Sdílet prostřednictvím

Plánování vzdáleného přístupu k virtuálnímu počítači

  • Článek

Tento článek popisuje doporučené pokyny pro zajištění vzdáleného přístupu k virtuálním počítačům nasazeným v rámci architektury cílových zón Azure.

Azure nabízí různé technologie pro poskytování vzdáleného přístupu k virtuálním počítačům:

  • Azure Bastion, řešení PaaS (platforma jako služba), pro přístup k virtuálním počítačům prostřednictvím prohlížeče nebo aktuálně ve verzi Preview prostřednictvím nativního klienta SSH/RDP na pracovních stanicích s Windows
  • Přístup podle potřeby (JIT) poskytovaný prostřednictvím Microsoft Defender for Cloud
  • Možnosti hybridního připojení, jako jsou Azure ExpressRoute a sítě VPN
  • Veřejná IP adresa připojená přímo k virtuálnímu počítači nebo prostřednictvím pravidla překladu adres (NAT) prostřednictvím veřejného nástroje pro vyrovnávání zatížení Azure

Volba nejvhodnějšího řešení vzdáleného přístupu závisí na faktorech, jako jsou škálování, topologie a požadavky na zabezpečení.

Na co dát pozor při navrhování

  • Pokud je k dispozici, můžete použít stávající hybridní připojení k virtuálním sítím Azure prostřednictvím ExpressRoute nebo připojení VPN typu S2S/P2S k zajištění vzdáleného přístupu z místního prostředí k virtuálním počítačům Azure s Windows a Linuxem.
  • Skupiny zabezpečení sítě je možné použít k zabezpečení připojení SSH/RDP k virtuálním počítačům Azure.
  • JIT umožňuje vzdálený přístup přes protokol SSH/RDP přes internet, aniž byste museli nasazovat jinou infrastrukturu.
  • U přístupu podle potřeby existují určitá omezení dostupnosti .
    • Přístup podle potřeby není možné použít pro virtuální počítače chráněné službou Azure Firewalls řízenou Azure Firewall Managerem.
  • Azure Bastion poskytuje další vrstvu řízení. Umožňuje zabezpečené a bezproblémové připojení RDP/SSH k vašim virtuálním počítačům přímo z Azure Portal nebo nativního klienta ve verzi Preview přes zabezpečený kanál TLS. Azure Bastion také neguje potřebu hybridního připojení.
  • V závislosti na vašich požadavcích zvažte vhodnou skladovou položku Azure Bastion, která se má použít, jak je popsáno v tématu Informace o nastavení konfigurace služby Azure Bastion.
  • Odpovědi na běžné otázky, které můžete mít k této službě, najdete v nejčastějších dotazech ke službě Azure Bastion .
  • Službu Azure Bastion je možné použít v topologii Azure Virtual WAN, má ale určitá omezení:
    • Službu Azure Bastion není možné nasadit v rámci virtuálního centra Virtual WAN.
    • Azure Bastion musí používat skladovou Standard položku a také IP based connection musí být povolená funkce v prostředku Azure Bastion. Viz dokumentace k připojení na základě IP adres služby Azure Bastion.
    • Službu Azure Bastion je možné nasadit v jakékoli paprskové virtuální síti připojené v Virtual WAN pro přístup k Virtual Machines, ve vlastních nebo jiných virtuálních sítích, které jsou připojené ke stejné Virtual WAN, přes přidružená centra, připojení k virtuálním sítím Virtual WAN a zajistit správnou konfiguraci směrování.

Tip

Připojení založené na PROTOKOLU IP služby Azure Bastion také umožňuje připojení k místním počítačům za předpokladu, že mezi prostředkem Služby Azure Bastion a počítačem, ke kterému se chcete připojit, je navázáno hybridní připojení. Viz Připojení k virtuálnímu počítači přes zadanou privátní IP adresu prostřednictvím portálu.

Doporučení k návrhu

  • Použijte stávající připojení ExpressRoute nebo VPN k zajištění vzdáleného přístupu k virtuálním počítačům Azure, které jsou přístupné z místního prostředí prostřednictvím připojení ExpressRoute nebo VPN.
  • V síťové topologii založené na Virtual WAN, kde se vyžaduje vzdálený přístup k Virtual Machines přes internet:
    • Azure Bastion je možné nasadit v každé paprskové virtuální síti příslušných virtuálních počítačů.
    • Nebo se můžete rozhodnout nasadit centralizovanou instanci služby Azure Bastion v jednom paprsku ve vaší Virtual WAN topologii, jak je znázorněno na obrázku 1. Tato konfigurace snižuje počet instancí služby Azure Bastion, které se mají spravovat ve vašem prostředí. Tento scénář vyžaduje, aby uživatelé, kteří se přihlašují k virtuálním počítačům s Windows a Linuxem prostřednictvím služby Azure Bastion, měli roli čtenáře pro prostředek služby Azure Bastion a zvolenou paprskovou virtuální síť. U některých implementací můžou být důležité aspekty zabezpečení nebo dodržování předpisů, které to omezují nebo brání.
  • V hvězdicové síťové topologii, kde se vyžaduje vzdálený přístup k Azure Virtual Machines přes internet:
    • V centrální virtuální síti je možné nasadit jednoho hostitele služby Azure Bastion, který může poskytovat připojení k virtuálním počítačům Azure v paprskových virtuálních sítích prostřednictvím partnerského vztahu virtuálních sítí. Tato konfigurace snižuje počet instancí služby Azure Bastion, které se mají spravovat ve vašem prostředí. Tento scénář vyžaduje, aby uživatelé, kteří se přihlašují k virtuálním počítačům s Windows a Linuxem prostřednictvím služby Azure Bastion, měli roli čtenáře pro prostředek služby Azure Bastion a virtuální síť centra. U některých implementací můžou být důležité informace o zabezpečení nebo dodržování předpisů. Viz obrázek 2.
    • Vaše prostředí nemusí umožňovat udělit uživatelům roli čtenáře řízení přístupu na základě role (RBAC) v prostředku služby Azure Bastion a ve virtuální síti centra. K zajištění připojení k virtuálním počítačům v rámci paprskové virtuální sítě použijte Azure Bastion Basic nebo Standard. Nasaďte vyhrazenou instanci služby Azure Bastion do každé virtuální sítě, která vyžaduje vzdálený přístup. Viz obrázek 3.
  • Nakonfigurujte pravidla skupiny zabezpečení sítě pro ochranu služby Azure Bastion a virtuálních počítačů, ke kterým poskytuje připojení. Postupujte podle pokynů v tématu Práce s virtuálními počítači a skupinami zabezpečení sítě ve službě Azure Bastion.
  • Nakonfigurujte diagnostické protokoly služby Azure Bastion tak, aby se odesílaly do centrálního pracovního prostoru služby Log Analytics. Postupujte podle pokynů v tématu Povolení a práce s protokoly prostředků služby Azure Bastion.
  • Ujistěte se, že jsou požadovaná přiřazení rolí RBAC pro uživatele nebo skupiny, kteří se připojují k virtuálním počítačům prostřednictvím služby Azure Bastion.
  • Pokud se připojujete k virtuálním počítačům s Linuxem přes SSH, použijte funkci připojení pomocí privátního klíče uloženého v Azure Key Vault.
  • Nasaďte Azure Bastion, ExpressRoute nebo přístup k síti VPN, abyste vyřešili konkrétní potřeby, jako je nouzový přístup.
  • Vzdálený přístup k virtuálním počítačům s Windows a Linuxem prostřednictvím veřejných IP adres přímo připojených k virtuálním počítačům se nedoporučuje. Vzdálený přístup by se nikdy neměl nasazovat bez striktních pravidel NSG a brány firewall.

Diagram znázorňující topologii služby Azure Virtual WAN

Obrázek 1: Topologie Azure Virtual WAN

Diagram znázorňující hvězdicovou topologii Azure

Obrázek 2: Hvězdicová topologie Azure

Diagram znázorňující topologii samostatné virtuální sítě Azure

Obrázek 3: Topologie samostatné virtuální sítě Azure