Verwenden von Cloud Shell in einem Azure Virtual Network

  • Artikel

Standardmäßig werden Azure Cloud Shell-Sitzungen in einem Container in einem Microsoft-Netzwerk separat von Ihren Ressourcen ausgeführt. Befehle, die innerhalb des Containers ausgeführt werden, können nicht auf Ressourcen in einem privaten virtuellen Netzwerk zugreifen. Beispielsweise können Sie Secure Shell (SSH) nicht verwenden, um eine Verbindung von Cloud Shell aus mit einem virtuellen Computer herzustellen, der nur über eine private IP-Adresse verfügt, oder Sie können nicht mithilfe von kubectl eine Verbindung mit einem Kubernetes-Cluster herstellen, der den Zugriff gesperrt hat.

Um Zugriff auf Ihre privaten Ressourcen zu ermöglichen, können Sie Cloud Shell in einem von Ihnen kontrollierten virtuellen Azure-Netzwerk bereitstellen. Diese Technik nennt sich virtuelle Netzwerkisolation.

Vorteile der virtuellen Netzwerkisolation mit Cloud Shell

Die Bereitstellung von Cloud Shell in einem privaten virtuellen Netzwerk bietet folgende Vorteile:

  • Die Ressourcen, die Sie verwalten möchten, müssen keine öffentlichen IP-Adressen aufweisen.
  • Sie können Befehlszeilentools, SSH und PowerShell-Remoting aus dem Cloud Shell-Container verwenden, um Ihre Ressourcen zu verwalten.
  • Das Speicherkonto, das Cloud Shell verwendet, muss nicht öffentlich zugänglich sein.

Dinge, die Sie vor der Bereitstellung von Azure Cloud Shell in einem virtuellen Netzwerk berücksichtigen sollten

  • Der Start von Cloud Shell in einem virtuellen Netzwerk ist in der Regel langsamer als eine normale Cloud Shell-Sitzung.
  • Für die virtuelle Netzwerkisolation müssen Sie den kostenpflichtigen Dienst Azure Relay verwenden. Im Cloud Shell-Szenario wird für jeden Administrator eine Hybridverbindung verwendet, während sie Cloud Shell verwenden. Die Verbindung wird automatisch geschlossen, wenn die Cloud Shell-Sitzung endet.

Aufbau

Das folgende Diagramm zeigt die Ressourcenarchitektur, die Sie erstellen müssen, um dieses Szenario zu ermöglichen.

Abbildung einer isolierten Architektur eines isolierten virtuellen Netzwerks in Cloud Shell.

  • Kundenclientnetzwerk: Clientbenutzer können sich überall im Internet befinden, um sicher auf das Azure-Portal zuzugreifen, sich bei diesem zu authentifizieren und Cloud Shell zum Verwalten der im Kundenabonnement enthaltenen Ressourcen zu verwenden. Aus strengeren Sicherheitsgründen können Sie Benutzern erlauben, Cloud Shell nur über das virtuelle Netzwerk, das in Ihrem Abonnement enthalten ist, zu öffnen.
  • Microsoft-Netzwerk: Kunden stellen eine Verbindung mit dem Azure-Portal im Microsoft-Netzwerk her, um Cloud Shell zu authentifizieren und zu öffnen.
  • Virtuelles Kundennetzwerk: Dies ist das Netzwerk, das die Subnetze zur Unterstützung der virtuellen Netzwerkisolation enthält. Sie können direkt von Cloud Shell aus auf Ressourcen wie virtuelle Computer und Dienste zugreifen, ohne dass eine öffentliche IP-Adresse zugewiesen werden muss.
  • Azure Relay: Azure Relay ermöglicht zwei Endpunkten, die nicht direkt erreichbar sind, die Kommunikation. In diesem Fall wird es verwendet, um dem Browser des Administrators die Kommunikation mit dem Container in dem privaten Netzwerk zu gestatten.
  • Dateifreigabe: Cloud Shell erfordert ein Speicherkonto, auf das über das virtuelle Netzwerk zugegriffen werden kann. Das Speicherkonto stellt die Dateifreigabe bereit, die von Cloud Shell-Benutzern verwendet wird.

Cloud Shell erfordert die Einbindung einer neuen oder vorhandenen Azure Files-Freigabe, damit Dateien sitzungsübergreifend erhalten bleiben. Bei der Speicherung fallen laufende Kosten an. Wenn Sie Azure Cloud Shell in einem privaten virtuellen Netzwerk bereitgestellt haben, bezahlen Sie Netzwerkressourcen. Preisinformationen finden Sie unter Preise von Azure Cloud Shell.