Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Bastion je plně spravovaná služba PaaS, kterou zřídíte pro bezpečné připojení k virtuálním počítačům přes privátní IP adresu. Poskytuje zabezpečené a bezproblémové připojení RDP/SSH k vašim virtuálním počítačům přímo přes protokol TLS z webu Azure Portal nebo přes nativního klienta SSH nebo RDP, který už je na místním počítači nainstalovaný. Když se připojíte přes Azure Bastion, virtuální počítače nepotřebují veřejnou IP adresu, agenta ani speciální klientský software.
Bastion poskytuje zabezpečené připojení RDP a SSH ke všem virtuálním počítačům ve virtuální síti, pro které je zřízená. Použití služby Azure Bastion chrání vaše virtuální počítače před vystavením portů RDP/SSH vnějšímu světu a přitom zajišťuje zabezpečený přístup pomocí protokolu RDP/SSH.
Klíčové výhody
| Výhoda | Popis |
|---|---|
| RDP a SSH prostřednictvím webu Azure Portal | K relaci RDP a SSH se můžete dostat přímo na webu Azure Portal pomocí bezproblémového prostředí s jedním kliknutím. |
| Vzdálená relace přes protokol TLS a procházení brány firewall pro protokol RDP/SSH | Azure Bastion používá webového klienta založeného na HTML5, který se automaticky streamuje do místního zařízení. Relace RDP/SSH je přes protokol TLS na portu 443. To umožňuje provoz bezpečněji procházet branami firewall. Bastion podporuje protokol TLS 1.2. Starší verze protokolu TLS nejsou podporované. |
| Na virtuálním počítači Azure není nutná žádná veřejná IP adresa. | Azure Bastion otevře připojení RDP/SSH k virtuálnímu počítači Azure pomocí privátní IP adresy na virtuálním počítači. Na virtuálním počítači nepotřebujete veřejnou IP adresu. |
| Bez potíží se správou skupin zabezpečení sítě (NSG) | U podsítě Azure Bastion nemusíte používat žádné NSG. Vzhledem k tomu, že se Azure Bastion připojuje k virtuálním počítačům přes privátní IP adresu, můžete nakonfigurovat skupiny zabezpečení sítě tak, aby povolily protokol RDP/SSH jenom z Azure Bastionu. Odstraní potíže se správou síťových bezpečnostních skupin pokaždé, když se potřebujete bezpečně připojit k virtuálním počítačům. Další informace o skupinách zabezpečení sítě. |
| Na virtuálním počítači není potřeba spravovat samostatného hostitele bastionu. | Azure Bastion je plně spravovaná služba PaaS platformy z Azure, která je interně posílená a poskytuje zabezpečené připojení RDP/SSH. |
| Ochrana před kontrolou portů | Vaše virtuální počítače jsou chráněné proti kontrole portů podvodnými a škodlivými uživateli, protože virtuální počítače nemusíte vystavit na internetu. |
| Posílení zabezpečení pouze na jednom místě | Azure Bastion se nachází v hranici vaší virtuální sítě, takže se nemusíte starat o posílení zabezpečení jednotlivých virtuálních počítačů ve vaší virtuální síti. |
| Ochrana před útoky nulového dne | Platforma Azure chrání před zero-day útoky tím, že udržuje Azure Bastion neustále posilovaný a aktualizovaný pro vás. |
Skladové položky
Azure Bastion nabízí několik úrovní SKU. Následující tabulka uvádí funkce a odpovídající skladové položky. Další informace o SKU najdete v článku Nastavení konfigurace.
| Funkce | Základní SKU | Standardní kód SKU | Prémiové SKU |
|---|---|---|---|
| Připojení k cílovým virtuálním počítačům ve stejné virtuální síti | Ano | Ano | Ano |
| Připojení k cílovým virtuálním počítačům v partnerských virtuálních sítích | Ano | Ano | Ano |
| Podpora souběžných připojení | Ano | Ano | Ano |
| Přístup k privátním klíčům virtuálního počítače s Linuxem ve službě Azure Key Vault (AKV) | Ano | Ano | Ano |
| Připojení k virtuálnímu počítači s Linuxem pomocí SSH | Ano | Ano | Ano |
| Připojení k virtuálnímu počítači s Windows pomocí protokolu RDP | Ano | Ano | Ano |
| Připojení k virtuálnímu počítači s Linuxem pomocí protokolu RDP | Ne | Ano | Ano |
| Připojení k virtuálnímu počítači s Windows pomocí SSH | Ne | Ano | Ano |
| Určení vlastního příchozího portu | Ne | Ano | Ano |
| Připojení k virtuálním počítačům pomocí Azure CLI | Ne | Ano | Ano |
| Škálování kapacit hostitele | Ne | Ano | Ano |
| Nahrání nebo stažení souborů | Ne | Ano | Ano |
| Ověřování protokolem Kerberos | Ano | Ano | Ano |
| Odkaz ke sdílení | Ne | Ano | Ano |
| Připojení k virtuálním počítačům přes IP adresu | Ne | Ano | Ano |
| Výstup zvuku virtuálního počítače | Ano | Ano | Ano |
| Zakázání kopírování a vkládání (webových klientů) | Ne | Ano | Ano |
| Záznam relace | Ne | Ne | Ano |
| Nasazení jen pro privátní uživatele | Ne | Ne | Ano |
Architektura
Azure Bastion nabízí několik architektur nasazení, v závislosti na vybraném SKU a konfiguraci voleb. U většiny SKU se Bastion nasadí do virtuální sítě a podporuje propojování virtuálních sítí. Konkrétně Azure Bastion spravuje připojení RDP/SSH k virtuálním počítačům vytvořeným v místních nebo partnerských virtuálních sítích.
RDP a SSH jsou některé základní prostředky, kterými se můžete připojit ke svým úlohám běžícím v Azure. Vystavení portů RDP/SSH přes internet není žádoucí a považuje se za významnou hrozbu. Důvodem je často ohrožení zabezpečení protokolu. Pokud chcete omezit tuto hrozbu, můžete nasadit hostitele bastionu (označované také jako jump-servery) na veřejné části vaší hraniční sítě. Hostitelské servery Bastion jsou navržené a nakonfigurované tak, aby odolá útokům. Servery Bastion také poskytují připojení RDP a SSH k úlohám, které se nachází za bastionem, a také dále uvnitř sítě.
Skladová položka, kterou vyberete při nasazení Bastionu, určuje architekturu a dostupné funkce. Pokud chcete podporovat více funkcí, můžete upgradovat na vyšší skladovou položku, ale po nasazení nemůžete skladovou položku downgradovat. V době nasazení musí být nakonfigurovány určité architektury, jako je pouze privátní a nabídka Bastion Developer. Další informace o jednotlivých architekturách najdete v tématu Návrh a architektura Bastionu.
Následující diagramy znázorňují dostupné architektury pro Azure Bastion.
SKU Basic a vyšší
Vývojář Bastionu
Nasazení jen pro privátní uživatele
Zóny dostupnosti
Některé oblasti podporují možnost nasazení služby Azure Bastion do zóny dostupnosti (nebo více pro redundanci zón). Pokud chcete nasadit zónově, nasaďte Bastion pomocí ručně zadaných nastavení (nenasazujte pomocí automatického výchozího nastavení). Zadejte požadované zóny dostupnosti v době nasazení. Po nasazení Bastionu nemůžete změnit zónovou dostupnost.
Podpora pro Zóny dostupnosti je aktuálně ve verzi Preview. Ve verzi Preview jsou k dispozici následující oblasti:
- USA – východ
- Austrálie – východ
- Východní USA 2
- USA – střed
- Střední Katar
- Jižní Afrika – sever
- Západní Evropa
- Západní USA 2
- Severní Evropa
- Švédsko – střed
- Velká Británie – jih
- Střední Kanada
Škálování hostitele
Azure Bastion podporuje ruční škálování hostitele. Počet instancí hostitele (jednotky škálování) můžete nakonfigurovat tak, aby spravovali počet souběžných připojení RDP/SSH, která může Azure Bastion podporovat. Zvýšení počtu instancí hostitele umožňuje službě Azure Bastion spravovat více souběžných relací. Snížení počtu instancí snižuje počet souběžných podporovaných relací. Azure Bastion podporuje až 50 instancí hostitele. Tato funkce je dostupná pro skladovou položku Standard a vyšší.
Další informace najdete v článku Nastavení konfigurace.
Ceny
Ceny služby Azure Bastion jsou kombinací hodinových cen na základě skladových položek a instancí (jednotek škálování) a rychlosti přenosu dat. Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Nejnovější informace o cenách najdete na stránce s cenami služby Azure Bastion.
Co je nového?
Přihlaste se k odběru informačního kanálu RSS a podívejte se na nejnovější aktualizace funkcí služby Azure Bastion na stránce Aktualizace Azure.
Nejčastější dotazy ke službě Bastion
Nejčastější dotazy najdete v nejčastějších dotazech ke službě Bastion.
Další kroky
- Rychlý průvodce: Automatické nasazení Bastionu s výchozím nastavením a standardním SKU
- Rychlý start: Nasazení vývojáře Bastionu
- Kurz: Nasazení Bastionu pomocí zadaných nastavení a skladových položek
- Modul Learn: Úvod do služby Azure Bastion
- Seznamte se s některými dalšími klíčovými síťovými funkcemi Azure.
- Další informace o zabezpečení sítě Azure