Progettare l'architettura per Azure Bastion

Azure Bastion offre più architetture di distribuzione, a seconda degli SKU e delle configurazioni di opzioni selezionati. Per la maggior parte degli SKU, Bastion viene distribuito in una rete virtuale e supporta il peering di rete virtuale. In particolare, Azure Bastion gestisce la connettività RDP/SSH alle macchine virtuali create nelle reti virtuali locali o con peering.

RDP e SSH sono alcuni dei mezzi fondamentali tramite i quali è possibile connettersi ai carichi di lavoro in esecuzione in Azure. L'esposizione delle porte RDP/SSH su Internet non è consigliabile e viene considerata una superficie di rischio significativa, spesso a causa di vulnerabilità del protocollo. Per contenere l'esposizione agli attacchi, è possibile distribuire bastion host (noti anche come jump server) sul lato pubblico della rete perimetrale. I server bastion host sono progettati e configurati per resistere agli attacchi. I server Bastion offrono anche la connettività RDP e SSH per i carichi di lavoro dietro il bastion, nonché all'interno della rete.

Lo SKU selezionato quando si distribuisce Bastion determina l'architettura e le funzionalità disponibili. È possibile eseguire l'aggiornamento a uno SKU superiore per supportare più funzionalità, ma non è possibile effettuare il downgrade di uno SKU dopo la distribuzione. Alcune architetture, ad esempio Solo privata e SKU per sviluppatori, devono essere configurate al momento della distribuzione.

Distribuzione - SKU Basic e di livello superiore

Quando si usa lo SKU Basic o di livello superiore, Bastion usa l'architettura e il flusso di lavoro seguenti.

• L'host bastion viene distribuito nella rete virtuale che contiene la subnet AzureBastionSubnet con un prefisso minimo di /26.
• L'utente si connette al portale di Azure usando qualsiasi browser HTML5 e seleziona la macchina virtuale a cui connettersi. Non è necessario un indirizzo IP pubblico nella macchina virtuale di Azure.
• La sessione RDP/SSH viene aperta nel browser con un solo clic.

Per alcune configurazioni, l'utente può connettersi alla macchina virtuale tramite il client del sistema operativo nativo.

Per i passaggi di configurazione, vedere:

• Distribuire Bastion automaticamente - Solo SKU Basic
• Distribuire Bastion usando le impostazioni specificate manualmente

Distribuzione - SKU per sviluppatori

Lo SKU per sviluppatori Bastion è uno SKU gratuito e leggero. Questo SKU è ideale per gli utenti che si occupano di sviluppo/test e vogliono connettersi in modo sicuro alle macchine virtuali, ma non necessitano di funzionalità Bastion aggiuntive o scalabilità dell'host. Con lo SKU per sviluppatori è possibile connettersi a una macchina virtuale di Azure alla volta direttamente tramite la pagina di connessione della macchina virtuale.

Quando si distribuisce Bastion usando lo SKU per sviluppatori, i requisiti di distribuzione sono diversi dalla distribuzione con altri SKU. In genere, quando si crea un host bastion, un host viene distribuito in AzureBastionSubnet nella rete virtuale. L'host Bastion è dedicato per l'uso. Quando si usa lo SKU per sviluppatori, un host bastion non viene distribuito nella rete virtuale e non è necessaria un'istanza di AzureBastionSubnet. Tuttavia, l'host bastion dello SKU per sviluppatori non è una risorsa dedicata. Fa invece parte di un pool condiviso.

Poiché la risorsa bastion dello SKU per sviluppatori non è dedicata, le funzionalità per lo SKU per sviluppatori sono limitate. Vedere la sezione SKU delle impostazioni di configurazione di Bastion per un elenco delle funzionalità dello SKU. È sempre possibile aggiornare lo SKU per sviluppatori a uno SKU superiore se è necessario supportare altre funzionalità. Vedere Aggiornare uno SKU.

Per altre informazioni sullo SKU per sviluppatori, vedere Distribuire Azure Bastion - SKU per sviluppatori.

Distribuzione - Solo privata (anteprima)

Le distribuzioni di Bastion solo private bloccano i carichi di lavoro end-to-end creando una distribuzione instradabile non Internet di Bastion che consente solo l'accesso con indirizzi IP privati. Le distribuzioni di Bastion solo private non consentono connessioni all'host bastion tramite un indirizzo IP pubblico. Al contrario, una normale distribuzione di Azure Bastion consente agli utenti di connettersi all'host bastion usando un indirizzo IP pubblico.

Il diagramma seguente illustra l'architettura di distribuzione di Bastion solo privata. Un utente connesso ad Azure tramite il peering privato di ExpressRoute può connettersi in modo sicuro a Bastion usando l'indirizzo IP privato dell'host bastion. Bastion può quindi stabilire la connessione tramite indirizzo IP privato a una macchina virtuale all'interno della stessa rete virtuale dell'host bastion. In una distribuzione di Bastion solo privata, Bastion non consente l'accesso in uscita all'esterno della rete virtuale.

Considerazioni:

• Un'istanza di Bastion solo privata viene configurata al momento della distribuzione e richiede il livello SKU Premium.

• Non è possibile passare da una distribuzione di Bastion normale a una distribuzione solo privata.

• Per distribuire Bastion solo privato in una rete virtuale che ha già una distribuzione di Bastion, rimuovere prima di tutto Bastion dalla rete virtuale e quindi distribuirlo nuovamente nella rete virtuale come solo privato. Non è necessario eliminare e ricreare AzureBastionSubnet.

• Se si vuole creare una connettività privata end-to-end, connettersi usando il client nativo anziché connettersi tramite il portale di Azure.

• Se il computer client è locale e non Azure, sarà necessario distribuire un'istanza di ExpressRoute o VPN e abilitare la connessione basata su IP nella risorsa di Bastion

Per altre informazioni sulle distribuzioni solo private, vedere Distribuire Bastion come solo privato.

Passaggi successivi

• Distribuire Bastion automaticamente - Solo SKU Basic
• Distribuire Bastion usando le impostazioni specificate manualmente
• Distribuire Azure Bastion - SKU per sviluppatori
• Distribuire Bastion come solo privato