Utilisation de Cloud Shell dans un réseau virtuel Azure
Par défaut, les sessions Azure Cloud Shell s’exécutent dans un conteneur sur un réseau Microsoft distinct de vos ressources. Les commandes exécutées à l’intérieur du conteneur ne peuvent pas accéder aux ressources d’un réseau virtuel privé. Par exemple, vous ne pouvez pas utiliser Secure Shell (SSH) pour vous connecter depuis Cloud Shell à une machine virtuelle qui n'a qu'une adresse IP privée, ou kubectl
pour vous connecter à un cluster Kubernetes avec un accès verrouillé.
Pour fournir l’accès à vos ressources privées, vous pouvez déployer Cloud Shell dans un réseau virtuel Azure que vous contrôlez. Cette technique est appelée isolement réseau virtuel.
Avantages de l’isolement réseau virtuel avec Cloud Shell
Le déploiement de Cloud Shell dans un réseau virtuel privé offre les avantages suivants :
- Les ressources que vous souhaitez gérer n’ont pas besoin d’adresses IP publiques.
- Vous pouvez utiliser des outils de ligne de commande, SSH et PowerShell en vous connectant à distance à partir du conteneur Cloud Shell pour gérer vos ressources.
- Le compte de stockage que Cloud Shell utilise n’a pas besoin d’être accessible publiquement.
Éléments à prendre en compte avant de déployer Azure Cloud Shell dans un réseau virtuel
- Le démarrage de Cloud Shell dans un réseau virtuel est généralement plus lent qu’une session Cloud Shell standard.
- L’isolement réseau virtuel nécessite l’utilisation d’Azure Relay, qui est un service payant. Dans le scénario de Cloud Shell, une connexion hybride est utilisée par chaque administrateur quand celui-ci utilise Cloud Shell. La connexion est automatiquement fermée à la fin de la session Cloud Shell.
Architecture
Le diagramme suivant montre l’architecture des ressources déployée et utilisée dans ce scénario.
- Réseau client : les utilisateurs clients peuvent se trouver n’importe où sur Internet pour accéder et s’authentifier en toute sécurité auprès du portail Azure et utiliser Cloud Shell pour gérer les ressources contenues dans l’abonnement des clients. Pour une sécurité plus stricte, vous pouvez autoriser les utilisateurs à ouvrir Cloud Shell uniquement à partir du réseau virtuel contenu dans votre abonnement.
- Réseau Microsoft : les clients se connectent au portail Azure sur le réseau de Microsoft pour s’authentifier et ouvrir Cloud Shell.
- Réseau virtuel du client : il s'agit du réseau qui contient les sous-réseaux compatibles avec l’isolement réseau virtuel. Les ressources telles que les machines virtuelles et les services sont directement accessibles à partir de Cloud Shell sans qu’il soit nécessaire d’attribuer une adresse IP publique.
- Azure Relay : Azure Relay permet à deux points d’extrémité qui ne sont pas directement joignables de communiquer. Ici, elle est utilisée pour permettre au navigateur de l’administrateur de communiquer avec le conteneur dans le réseau privé.
- Partage de fichiers : Cloud Shell nécessite un compte de stockage accessible à partir du réseau virtuel. Le compte de stockage fournit le partage de fichiers utilisé par Cloud Shell utilisateurs.
Tarification
Cloud Shell nécessite un partage Azure Files nouveau ou existant à monter pour conserver les fichiers entre les sessions. Le stockage entraîne des coûts réguliers. Lorsque vous déployez Azure Cloud Shell dans un réseau virtuel privé, vous payez pour les ressources réseau. Pour obtenir des informations sur les tarifs, consultez Tarifs d’Azure Cloud Shell.
Étapes suivantes
Lorsque vous êtes prêt à déployer votre propre instance de Cloud Shell, consultez Déployer Azure Cloud Shell dans un réseau virtuel avec des modèles de démarrage rapid.