Usar o Cloud Shell em uma rede virtual do Azure

  • Artigo

Por padrão, as sessões do Azure Cloud Shell são executadas em um contêiner em uma rede da Microsoft separada de seus recursos. Os comandos executados dentro do contêiner não podem acessar recursos em uma rede virtual privada. Por exemplo, você não pode usar o Secure Shell (SSH) para se conectar do Cloud Shell a uma máquina virtual que tenha apenas um endereço IP privado ou usar kubectl para se conectar a um cluster do Kubernetes que tenha o acesso bloqueado.

Para fornecer acesso aos seus recursos privados, você pode implantar o Cloud Shell em uma rede virtual do Azure que você controla. Essa técnica é chamada de isolamento de rede virtual.

Benefícios do isolamento de rede virtual com o Cloud Shell

A implantação do Cloud Shell em uma rede virtual privada oferece estes benefícios:

  • Os recursos que você deseja gerenciar não precisam ter endereços IP públicos.
  • Você pode usar ferramentas de linha de comando, SSH e comunicação remota do PowerShell do contêiner do Cloud Shell para gerenciar seus recursos.
  • A conta de armazenamento que o Cloud Shell usa não precisa ser acessível publicamente.

Coisas a serem consideradas antes de implantar o Azure Cloud Shell em uma rede virtual

  • A inicialização do Cloud Shell em uma rede virtual costuma ser mais lenta do que no caso de uma sessão do Cloud Shell padrão.
  • O isolamento de rede virtual exige que você use a Retransmissão do Azure, que é um serviço pago. No cenário do Cloud Shell, uma conexão híbrida é usada para cada administrador durante o uso do Cloud Shell. A conexão é fechada automaticamente quando a sessão do Cloud Shell termina.

Arquitetura

O diagrama a seguir mostra a arquitetura de recursos que você deve criar para habilitar esse cenário.

Illustration of a Cloud Shell isolated virtual network architecture.

  • Rede do cliente – os usuários cliente podem estar localizados em qualquer lugar na Internet para acessar e autenticar com segurança no portal do Azure e usar o Cloud Shell para gerenciar recursos contidos na assinatura do cliente. Para ter uma segurança mais rigorosa, você pode permitir que os usuários abram o Cloud Shell somente a partir da rede virtual contida em sua assinatura.
  • Rede da Microsoft: os clientes se conectam ao portal do Azure na rede da Microsoft para autenticar e abrir o Cloud Shell.
  • Rede virtual do cliente: essa é a rede que contém as sub-redes para dar suporte ao isolamento de rede virtual. Recursos como serviços e máquinas virtuais podem ser acessados diretamente do Cloud Shell sem a necessidade de atribuir um endereço IP público.
  • Retransmissão do Azure: a Retransmissão do Azure permite que dois pontos de extremidade que não podem ser acessados diretamente se comuniquem. Nesse caso, ele é usado para permitir que o navegador do administrador se comunique com o contêiner na rede privada.
  • Compartilhamento de arquivos: o Cloud Shell requer uma conta de armazenamento acessível da rede virtual. A conta de armazenamento fornece o compartilhamento de arquivo usado por usuários do Cloud Shell.

Para saber mais, consulte o guia de preços.