Architektura návrhu pro Azure Bastion

Azure Bastion nabízí několik architektur nasazení v závislosti na vybrané skladové poště a konfiguraci možností. U většiny skladových položek se Bastion nasadí do virtuální sítě a podporuje partnerský vztah virtuálních sítí. Konkrétně Azure Bastion spravuje připojení RDP/SSH k virtuálním počítačům vytvořeným v místních nebo partnerských virtuálních sítích.

RDP a SSH jsou některé základní prostředky, kterými se můžete připojit ke svým úlohám běžícím v Azure. Vystavení portů RDP/SSH přes internet není žádoucí a považuje se za významnou hrozbu. Důvodem je často ohrožení zabezpečení protokolu. Pokud chcete tuto hrozbu obsahovat, můžete nasadit hostitele bastionu (označované také jako jump-servery) na veřejné straně hraniční sítě. Hostitelské servery Bastion jsou navržené a nakonfigurované tak, aby odolá útokům. Servery Bastionu také poskytují připojení RDP a SSH k úlohám, které se nachází za bastionem, a také dále uvnitř sítě.

Skladová položka, kterou vyberete při nasazení Bastionu, určuje architekturu a dostupné funkce. Pokud chcete podporovat více funkcí, můžete upgradovat na vyšší skladovou položku, ale po nasazení nemůžete skladovou položku downgradovat. V době nasazení musí být nakonfigurované určité architektury, jako jsou privátní skladová položka a skladová položka pro vývojáře.

Nasazení – skladová položka Basic a vyšší

Při práci se skladovou jednotkou Basic nebo vyšší používá Bastion následující architekturu a pracovní postup.

• Hostitel Bastionu je nasazen ve virtuální síti, která obsahuje podsíť AzureBastionSubnet s minimální předponou /26.
• Uživatel se připojí k webu Azure Portal pomocí libovolného prohlížeče HTML5 a vybere virtuální počítač, ke kterému se má připojit. Na virtuálním počítači Azure se nevyžaduje veřejná IP adresa.
• Relace RDP/SSH se otevře v prohlížeči jediným kliknutím.

U některých konfigurací se uživatel může k virtuálnímu počítači připojit přes nativního klienta operačního systému.

Postup konfigurace najdete tady:

• Automatické nasazení Bastionu – jenom skladová položka Basic
• Nasazení Bastionu pomocí ručně zadaných nastavení

Nasazení – skladová položka pro vývojáře

Skladová položka Bastion Developer je bezplatná, odlehčená skladová položka. Tato skladová položka je ideální pro uživatele pro vývoj/testování, kteří se chtějí bezpečně připojit ke svým virtuálním počítačům, ale nepotřebují další funkce Bastionu ani škálování hostitele. Pomocí skladové položky pro vývojáře se můžete připojit k jednomu virtuálnímu počítači Azure najednou přímo přes stránku pro připojení virtuálního počítače.

Když nasadíte Bastion pomocí skladové položky pro vývojáře, požadavky na nasazení se liší od nasazení pomocí jiných skladových položek. Obvykle se při vytváření hostitele bastionu nasadí hostitel do podsítě AzureBastionSubnet ve vaší virtuální síti. Hostitel Bastionu je vyhrazený pro vaše použití. Když použijete skladovou položku pro vývojáře, hostitel bastionu není nasazený do vaší virtuální sítě a nepotřebujete AzureBastionSubnet. Hostitel bastionu SKU pro vývojáře ale není vyhrazeným prostředkem. Místo toho je součástí sdíleného fondu.

Vzhledem k tomu, že prostředek bastionu SKU pro vývojáře není vyhrazený, jsou funkce skladové položky pro vývojáře omezené. Informace o funkcích uvedených podle skladové položky najdete v části Nastavení konfigurace Bastionu. Skladovou položku pro vývojáře můžete kdykoli upgradovat na vyšší skladovou položku, pokud potřebujete podporovat více funkcí. Viz Upgrade skladové položky.

Další informace o skladové poště pro vývojáře najdete v tématu Nasazení služby Azure Bastion – skladová položka pro vývojáře.

Nasazení – pouze privátní (Preview)

Nasazení Bastionu, která jsou pouze privátní, zamknou úlohy tak, že vytvoří ne internetově směrovatelné nasazení Bastionu, které umožňuje přístup pouze k privátní IP adrese. Nasazení Bastionu, která jsou pouze privátní, neumožňují připojení k hostiteli bastionu prostřednictvím veřejné IP adresy. Naproti tomu běžné nasazení služby Azure Bastion umožňuje uživatelům připojit se k hostiteli bastionu pomocí veřejné IP adresy.

Diagram znázorňuje architekturu nasazení jen pro privátní nasazení Bastionu. Uživatel připojený k Azure prostřednictvím privátního partnerského vztahu ExpressRoute se může bezpečně připojit k Bastionu pomocí privátní IP adresy hostitele bastionu. Bastion pak může vytvořit připojení přes privátní IP adresu k virtuálnímu počítači, který je ve stejné virtuální síti jako hostitel bastionu. V privátním nasazení Bastionu nepovoluje Bastion odchozí přístup mimo virtuální síť.

Požadavky:

• Privátní bastion je nakonfigurovaný v době nasazení a vyžaduje úroveň SKU Premium.

• Z běžného nasazení Bastionu se nemůžete změnit na privátní nasazení.

• Pokud chcete nasadit službu Bastion pouze privátní do virtuální sítě, která už má nasazení Bastionu, nejprve odeberte Bastion z virtuální sítě a pak bastion nasaďte zpět do virtuální sítě jako privátní. Nemusíte odstraňovat a znovu vytvářet podsíť AzureBastionSubnet.

• Pokud chcete vytvořit kompletní privátní připojení, připojte se místo připojení přes Azure Portal pomocí nativního klienta.

• Pokud používáte ExpressRoute nebo VPN, povolte připojení založené na PROTOKOLU IP na prostředku Bastion při nasazování hostitele bastionu.

Další informace o privátních nasazeních najdete v tématu Nasazení Bastionu pouze jako privátní.

Další kroky

• Automatické nasazení Bastionu – jenom skladová položka Basic
• Nasazení Bastionu pomocí ručně zadaných nastavení
• Nasazení služby Azure Bastion – skladová položka pro vývojáře
• Nasazení Bastionu jen jako privátní