Az NSG-hozzáférés és az Azure Bastion használata
Az Azure Bastion használatakor hálózati biztonsági csoportokat (NSG-ket) használhat. További információ: Biztonsági csoportok.
Ebben a diagramban:
- A Bastion-gazdagép a virtuális hálózaton van üzembe helyezve.
- A felhasználó bármilyen HTML5-böngészővel csatlakozik az Azure Portalhoz.
- A felhasználó az Azure-beli virtuális gépre navigál az RDP/SSH felé.
- Csatlakozás integráció – Egykattintásos RDP/SSH-munkamenet a böngészőben
- Az Azure-beli virtuális gépen nincs szükség nyilvános IP-címre.
Hálózati biztonsági csoportok
Ez a szakasz bemutatja a felhasználó és az Azure Bastion közötti hálózati forgalmat, valamint a virtuális hálózatban lévő virtuális gépek célként való megcélzását:
Fontos
Ha úgy dönt, hogy NSG-t használ az Azure Bastion-erőforrással, az alábbi bejövő és kimenő forgalomra vonatkozó összes szabályt létre kell hoznia. Ha kihagyja az alábbi szabályok valamelyikét az NSG-ben, az megakadályozza, hogy az Azure Bastion-erőforrás a jövőben megkapja a szükséges frissítéseket, és ezáltal megnyissa az erőforrást a jövőbeli biztonsági rések előtt.
AzureBastionSubnet
Az Azure Bastion kifejezetten az AzureBastionSubneten van üzembe helyezve.
Bejövő forgalom:
- Bejövő forgalom a nyilvános internetről: Az Azure Bastion létrehoz egy nyilvános IP-címet, amely a bejövő forgalomhoz engedélyezni kell a 443-at a nyilvános IP-címen. A 3389/22-s portot NEM kell megnyitni az AzureBastionSubneten. Vegye figyelembe, hogy a forrás lehet az internet vagy a megadott nyilvános IP-címek készlete.
- Bejövő forgalom az Azure Bastion vezérlősíkjáról: A vezérlősík kapcsolatához engedélyezze a 443-ás portot a GatewayManager szolgáltatáscímkéről. Ez lehetővé teszi a vezérlősík, vagyis a Gateway Manager számára, hogy beszéljen az Azure Bastion-sal.
- Bejövő forgalom az Azure Bastion adatsíkjáról: Az Azure Bastion mögöttes összetevői közötti adatsík-kommunikációhoz engedélyezze a 8080-5701-ös portokat a VirtualNetwork szolgáltatás címkéje és a VirtualNetwork szolgáltatáscímke között. Ez lehetővé teszi, hogy az Azure Bastion összetevői beszéljenek egymással.
- Bejövő forgalom az Azure Load Balancerből: Állapotadat-mintavételekhez engedélyezze a 443-ás portot az AzureLoadBalancer szolgáltatáscímkéről. Ez lehetővé teszi, hogy az Azure Load Balancer észlelje a kapcsolatot
Kimenő forgalom:
- Kimenő forgalom a cél virtuális gépek felé: Az Azure Bastion privát IP-címen éri el a cél virtuális gépeket. Az NSG-knek engedélyeznie kell a kimenő forgalmat más cél virtuálisgép-alhálózatokra a 3389-22-s porton. Ha a Standard termékváltozaton belül használja az egyéni portfunkciókat, győződjön meg arról, hogy az NSG-k engedélyezik a VirtualNetwork szolgáltatáscímke felé irányuló kimenő forgalmat célként.
- Kimenő forgalom az Azure Bastion adatsíkjára: Az Azure Bastion mögöttes összetevői közötti adatsík-kommunikációhoz engedélyezze a 8080-5701-ös portokat a VirtualNetwork szolgáltatás címkéje és a VirtualNetwork szolgáltatáscímke között. Ez lehetővé teszi, hogy az Azure Bastion összetevői beszéljenek egymással.
- Kimenő forgalom más nyilvános végpontokra az Azure-ban: Az Azure Bastionnak képesnek kell lennie csatlakozni az Azure különböző nyilvános végpontjaihoz (például diagnosztikai naplók és mérési naplók tárolásához). Ezért az Azure Bastionnak 443-ra kell kimenőnek lennie az AzureCloud szolgáltatáscímkéjére.
- Kimenő forgalom az internetre: Az Azure Bastionnak képesnek kell lennie kommunikálni az internettel munkamenet, Bastion Shareable Link és tanúsítványérvényesítés céljából. Ezért azt javasoljuk, hogy engedélyezze a 80-ás portot az internetre való kimenő forgalom számára.
Cél virtuálisgép-alhálózat
Ez az alhálózat tartalmazza azt a cél virtuális gépet, amelyhez RDP-t/SSH-t szeretne használni.
- Bejövő forgalom az Azure Bastionból: Az Azure Bastion privát IP-címen keresztül éri el a cél virtuális gépet. Az RDP-/SSH-portokat (a 3389/22-as portokat vagy az egyéni portértékeket, ha az egyéni portfunkciót a Standard vagy a Prémium termékváltozat részeként használja) a cél virtuális gép oldalán kell megnyitni a privát IP-cím helyett. Ajánlott eljárásként hozzáadhatja az Azure Bastion alhálózati IP-címtartományt ebben a szabályban, hogy csak a Bastion tudja megnyitni ezeket a portokat a cél virtuális gép alhálózatán lévő cél virtuális gépeken.
Következő lépések
Az Azure Bastionról további információt a gyakori kérdések között talál.