكة ظاهرية محورية تتطلب الوصول عن بعد. راجع الشكل 3.
  • تكوين قواعد NSG لحماية Azure Bastion والأجهزة الظاهرية التي يوفر الاتصال بها. اتبع الإرشادات الواردة في العمل مع الأجهزة الظاهرية ومجموعات أمان الشبكة في Azure Bastion.
  • تكوين سجلات تشخيص Azure Bastion لإرسالها إلى مساحة عمل Log Analytics المركزية. اتبع الإرشادات الواردة في تمكين سجلات موارد Azure Bastion والعمل معها.
  • تأكد من إجراء تعيينات دور RBAC المطلوبة للمستخدمين أو المجموعات التي تتصل بالأجهزة الظاهرية عبر Azure Bastion في مكانها.
  • إذا قمت بالاتصال ب Linux VMs عبر SSH، فاستخدم ميزة الاتصال باستخدام مفتاح خاص مخزن في Azure Key Vault.
  • انشر Azure Bastion وExpressRoute أو وصول VPN لتلبية احتياجات محددة مثل الوصول إلى الطوارئ.
  • لا ينصح بالوصول عن بعد إلى أجهزة Windows وLinux الظاهرية عبر عناوين IP العامة المرفقة مباشرة بالأجهزة الظاهرية. يجب عدم نشر الوصول عن بعد دون قواعد NSG الصارمة وجدار الحماية.

رسم تخطيطي يوضح مخطط Azure Virtual WAN.

الشكل 1: مخطط Azure Virtual WAN.

رسم تخطيطي يوضح طوبولوجيا Azure hub-and-spoke.

الشكل 2: طوبولوجيا Azure hub-and-spoke.

رسم تخطيطي يوضح مخطط الشبكة الظاهرية المستقل ل Azure.

الشكل 3: طوبولوجيا الشبكة الظاهرية المستقلة في Azure.