Architektura projektowania dla usługi Azure Bastion
Usługa Azure Bastion oferuje wiele architektur wdrażania w zależności od wybranej jednostki SKU i konfiguracji opcji. W przypadku większości jednostek SKU usługa Bastion jest wdrażana w sieci wirtualnej i obsługuje komunikację równorzędną sieci wirtualnych. W szczególności usługa Azure Bastion zarządza łącznością RDP/SSH z maszynami wirtualnymi utworzonymi w lokalnych lub równorzędnych sieciach wirtualnych.
Protokoły RDP i SSH to niektóre z podstawowych środków, za pomocą których można łączyć się z obciążeniami uruchomionymi na platformie Azure. Uwidacznianie portów RDP/SSH przez Internet nie jest pożądane i jest postrzegane jako znacząca powierzchnia zagrożenia. Jest to często spowodowane lukami w zabezpieczeniach protokołu. Aby zawierać tę powierzchnię zagrożeń, można wdrożyć hosty bastionu (znane również jako serwery przesiadkowe) po stronie publicznej sieci obwodowej. Serwery hosta bastionu są zaprojektowane i skonfigurowane do wytrzymania ataków. Serwery bastionu zapewniają również łączność RDP i SSH z obciążeniami siedzącymi za bastionem, a także w dalszej części sieci.
Jednostka SKU wybrana podczas wdrażania usługi Bastion określa architekturę i dostępne funkcje. Możesz przeprowadzić uaktualnienie do wyższej jednostki SKU, aby obsługiwać więcej funkcji, ale nie można obniżyć wersji jednostki SKU po wdrożeniu. Niektóre architektury, takie jak jednostka SKU tylko dla klientów prywatnych i deweloperów, muszą być skonfigurowane w momencie wdrażania.
Wdrażanie — podstawowa jednostka SKU i nowsze
Podczas pracy z podstawową lub nowszą bazą danych usługa Bastion korzysta z następującej architektury i przepływu pracy.
- Host bastionu jest wdrażany w sieci wirtualnej, która zawiera podsieć AzureBastionSubnet, która ma co najmniej /26 prefiks.
- Użytkownik łączy się z witryną Azure Portal przy użyciu dowolnej przeglądarki HTML5 i wybiera maszynę wirtualną do nawiązania połączenia. Publiczny adres IP nie jest wymagany na maszynie wirtualnej platformy Azure.
- Sesja protokołu RDP/SSH zostanie otwarta w przeglądarce jednym kliknięciem.
W przypadku niektórych konfiguracji użytkownik może nawiązać połączenie z maszyną wirtualną za pośrednictwem natywnego klienta systemu operacyjnego.
Aby uzyskać instrukcje dotyczące konfiguracji, zobacz:
- Automatycznie wdróż usługę Bastion — tylko podstawowa jednostka SKU
- Wdrażanie usługi Bastion przy użyciu ręcznie określonych ustawień
Wdrażanie — jednostka SKU dla deweloperów
Jednostka SKU dewelopera usługi Bastion to bezpłatna, uproszczona jednostka SKU. Ta jednostka SKU jest idealna dla użytkowników tworzenia i testowania, którzy chcą bezpiecznie łączyć się z maszynami wirtualnymi, ale nie potrzebują dodatkowych funkcji usługi Bastion ani skalowania hostów. Jednostka SKU dewelopera umożliwia łączenie się z jedną maszyną wirtualną platformy Azure naraz bezpośrednio za pośrednictwem strony łączenia maszyny wirtualnej.
Podczas wdrażania usługi Bastion przy użyciu jednostki SKU dewelopera wymagania dotyczące wdrażania różnią się od wdrażania przy użyciu innych jednostek SKU. Zazwyczaj podczas tworzenia hosta bastionu host jest wdrażany w podsieci AzureBastionSubnet w sieci wirtualnej. Host usługi Bastion jest przeznaczony do użycia. W przypadku korzystania z jednostki SKU dewelopera host bastionu nie jest wdrażany w sieci wirtualnej i nie jest potrzebny podsieć AzureBastionSubnet. Jednak host bastionu jednostki SKU dewelopera nie jest zasobem dedykowanym. Zamiast tego jest częścią udostępnionej puli.
Ponieważ zasób bastionu jednostki SKU dewelopera nie jest dedykowany, funkcje jednostki SKU dewelopera są ograniczone. Zobacz sekcję Jednostka SKU ustawień konfiguracji usługi Bastion, aby uzyskać informacje o funkcjach wymienionych przez jednostkę SKU. Zawsze możesz uaktualnić jednostkę SKU dewelopera do wyższej jednostki SKU, jeśli potrzebujesz obsługiwać więcej funkcji. Zobacz Uaktualnianie jednostki SKU.
Aby uzyskać więcej informacji na temat jednostki SKU dla deweloperów, zobacz Wdrażanie jednostki SKU usługi Azure Bastion — deweloper.
Wdrażanie — tylko prywatny (wersja zapoznawcza)
Wdrożenia usługi Bastion tylko w trybie prywatnym blokują kompleksowe obciążenia, tworząc wdrożenie usługi Bastion bez routingu internetowego, które zezwala tylko na dostęp do prywatnych adresów IP. Wdrożenia usługi Bastion tylko dla prywatnych nie zezwalają na połączenia z hostem bastionu za pośrednictwem publicznego adresu IP. Z kolei regularne wdrażanie usługi Azure Bastion umożliwia użytkownikom łączenie się z hostem bastionu przy użyciu publicznego adresu IP.
Na diagramie przedstawiono architekturę wdrażania tylko prywatną usługi Bastion. Użytkownik połączony z platformą Azure za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute może bezpiecznie nawiązać połączenie z usługą Bastion przy użyciu prywatnego adresu IP hosta bastionu. Usługa Bastion może następnie nawiązać połączenie za pośrednictwem prywatnego adresu IP do maszyny wirtualnej znajdującej się w tej samej sieci wirtualnej co host bastionu. W przypadku wdrożenia usługi Bastion tylko prywatnie usługa Bastion nie zezwala na dostęp wychodzący poza siecią wirtualną.
Zagadnienia do rozważenia:
Usługa Bastion tylko prywatna jest konfigurowana w momencie wdrażania i wymaga warstwy jednostki SKU Premium.
Nie można zmienić zwykłego wdrożenia usługi Bastion na wdrożenie tylko prywatne.
Aby wdrożyć usługę Bastion tylko prywatną w sieci wirtualnej, która ma już wdrożenie usługi Bastion, najpierw usuń usługę Bastion z sieci wirtualnej, a następnie wdróż usługę Bastion z powrotem do sieci wirtualnej jako tylko prywatna. Nie musisz usuwać i ponownie utworzyć podsieci AzureBastionSubnet.
Jeśli chcesz utworzyć kompleksową łączność prywatną, połącz się przy użyciu klienta natywnego zamiast łączyć się za pośrednictwem witryny Azure Portal.
Jeśli maszyna kliencka jest lokalna i nienależącą do platformy Azure, musisz wdrożyć usługę ExpressRoute lub sieć VPN i włączyć połączenie oparte na adresach IP w zasobie usługi Bastion
Aby uzyskać więcej informacji na temat wdrożeń tylko do użytku prywatnego, zobacz Wdrażanie usługi Bastion jako tylko prywatny.