Práce s přístupem k NSG a azure Bastion

Při práci s Azure Bastionem můžete použít skupiny zabezpečení sítě (NSG). Další informace najdete v tématu Skupiny zabezpečení.

NSG

V tomto diagramu:

  • Hostitel Bastionu se nasadí do virtuální sítě.
  • Uživatel se připojí k Azure Portal pomocí libovolného prohlížeče HTML5.
  • Uživatel přejde na virtuální počítač Azure na protokol RDP/SSH.
  • integrace Připojení – relace RDP/SSH jedním kliknutím v prohlížeči
  • Na virtuálním počítači Azure se nevyžaduje žádná veřejná IP adresa.

Skupiny zabezpečení sítě

Tato část ukazuje síťový provoz mezi uživatelem a Službou Azure Bastion a cílovými virtuálními počítači ve vaší virtuální síti:

Důležité

Pokud se rozhodnete použít skupinu zabezpečení sítě s prostředkem služby Azure Bastion, musíte vytvořit všechna následující pravidla příchozího a výstupního provozu. Když ve skupině zabezpečení sítě vynecháte některá z následujících pravidel, zablokuje váš prostředek Služby Azure Bastion příjem potřebných aktualizací v budoucnu, a proto ho otevřete pro budoucí ohrožení zabezpečení.

AzureBastionSubnet

Azure Bastion se nasazuje speciálně do azureBastionSubnet.

  • Příchozí přenos dat:

    • Příchozí přenos dat z veřejného internetu: Azure Bastion vytvoří veřejnou IP adresu, která pro příchozí přenos dat potřebuje povolený port 443. Port 3389/22 není nutné otevřít v podsítě AzureBastionSubnet. Všimněte si, že zdrojem může být internet nebo sada veřejných IP adres, které zadáte.
    • Příchozí přenos dat z řídicí roviny služby Azure Bastion: Pro připojení řídicí roviny povolte příchozí port 443 ze značky služby GatewayManager . To umožňuje řídicí rovině, tj. Správce brány, aby mohl komunikovat s Azure Bastionem.
    • Příchozí přenos dat z roviny dat Služby Azure Bastion: Pro komunikaci roviny dat mezi podkladovými komponentami služby Azure Bastion povolte porty 8080, 5701 příchozí z značky služby VirtualNetwork do značky služby VirtualNetwork . To umožňuje komponentám Služby Azure Bastion vzájemně komunikovat.
    • Příchozí přenos dat z Azure Load Balancer: Pro sondy stavu povolte příchozí port 443 ze značky služby AzureLoadBalancer. To umožňuje Azure Load Balancer zjistit připojení.

    Screenshot shows inbound security rules for Azure Bastion connectivity.

  • provoz Egress:

    • Egress provoz do cílových virtuálních počítačů: Azure Bastion dosáhne cílových virtuálních počítačů přes privátní IP adresu. Skupiny zabezpečení sítě musí povolit odchozí provoz do jiných cílových podsítí virtuálních počítačů pro port 3389 a 22. Pokud jako součást skladové položky Standard používáte funkci vlastního portu, skupiny zabezpečení sítě místo toho budou muset povolit odchozí provoz do jiných cílových podsítí virtuálních počítačů pro vlastní hodnoty, které jste otevřeli na cílových virtuálních počítačích.
    • Egress Přenosy do roviny dat Služby Azure Bastion: Pro komunikaci roviny dat mezi podkladovými komponentami služby Azure Bastion povolte porty 8080, 5701 odchozí ze značky služby VirtualNetwork na značku služby VirtualNetwork. To umožňuje komponentám Služby Azure Bastion vzájemně komunikovat.
    • Egress provoz do jiných veřejných koncových bodů v Azure: Azure Bastion se musí připojit k různým veřejným koncovým bodům v Rámci Azure (například pro ukládání diagnostických protokolů a protokolů měření). Z tohoto důvodu azure Bastion potřebuje odchozí provoz na značku služby AzureCloud 443.
    • Egress provoz do internetu: Azure Bastion musí být schopný komunikovat s internetem pro ověřování relací a certifikátů. Z tohoto důvodu doporučujeme povolit odchozí port 80 na internet.

    Screenshot shows outbound security rules for Azure Bastion connectivity.

Cílová podsíť virtuálního počítače

Jedná se o podsíť, která obsahuje cílový virtuální počítač, do kterého chcete protokol RDP/SSH provést.

  • Příchozí přenos dat z Azure Bastionu: Azure Bastion se dostane k cílovému virtuálnímu počítači přes privátní IP adresu. Porty RDP/SSH (porty 3389/22 nebo vlastní hodnoty portů, pokud používáte funkci vlastního portu jako součást skladové položky Standard) je potřeba otevřít na cílové straně virtuálního počítače přes privátní IP adresu. Osvědčeným postupem je přidat rozsah IP adres podsítě Služby Azure Bastion v tomto pravidle, abyste mohli tyto porty otevřít jenom na cílových virtuálních počítačích v cílové podsíti virtuálního počítače.

Další kroky

Další informace o službě Azure Bastion najdete v nejčastějších dotazech.