Architecture de conception pour Azure Bastion
Azure Bastion offre plusieurs architectures de déploiement en fonction des configurations d’option et de la référence SKU sélectionnés. Pour la plupart des SKU, Azure Bastion est déployé sur un réseau virtuel et prend en charge l’appairage de réseaux virtuels. Plus précisément, Azure Bastion gère la connectivité RDP/SSH aux machines virtuelles créées dans les réseaux virtuels locaux ou homologués.
RDP et SSH font partie des moyens fondamentaux par lesquels vous pouvez vous connecter à vos charges de travail exécutées dans Azure. L’exposition des ports RDP/SSH sur Internet est déconseillée car considérée comme une surface de menace importante. Cela est surtout dû aux vulnérabilités du protocole. Pour contenir cette surface de menace, vous pouvez déployer des hôtes Bastion (également appelés serveurs de saut) du côté public de votre réseau périphérique. Les serveurs hôte Bastion sont conçus et configurés pour faire face aux attaques. Les serveurs Bastion fournissent également une connectivité RDP et SSH aux charges de travail situées derrière le bastion, ainsi qu’à l’intérieur du réseau.
Le SKU que vous sélectionnez lorsque vous déployez Bastion détermine l'architecture et les fonctionnalités disponibles. Vous pouvez passer à un SKU supérieur pour prendre en charge davantage de fonctionnalités, mais vous ne pouvez pas rétrograder un SKU après l'avoir déployé. Certaines architectures, telles que privé uniquement et la référence SKU du développeur, doivent être configurées au moment du déploiement.
Déploiement - Référence SKU de base et versions ultérieures
Lorsque vous utilisez la référence SKU de base ou une version ultérieure, Bastion utilise l’architecture et le flux de travail suivants.
- L’hôte Bastion est déployé dans le réseau virtuel qui contient le sous-réseau AzureBastionSubnet avec un préfixe minimum /26.
- L’utilisateur se connecte au portail Azure à l’aide d’un navigateur HTML5 et sélectionne la machine virtuelle à laquelle se connecter. Une adresse IP publique n’est pas requise sur la machine virtuelle Azure.
- La session RDP/SSH s’ouvre dans le navigateur en un seul clic.
Pour certaines configurations, l’utilisateur peut se connecter à la machine virtuelle via le client du système d’exploitation natif.
Pour connaître les étapes de configuration, consultez :
- Déployer Bastion automatiquement - Référence SKU de base uniquement
- Déployer Bastion à l’aide de paramètres spécifiés manuellement
Déploiement - Référence SKU développeur
La référence SKU Développeur de Bastion est une référence SKU gratuite et légère. Cette référence SKU est idéale pour les utilisateurs Dev/Test qui souhaitent se connecter de manière sécurisée à leurs machines virtuelles, mais qui n’ont pas besoin de fonctionnalités Bastion supplémentaires ou de mise à l’échelle de l’hôte. Avec la référence SKU développeur, vous pouvez vous connecter à une machine virtuelle Azure à la fois directement via la page de connexion de la machine virtuelle.
Lorsque vous déployez Bastion à l’aide de la référence SKU développeur, les exigences de déploiement sont différentes de celles que vous déployez à l’aide d’autres références SKU. En règle générale, lorsque vous créez un hôte bastion, un hôte est déployé sur AzureBastionSubnet dans votre réseau virtuel. L’hôte Bastion est dédié à votre utilisation. Lorsque vous utilisez la référence SKU Développeur, aucun hôte bastion n’est déployé sur votre réseau virtuel et vous n’avez pas besoin d’un AzureBastionSubnet. Toutefois, l’hôte bastion de référence SKU Développeur n’est pas une ressource dédiée. Au lieu de cela, il fait partie d’un pool partagé.
Étant donné que la ressource bastion de référence SKU développeur n’est pas dédiée, les fonctionnalités de la référence SKU développeur sont limitées. Consultez la section des références SKU des paramètres de configuration Bastion pour connaître les fonctionnalités par référence SKU. Vous pouvez toujours mettre à niveau la référence SKU Développeur vers une référence SKU supérieure si vous devez prendre en charge d’autres fonctionnalités. Voir Mettre à niveau un SKU.
Pour plus d’informations sur la référence SKU développeur, consultez Déployer Azure Bastion - Référence SKU du développeur.
Déploiement - Privé uniquement (préversion)
Les déploiements Bastion en privé uniquement verrouillent les charges de travail de bout en bout en créant un déploiement routable non-Internet de Bastion qui autorise uniquement l’accès aux adresses IP privées. Les déploiements Bastion en privé uniquement n’autorisent pas les connexions à l’hôte bastion via une adresse IP publique. En revanche, un déploiement Azure Bastion standard permet aux utilisateurs de se connecter à l’hôte bastion à l’aide d’une adresse IP publique.
Le diagramme montre l’architecture de déploiement bastion privé uniquement. Un utilisateur connecté à Azure via le peering privé ExpressRoute peut se connecter en toute sécurité à Bastion à l’aide de l’adresse IP privée de l’hôte bastion. Bastion peut ensuite établir la connexion via une adresse IP privée à une machine virtuelle qui se trouve dans le même réseau virtuel que l’hôte bastion. Dans un déploiement Bastion en privé uniquement, Bastion n’autorise pas l’accès sortant en dehors du réseau virtuel.
Considérations
Bastion en privé uniquement est configuré au moment du déploiement et nécessite le niveau de référence SKU Premium.
Vous ne pouvez pas passer d’un déploiement Bastion standard à un déploiement en privé uniquement.
Pour déployer Bastion en privé uniquement sur un réseau virtuel qui dispose déjà d’un déploiement Bastion, supprimez d’abord Bastion de votre réseau virtuel, puis déployez Bastion sur le réseau virtuel en privé uniquement. Vous n’avez pas besoin de supprimer et de recréer le sous-réseau AzureBastionSubnet.
Si vous souhaitez créer une connectivité privée de bout en bout, connectez-vous à l’aide du client natif au lieu de vous connecter via le portail Azure.
Si votre ordinateur client est local et non-Azure, vous devez déployer une connexion ExpressRoute ou VPN et activer connexion IP sur la ressource Bastion
Pour plus d’informations sur les déploiements privés uniquement, consultez Déployer Bastion en tant queprivé uniquement.