Použití Cloud Shellu ve virtuální síti Azure

  • Článek

Ve výchozím nastavení se relace Azure Cloud Shellu spouštějí v kontejneru v síti Microsoftu, která je oddělená od vašich prostředků. Příkazy, které se spouští uvnitř kontejneru, nemají přístup k prostředkům v privátní virtuální síti. Nemůžete například použít Secure Shell (SSH) pro připojení z Cloud Shellu k virtuálnímu počítači, který má jenom privátní IP adresu, nebo použít kubectl pro připojení ke clusteru Kubernetes, který má uzamčený přístup.

Pokud chcete poskytnout přístup k vašim privátním prostředkům, můžete Cloud Shell nasadit do virtuální sítě Azure, kterou řídíte. Tato technika se nazývá izolace virtuální sítě.

Výhody izolace virtuální sítě pomocí Cloud Shellu

Nasazení Cloud Shellu v privátní virtuální síti nabízí tyto výhody:

  • Prostředky, které chcete spravovat, nemusí mít veřejné IP adresy.
  • Ke správě prostředků můžete použít nástroje příkazového řádku, SSH a vzdálenou komunikace PowerShellu z kontejneru Cloud Shellu.
  • Účet úložiště, který Používá Cloud Shell, nemusí být veřejně přístupný.

Co je potřeba zvážit před nasazením Azure Cloud Shellu ve virtuální síti

  • Spuštění Cloud Shellu ve virtuální síti je obvykle pomalejší než standardní relace Cloud Shellu.
  • Izolace virtuální sítě vyžaduje použití služby Azure Relay, což je placená služba. Ve scénáři Cloud Shellu se pro každého správce používá jedno hybridní připojení při používání Cloud Shellu. Připojení se po skončení relace Cloud Shellu automaticky zavře.

Architektura

Následující diagram znázorňuje architekturu prostředků, kterou je nutné sestavit, aby bylo možné tento scénář povolit.

Obrázek architektury izolované virtuální sítě v Cloud Shellu

  • Klientská síť zákazníka: Klienti mohou být umístěni kdekoli na internetu, aby mohli bezpečně přistupovat k webu Azure Portal a ověřovat se na webu Azure Portal a používat Cloud Shell ke správě prostředků obsažených v předplatném zákazníka. Kvůli přísnějšímu zabezpečení můžete uživatelům povolit otevírání Cloud Shellu jenom z virtuální sítě obsažené ve vašem předplatném.
  • Síť Microsoft: Zákazníci se připojují k webu Azure Portal v síti Microsoftu a ověřují a otevírají Cloud Shell.
  • Virtuální síť zákazníka: Jedná se o síť, která obsahuje podsítě pro podporu izolace virtuální sítě. Prostředky, jako jsou virtuální počítače a služby, jsou přímo přístupné z Cloud Shellu bez nutnosti přiřazovat veřejnou IP adresu.
  • Azure Relay: Azure Relay umožňuje komunikaci mezi dvěma koncovými body, které nejsou přímo dostupné. V tomto případě se používá k tomu, aby prohlížeč správce mohl komunikovat s kontejnerem v privátní síti.
  • Sdílená složka: Cloud Shell vyžaduje účet úložiště, který je přístupný z virtuální sítě. Účet úložiště poskytuje sdílenou složku používanou uživateli Cloud Shellu.

Cloud Shell vyžaduje, aby se kvůli zachování souborů napříč relacemi připojila nová nebo existující sdílená složka Azure Files. Za úložiště se účtují pravidelné náklady. Pokud jste nasadili Azure Cloud Shell v privátní virtuální síti, platíte za síťové prostředky. Informace o cenách najdete v tématu Ceny služby Azure Cloud Shell.