Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Bastion nabízí několik architektur nasazení, v závislosti na vybraném SKU a konfiguraci voleb. U většiny SKU se Bastion nasadí do virtuální sítě a podporuje propojování virtuálních sítí. Konkrétně Azure Bastion spravuje připojení RDP/SSH k virtuálním počítačům vytvořeným v místních nebo partnerských virtuálních sítích.
RDP a SSH jsou některé základní prostředky, kterými se můžete připojit ke svým úlohám běžícím v Azure. Vystavení portů RDP/SSH přes internet není žádoucí a považuje se za významnou hrozbu. Důvodem je často ohrožení zabezpečení protokolu. Pokud chcete omezit tuto hrozbu, můžete nasadit hostitele bastionu (označované také jako jump-servery) na veřejné části vaší hraniční sítě. Hostitelské servery Bastion jsou navržené a nakonfigurované tak, aby odolá útokům. Servery Bastionu také poskytují připojení RDP a SSH k úlohám, které se nachází za bastionem, a také dále uvnitř sítě.
Skladová položka, kterou vyberete při nasazení Bastionu, určuje architekturu a dostupné funkce. Pokud chcete podporovat více funkcí, můžete upgradovat na vyšší skladovou položku, ale po nasazení nemůžete skladovou položku downgradovat. V době nasazení musí být nakonfigurované určité architektury, jako je private-only a Bastion Developer.
Nasazení – SKU typu Basic a vyšší
Při práci s konfigurací Basic nebo vyšší, Bastion používá následující architekturu a pracovní postup.
- Hostitel Bastionu je nasazen ve virtuální síti, která obsahuje podsíť AzureBastionSubnet s minimální předponou /26.
- Uživatel se připojí k webu Azure Portal pomocí libovolného prohlížeče HTML5 a vybere virtuální počítač, ke kterému se má připojit. Na virtuálním počítači Azure se nevyžaduje veřejná IP adresa.
- Relace RDP/SSH se otevře v prohlížeči jediným kliknutím.
U některých konfigurací se uživatel může k virtuálnímu počítači připojit přes nativního klienta operačního systému.
Postup konfigurace najdete tady:
Nasazení – Bastion Developer
Když se připojíte pomocí nástroje Bastion Developer, požadavky na nasazení se liší od nasazení pomocí jiných skladových položek. Obvykle, když vytváříte bastionový hostitel, je hostitel nasazen do podsítě AzureBastionSubnet ve vaší virtuální síti. Hostitel Bastionu je vyhrazen pro vaše použití, zatímco Bastion Developer není. Vzhledem k tomu, že prostředek Bastion Developer není vyhrazený, jsou funkce pro Bastion Developer omezené. Produkt Bastion Developer můžete kdykoli upgradovat na konkrétní SKU , pokud potřebujete podporovat více funkcí. Viz Upgrade SKU.
Další informace o službě Bastion Developer najdete v tématu Nasazení Bastionu z webu Azure Portal.
Nasazení – pouze soukromé
Nasazení Bastionu pouze pro interní sítě zabezpečí úlohy tím, že vytvoří nasazení Bastionu nepřístupné z internetu, které umožňuje přístup pouze pomocí privátních IP adres. Nasazení Bastionu, která jsou pouze privátní, neumožňují připojení k hostiteli bastionu prostřednictvím veřejné IP adresy. Naproti tomu běžné nasazení služby Azure Bastion umožňuje uživatelům připojit se k hostiteli bastionu pomocí veřejné IP adresy.
Diagram znázorňuje architekturu nasazení Bastionu pouze pro privátní použití. Uživatel připojený k Azure prostřednictvím privátního partnerského vztahu ExpressRoute se může bezpečně připojit k Bastionu pomocí privátní IP adresy hostitele bastionu. Bastion pak může vytvořit připojení přes privátní IP adresu k virtuálnímu počítači, který je ve stejné virtuální síti jako hostitel bastionu. V privátním nasazení Bastionu nepovoluje Bastion odchozí přístup mimo virtuální síť.
Considerations:
Bastion pouze pro soukromé použití je nakonfigurován v době nasazení a vyžaduje úroveň SKU Premium.
Z běžného nasazení Bastionu se nemůžete změnit na nasazení pouze soukromé.
Pokud chcete nasadit Bastion pouze jako privátní do virtuální sítě, která již má Bastion nasazen, nejprve odeberte Bastion z virtuální sítě a poté jej znovu nasaďte do virtuální sítě jako "pouze privátní". Nemusíte odstraňovat a znovu vytvářet podsíť AzureBastionSubnet.
Pokud chcete vytvořit kompletní privátní připojení, připojte se místo připojení přes Azure Portal pomocí nativního klienta.
Pokud je váš klientský počítač místní a jiný než Azure, budete muset nasadit ExpressRoute nebo VPN a povolit připojení založené na IP adresách pro prostředek Bastion.
Ujistěte se, že pravidla zabezpečení sítě neblokují přístup portu 443 k podsítě AzureBastionSubnet pro příchozí provoz virtuální sítě.
Další informace o privátních nasazeních najdete v tématu Nasazení Bastionu pouze jako privátní.