Usare Cloud Shell in una rete virtuale di Azure

  • Articolo

Per impostazione predefinita, le sessioni di Azure Cloud Shell vengono eseguite in un contenitore in una rete Microsoft separata dalle risorse. I comandi eseguiti all'interno del contenitore non possono accedere alle risorse in una rete virtuale privata. Ad esempio, non è possibile usare Secure Shell (SSH) per connettersi da Cloud Shell a una macchina virtuale con solo un indirizzo IP privato o usare kubectl per connettersi a un cluster Kubernetes che ha bloccato l'accesso.

Per fornire l'accesso alle risorse private, è possibile distribuire Cloud Shell in una rete virtuale di Azure che si controlla. Questa tecnica è detta isolamento rete virtuale.

Vantaggi dell'isolamento della rete virtuale con Cloud Shell

La distribuzione di Cloud Shell in una rete virtuale privata offre questi vantaggi:

  • Le risorse da gestire non devono avere indirizzi IP pubblici.
  • È possibile usare strumenti da riga di comando, SSH e comunicazione remota di PowerShell dal contenitore Cloud Shell per gestire le risorse.
  • L'account di archiviazione usato da Cloud Shell non deve essere accessibile pubblicamente.

Aspetti da considerare prima di distribuire Azure Cloud Shell in una rete virtuale

  • L'avvio di Cloud Shell in una rete virtuale è in genere più lento rispetto a una sessione standard di Cloud Shell.
  • L'isolamento della rete virtuale richiede l'uso di Inoltro di Azure, ovvero un servizio a pagamento. Nello scenario di Cloud Shell viene usata una connessione ibrida per ogni amministratore mentre usa Cloud Shell. La connessione viene chiusa automaticamente al termine della sessione di Cloud Shell.

Architettura

Il diagramma seguente illustra l'architettura delle risorse che è necessario compilare per abilitare questo scenario.

Illustrazione di un'architettura di rete virtuale isolata di Cloud Shell.

  • Rete client del cliente: gli utenti client possono trovarsi ovunque su Internet per accedere e autenticarsi in modo sicuro al portale di Azure e usare Cloud Shell per gestire le risorse contenute nella sottoscrizione del cliente. Per una maggiore sicurezza, è possibile consentire agli utenti di aprire Cloud Shell solo dalla rete virtuale contenuta nella sottoscrizione.
  • Rete Microsoft: i clienti si connettono al portale di Azure nella rete Microsoft per l'autenticazione e l'apertura di Cloud Shell.
  • Rete virtuale del cliente: si tratta della rete che contiene le subnet per supportare l'isolamento della rete virtuale. Le risorse come macchine virtuali e servizi sono accessibili direttamente da Cloud Shell senza dover assegnare un indirizzo IP pubblico.
  • Inoltro di Azure: Inoltro di Azure consente a due endpoint che non sono direttamente raggiungibili per comunicare. In questo caso, viene usato per consentire al browser dell'amministratore di comunicare con il contenitore nella rete privata.
  • Condivisione file: Cloud Shell richiede un account di archiviazione accessibile dalla rete virtuale. L'account di archiviazione fornisce la condivisione file usata dagli utenti di Cloud Shell.

Per rendere persistenti i file da una sessione all'altra, Cloud Shell richiede di montare una condivisione File di Azure nuova o esistente. L’archiviazione comporta costi regolari. Se Azure Cloud Shell è stato distribuito in una rete virtuale privata, si paga per le risorse di rete. Per informazioni sui prezzi, vedere Prezzi di Azure Cloud Shell.