Arsitektur desain untuk Azure Bastion
Azure Bastion menawarkan beberapa arsitektur penyebaran, tergantung pada konfigurasi SKU dan opsi yang dipilih. Untuk sebagian besar SKU, Bastion disebarkan ke jaringan virtual dan mendukung peering jaringan virtual. Secara khusus, Azure Bastion mengelola konektivitas RDP/SSH ke VM yang dibuat di jaringan virtual lokal atau di-peer.
RDP dan SSH adalah beberapa cara mendasar di mana Anda dapat tersambung ke beban kerja Anda yang berjalan di Azure. Mengekspos port RDP/SSH melalui Internet tidak diinginkan dan dipandang sebagai permukaan ancaman yang signifikan. Ini sering disebabkan oleh kerentanan protokol. Untuk menahan permukaan ancaman ini, Anda dapat menyebarkan host bastion (juga dikenal sebagai jump-server) di sisi publik jaringan sekitar Anda. Server host Bastion dirancang dan dikonfigurasi untuk menahan serangan. Server Bastion juga menyediakan konektivitas RDP dan SSH ke beban kerja yang berada di belakang bastion, dan juga lebih jauh di dalam jaringan.
SKU yang Anda pilih saat menyebarkan Bastion menentukan arsitektur dan fitur yang tersedia. Anda dapat meningkatkan ke SKU yang lebih tinggi untuk mendukung lebih banyak fitur, tetapi Anda tidak dapat menurunkan SKU setelah menyebarkan. Arsitektur tertentu, seperti SKU Khusus Privat dan Pengembang, harus dikonfigurasi pada saat penyebaran.
Penyebaran - SKU dasar dan yang lebih tinggi
Saat bekerja dengan SKU Dasar atau yang lebih tinggi, Bastion menggunakan arsitektur dan alur kerja berikut.
- Host Bastion disebarkan di jaringan virtual yang berisi subnet AzureBastionSubnet yang memiliki awalan minimal /26.
- Pengguna terhubung ke portal Azure menggunakan browser HTML5 apa pun dan memilih komputer virtual yang akan disambungkan. Alamat IP publik tidak diperlukan di Azure VM.
- Sesi RDP/SSH terbuka di browser dengan satu klik.
Untuk beberapa konfigurasi, pengguna dapat terhubung ke komputer virtual melalui klien sistem operasi asli.
Untuk langkah-langkah konfigurasi, lihat:
- Menyebarkan Bastion secara otomatis - Hanya SKU Dasar
- Menyebarkan Bastion menggunakan pengaturan yang ditentukan secara manual
Penyebaran - SKU Pengembang
SKU Pengembang Bastion adalah SKU gratis dan ringan. SKU ini sangat ideal untuk pengguna Dev/Test yang ingin terhubung dengan aman ke VM mereka, tetapi tidak memerlukan fitur Bastion tambahan atau penskalaan host. Dengan SKU Pengembang, Anda dapat terhubung ke satu Azure VM pada satu waktu langsung melalui halaman koneksi komputer virtual.
Saat Anda menyebarkan Bastion menggunakan SKU Pengembang, persyaratan penyebaran berbeda dari saat Anda menyebarkan menggunakan SKU lain. Biasanya saat Anda membuat host bastion, host disebarkan ke AzureBastionSubnet di jaringan virtual Anda. Host Bastion didedikasikan untuk anda gunakan. Saat Anda menggunakan SKU Pengembang, host bastion tidak disebarkan ke jaringan virtual Anda dan Anda tidak memerlukan AzureBastionSubnet. Namun, host bastion SKU Pengembang bukan sumber daya khusus. Sebaliknya, ini adalah bagian dari kumpulan bersama.
Karena sumber daya bastion SKU Pengembang tidak didedikasikan, fitur untuk SKU Pengembang terbatas. Lihat bagian SKU pengaturan konfigurasi Bastion untuk fitur yang tercantum oleh SKU. Anda selalu dapat meningkatkan SKU Pengembang ke SKU yang lebih tinggi jika Anda perlu mendukung lebih banyak fitur. Lihat Meningkatkan SKU.
Untuk informasi selengkapnya tentang SKU Pengembang, lihat Menyebarkan Azure Bastion - SKU Pengembang.
Penyebaran - Khusus privat (Pratinjau)
Penyebaran Bastion khusus privat mengunci beban kerja secara end-to-end dengan membuat penyebaran Bastion yang tidak dapat dirutekan internet yang hanya memungkinkan akses alamat IP privat. Penyebaran Bastion khusus privat tidak mengizinkan koneksi ke host bastion melalui alamat IP publik. Sebaliknya, penyebaran Azure Bastion biasa memungkinkan pengguna untuk terhubung ke host bastion menggunakan alamat IP publik..
Diagram menunjukkan arsitektur penyebaran khusus privat Bastion. Pengguna yang terhubung ke Azure melalui peering privat ExpressRoute dapat terhubung dengan aman ke Bastion menggunakan alamat IP privat host bastion. Bastion kemudian dapat membuat koneksi melalui alamat IP privat ke komputer virtual yang berada dalam jaringan virtual yang sama dengan host bastion. Dalam penyebaran Bastion khusus privat, Bastion tidak mengizinkan akses keluar di luar jaringan virtual.
Pertimbangan:
Bastion khusus privat dikonfigurasi pada saat penyebaran dan memerlukan Tingkat SKU Premium.
Anda tidak dapat mengubah dari penyebaran Bastion biasa menjadi penyebaran khusus privat.
Untuk menyebarkan Bastion khusus privat ke jaringan virtual yang sudah memiliki penyebaran Bastion, pertama-tama hapus Bastion dari jaringan virtual Anda, lalu sebarkan Bastion kembali ke jaringan virtual sebagai privat saja. Anda tidak perlu menghapus dan membuat ulang AzureBastionSubnet.
Jika Anda ingin membuat konektivitas privat end-to-end, sambungkan menggunakan klien asli alih-alih menyambungkan melalui portal Azure.
Jika komputer klien Anda lokal dan non-Azure, Anda harus menyebarkan ExpressRoute atau VPN dan mengaktifkan koneksi berbasis IP pada sumber daya Bastion
Untuk informasi selengkapnya tentang penyebaran khusus privat, lihat Menyebarkan Bastion sebagai privat saja.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk