Menggunakan Cloud Shell di jaringan virtual Azure

  • Artikel

Secara default, sesi Azure Cloud Shell berjalan dalam kontainer di jaringan Microsoft yang terpisah dari sumber daya Anda. Perintah yang berjalan di dalam kontainer tidak dapat mengakses sumber daya di jaringan virtual privat. Misalnya, Anda tidak dapat menggunakan Secure Shell (SSH) untuk terhubung dari Cloud Shell ke komputer virtual yang hanya memiliki alamat IP privat, atau menggunakan kubectl untuk terhubung ke kluster Kubernetes yang telah mengunci akses.

Untuk menyediakan akses ke sumber daya privat, Anda dapat menyebarkan Cloud Shell ke jaringan virtual Azure yang Anda kontrol. Teknik ini disebut isolasi jaringan virtual.

Manfaat isolasi jaringan virtual dengan Cloud Shell

Menyebarkan Cloud Shell di jaringan virtual privat menawarkan manfaat berikut:

  • Sumber daya yang ingin Anda kelola tidak perlu memiliki alamat IP publik.
  • Anda dapat menggunakan alat baris perintah, SSH, dan PowerShell jarak jauh dari kontainer Cloud Shell untuk mengelola sumber daya Anda.
  • Akun penyimpanan yang digunakan Cloud Shell tidak harus dapat diakses secara publik.

Hal-hal yang perlu dipertimbangkan sebelum menyebarkan Azure Cloud Shell di jaringan virtual

  • Memulai Cloud Shell di jaringan virtual biasanya lebih lambat dari sesi Cloud Shell standar.
  • Isolasi jaringan virtual mengharuskan Anda menggunakan Azure Relay, yang merupakan layanan berbayar. Dalam skenario Cloud Shell, satu koneksi hibrid digunakan untuk setiap administrator saat mereka menggunakan Cloud Shell. Koneksi ditutup secara otomatis saat sesi Cloud Shell berakhir.

Sistem

Diagram berikut menunjukkan arsitektur sumber daya yang harus Anda buat untuk mengaktifkan skenario ini.

Ilustrasi arsitektur jaringan virtual terisolasi Cloud Shell.

  • Jaringan klien pelanggan: Pengguna klien dapat berada di mana saja di internet untuk mengakses dan mengautentikasi ke portal Azure dengan aman dan menggunakan Cloud Shell untuk mengelola sumber daya yang terkandung dalam langganan pelanggan. Untuk keamanan yang lebih ketat, Anda dapat mengizinkan pengguna untuk membuka Cloud Shell hanya dari jaringan virtual yang terkandung dalam langganan Anda.
  • Jaringan Microsoft: Pelanggan terhubung ke portal Azure di jaringan Microsoft untuk mengautentikasi dan membuka Cloud Shell.
  • Jaringan virtual pelanggan: Ini adalah jaringan yang berisi subnet untuk mendukung isolasi jaringan virtual. Sumber daya seperti komputer virtual dan layanan dapat diakses langsung dari Cloud Shell tanpa perlu menetapkan alamat IP publik.
  • Azure Relay: Azure Relay memungkinkan dua titik akhir yang tidak dapat dijangkau secara langsung untuk berkomunikasi. Dalam hal ini, digunakan untuk memungkinkan browser administrator berkomunikasi dengan kontainer di jaringan privat.
  • Berbagi file: Cloud Shell memerlukan akun penyimpanan yang dapat diakses dari jaringan virtual. Akun penyimpanan menyediakan berbagi file yang digunakan oleh pengguna Cloud Shell.

Cloud Shell memerlukan berbagi Azure Files baru atau yang sudah ada untuk dipasang agar file tetap ada di seluruh sesi. Penyimpanan menimbulkan biaya reguler. Jika Anda telah menyebarkan Azure Cloud Shell di jaringan virtual privat, Anda membayar sumber daya jaringan. Untuk informasi harga, lihat Harga Azure Cloud Shell.