Sdílet prostřednictvím

Co je Azure Bastion?

  • Článek

Azure Bastion je plně spravovaná služba PaaS, kterou zřídíte pro bezpečné připojení k virtuálním počítačům přes privátní IP adresu. Poskytuje zabezpečené a bezproblémové připojení RDP/SSH k vašim virtuálním počítačům přímo přes protokol TLS z webu Azure Portal nebo přes nativního klienta SSH nebo RDP, který už je na místním počítači nainstalovaný. Když se připojíte přes Azure Bastion, virtuální počítače nepotřebují veřejnou IP adresu, agenta ani speciální klientský software.

Bastion poskytuje zabezpečené připojení RDP a SSH ke všem virtuálním počítačům ve virtuální síti, pro které je zřízená. Použití služby Azure Bastion chrání vaše virtuální počítače před vystavením portů RDP/SSH vnějšímu světu a přitom zajišťuje zabezpečený přístup pomocí protokolu RDP/SSH.

Klíčové výhody

Výhoda Popis
RDP a SSH prostřednictvím webu Azure Portal K relaci RDP a SSH se můžete dostat přímo na webu Azure Portal pomocí bezproblémového prostředí s jedním kliknutím.
Vzdálená relace přes protokol TLS a procházení brány firewall pro protokol RDP/SSH Azure Bastion používá webového klienta založeného na HTML5, který se automaticky streamuje do místního zařízení. Relace RDP/SSH je přes protokol TLS na portu 443. To umožňuje provoz bezpečněji procházet branami firewall. Bastion podporuje protokol TLS 1.2. Starší verze protokolu TLS nejsou podporované.
Na virtuálním počítači Azure není nutná žádná veřejná IP adresa. Azure Bastion otevře připojení RDP/SSH k virtuálnímu počítači Azure pomocí privátní IP adresy na virtuálním počítači. Na virtuálním počítači nepotřebujete veřejnou IP adresu.
Bez potíží se správou skupin zabezpečení sítě (NSG) U podsítě Azure Bastion nemusíte používat žádné skupiny zabezpečení sítě. Vzhledem k tomu, že se Azure Bastion připojuje k virtuálním počítačům přes privátní IP adresu, můžete nakonfigurovat skupiny zabezpečení sítě tak, aby povolily protokol RDP/SSH jenom z Azure Bastionu. Tím se odebere množství potíží se správou skupin zabezpečení sítě pokaždé, když se potřebujete bezpečně připojit k virtuálním počítačům. Další informace oskupinách
Na virtuálním počítači není potřeba spravovat samostatného hostitele bastionu. Azure Bastion je plně spravovaná služba PaaS platformy z Azure, která je interně posílená a poskytuje zabezpečené připojení RDP/SSH.
Ochrana před kontrolou portů Vaše virtuální počítače jsou chráněné proti kontrole portů podvodnými a škodlivými uživateli, protože virtuální počítače nemusíte vystavit na internetu.
Posílení zabezpečení pouze na jednom místě Azure Bastion se nachází v hranici vaší virtuální sítě, takže se nemusíte starat o posílení zabezpečení jednotlivých virtuálních počítačů ve vaší virtuální síti.
Ochrana před zneužitím nulového dne Platforma Azure chrání před nulovým zneužitím tím, že udržuje posílenou a vždy aktuální službu Azure Bastion.

Skladové položky

Azure Bastion nabízí několik úrovní skladové položky. Následující tabulka uvádí funkce a odpovídající skladové položky. Další informace o cenových úrovních najdete v článku Nastavení konfigurace.

Funkce Skladová položka pro vývojáře Základní SKU Standardní SKU Skladová položka Premium
Připojení k cílovým virtuálním počítačům ve stejné virtuální síti Ano Ano Ano Yes
Připojení pro cílové virtuální počítače v partnerských virtuálních sítích No Ano Ano Ano
Podpora souběžných připojení No Ano Ano Yes
Přístup k privátním klíčům virtuálního počítače s Linuxem ve službě Azure Key Vault (AKV) No Ano Ano Yes
Připojení k virtuálnímu počítači s Linuxem pomocí SSH Ano Ano Ano Ano
Připojení k virtuálnímu počítači s Windows pomocí protokolu RDP Ano Ano Ano Ano
Připojení k virtuálnímu počítači s Linuxem pomocí protokolu RDP No No Ano Yes
Připojení k virtuálnímu počítači s Windows pomocí SSH No No Ano Ano
Určení vlastního příchozího portu No No Ano Ano
Připojení k virtuálním počítačům pomocí Azure CLI No No Ano Ano
Škálování hostitele No No Ano Ano
Nahrání nebo stažení souborů No No Ano Ano
Ověřování protokolem Kerberos No Ano Ano Ano
Odkaz ke sdílení No No Ano Ano
Připojení k virtuálním počítačům přes IP adresu No No Ano Ano
Výstup zvuku virtuálního počítače Ano Ano Ano Yes
Zakázání kopírování a vkládání (webových klientů) No No Ano Yes
Záznam relace No No No Ano
Nasazení jen pro privátní uživatele No No No Ano

Architektura

Azure Bastion nabízí několik architektur nasazení v závislosti na vybrané skladové poště a konfiguraci možností. U většiny skladových položek se Bastion nasadí do virtuální sítě a podporuje partnerský vztah virtuálních sítí. Konkrétně Azure Bastion spravuje připojení RDP/SSH k virtuálním počítačům vytvořeným v místních nebo partnerských virtuálních sítích.

RDP a SSH jsou některé základní prostředky, kterými se můžete připojit ke svým úlohám běžícím v Azure. Vystavení portů RDP/SSH přes internet není žádoucí a považuje se za významnou hrozbu. Důvodem je často ohrožení zabezpečení protokolu. Pokud chcete tuto hrozbu obsahovat, můžete nasadit hostitele bastionu (označované také jako jump-servery) na veřejné straně hraniční sítě. Hostitelské servery Bastion jsou navržené a nakonfigurované tak, aby odolá útokům. Servery Bastion také poskytují připojení RDP a SSH k úlohám, které se nachází za bastionem, a také dále uvnitř sítě.

Skladová položka, kterou vyberete při nasazení Bastionu, určuje architekturu a dostupné funkce. Pokud chcete podporovat více funkcí, můžete upgradovat na vyšší skladovou položku, ale po nasazení nemůžete skladovou položku downgradovat. V době nasazení musí být nakonfigurované určité architektury, jako jsou privátní skladová položka a skladová položka pro vývojáře. Další informace o jednotlivých architekturách najdete v tématu Návrh a architektura Bastionu.

Následující diagramy znázorňují dostupné architektury pro Azure Bastion.

Skladová položka Basic a vyšší

Diagram znázorňující architekturu služby Azure Bastion

Skladová položka pro vývojáře

Diagram znázorňující architekturu SKU vývojáře služby Azure Bastion

Nasazení jen pro privátní účely (Preview)

Diagram znázorňující privátní architekturu služby Azure Bastion

Zóny dostupnosti

Některé oblasti podporují možnost nasazení služby Azure Bastion do zóny dostupnosti (nebo více pro redundanci zón). Pokud chcete nasadit zónově, nasaďte Bastion pomocí ručně zadaných nastavení (nenasazujte pomocí automatického výchozího nastavení). Zadejte požadované zóny dostupnosti v době nasazení. Po nasazení Bastionu nemůžete změnit zónovou dostupnost.

Podpora pro Zóny dostupnosti je aktuálně ve verzi Preview. Ve verzi Preview jsou k dispozici následující oblasti:

  • USA – východ
  • Austrálie – východ
  • USA – východ 2
  • USA – střed
  • Střední Katar
  • Jižní Afrika – sever
  • Západní Evropa
  • Západní USA 2
  • Severní Evropa
  • Švédsko – střed
  • Velká Británie – jih
  • Střední Kanada

Škálování hostitele

Azure Bastion podporuje ruční škálování hostitele. Počet instancí hostitele (jednotky škálování) můžete nakonfigurovat tak, aby spravovali počet souběžných připojení RDP/SSH, která může Azure Bastion podporovat. Zvýšení počtu instancí hostitele umožňuje službě Azure Bastion spravovat více souběžných relací. Snížení počtu instancí snižuje počet souběžných podporovaných relací. Azure Bastion podporuje až 50 instancí hostitele. Tato funkce je dostupná pro skladovou položku Standard a vyšší.

Další informace najdete v článku Nastavení konfigurace.

Ceny

Ceny služby Azure Bastion jsou kombinací hodinových cen na základě skladových položek a instancí (jednotek škálování) a rychlosti přenosu dat. Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Nejnovější informace o cenách najdete na stránce s cenami služby Azure Bastion.

Co je nového?

Přihlaste se k odběru informačního kanálu RSS a podívejte se na nejnovější aktualizace funkcí služby Azure Bastion na stránce Azure Aktualizace.

Nejčastější dotazy ke službě Bastion

Nejčastější dotazy najdete v nejčastějších dotazech ke službě Bastion.

Další kroky