A Cloud Shell használata Azure-beli virtuális hálózaton

  • Cikk

Az Azure Cloud Shell-munkamenetek alapértelmezés szerint az erőforrásoktól független Microsoft-hálózaton futó tárolóban futnak. A tárolón belül futó parancsok nem férnek hozzá a privát virtuális hálózatok erőforrásaihoz. A Secure Shell (SSH) használatával például nem csatlakozhat például a Cloud Shellből egy olyan virtuális géphez, amely csak magánhálózati IP-címmel rendelkezik, vagy nem csatlakozhat kubectl olyan Kubernetes-fürthöz, amely zárolta a hozzáférést.

A privát erőforrásokhoz való hozzáférés biztosításához üzembe helyezheti a Cloud Shellt egy Ön által vezérelt Azure-beli virtuális hálózaton. Ezt a technikát virtuális hálózatelkülönítésnek nevezzük.

A virtuális hálózatok elkülönítésének előnyei a Cloud Shell használatával

A Cloud Shell privát virtuális hálózaton való üzembe helyezése az alábbi előnyöket nyújtja:

  • A kezelni kívánt erőforrásoknak nem kell nyilvános IP-címmel rendelkezniük.
  • Az erőforrások kezeléséhez parancssori eszközöket, SSH-t és PowerShell-remotálást használhat a Cloud Shell-tárolóból.
  • A Cloud Shell által használt tárfióknak nem kell nyilvánosan elérhetőnek lennie.

Megfontolandó szempontok az Azure Cloud Shell virtuális hálózaton való üzembe helyezése előtt

  • A Cloud Shell indítása egy virtuális hálózaton általában lassabb, mint egy standard Cloud Shell-munkamenet.
  • A virtuális hálózatok elkülönítéséhez az Azure Relayt kell használnia, amely egy fizetős szolgáltatás. A Cloud Shell-forgatókönyvben minden rendszergazda egy hibrid kapcsolatot használ a Cloud Shell használata során. A kapcsolat automatikusan lezárul a Cloud Shell-munkamenet végén.

Architektúra

Az alábbi ábra azt az erőforrásarchitektúrát mutatja be, amelyet a forgatókönyv engedélyezéséhez létre kell készítenie.

A Cloud Shell izolált virtuális hálózati architektúrájának illusztrációja.

  • Ügyfél-ügyfélhálózat: Az ügyfélfelhasználók bárhol elhelyezhetők az interneten, hogy biztonságosan elérhessék és hitelesíthessék az Azure Portalt, és a Cloud Shell használatával kezelhetik az ügyfél előfizetésében található erőforrásokat. A szigorúbb biztonság érdekében engedélyezheti a felhasználóknak, hogy csak az előfizetésben található virtuális hálózatról nyissák meg a Cloud Shellt.
  • Microsoft-hálózat: Az ügyfelek a Microsoft hálózatán lévő Azure Portalhoz csatlakoznak a Cloud Shell hitelesítéséhez és megnyitásához.
  • Ügyfél virtuális hálózata: Ez az a hálózat, amely a virtuális hálózatok elkülönítését támogató alhálózatokat tartalmazza. Az erőforrások, például a virtuális gépek és szolgáltatások közvetlenül elérhetők a Cloud Shellből anélkül, hogy nyilvános IP-címet kellene hozzárendelni.
  • Azure Relay: Az Azure Relay két olyan végpontot tesz lehetővé, amelyek közvetlenül nem érhetőek el a kommunikációhoz. Ebben az esetben lehetővé teszi, hogy a rendszergazda böngészője kommunikáljon a privát hálózaton lévő tárolóval.
  • Fájlmegosztás: A Cloud Shellhez olyan tárfiókra van szükség, amely elérhető a virtuális hálózatról. A tárfiók biztosítja a Cloud Shell-felhasználók által használt fájlmegosztást.

A Cloud Shellhez új vagy meglévő Azure Files-megosztást kell csatlakoztatni a fájlok munkamenetek közötti megőrzéséhez. A tárolás rendszeres költségekkel jár. Ha privát virtuális hálózaton telepítette az Azure Cloud Shellt, a hálózati erőforrásokért fizetnie kell. A díjszabással kapcsolatos információkért tekintse meg az Azure Cloud Shell díjszabását.