Usar o Cloud Shell em uma rede virtual do Azure

  • Artigo

Por padrão, as sessões do Azure Cloud Shell são executadas em um contêiner em uma rede da Microsoft separada dos seus recursos. Os comandos executados dentro do contêiner não podem acessar recursos em uma rede virtual privada. Por exemplo, você não pode usar o Secure Shell (SSH) para se conectar do Cloud Shell a uma máquina virtual que tenha apenas um endereço IP privado ou usar kubectl para se conectar a um cluster Kubernetes que tenha acesso bloqueado.

Para fornecer acesso aos seus recursos privados, você pode implantar o Cloud Shell em uma rede virtual do Azure que você controla. Essa técnica é chamada de isolamento de rede virtual.

Benefícios do isolamento de rede virtual com o Cloud Shell

A implantação do Cloud Shell em uma rede virtual privada oferece estes benefícios:

  • Os recursos que você deseja gerenciar não precisam ter endereços IP públicos.
  • Você pode usar ferramentas de linha de comando, SSH e comunicação remota do PowerShell a partir do contêiner do Cloud Shell para gerenciar seus recursos.
  • A conta de armazenamento que o Cloud Shell usa não precisa ser acessível publicamente.

Coisas a considerar antes de implantar o Azure Cloud Shell em uma rede virtual

  • Iniciar o Cloud Shell em uma rede virtual normalmente é mais lento do que uma sessão padrão do Cloud Shell.
  • O isolamento de rede virtual requer que você use o Azure Relay, que é um serviço pago. No cenário do Cloud Shell, uma conexão híbrida é usada para cada administrador enquanto eles estão usando o Cloud Shell. A conexão é fechada automaticamente quando a sessão do Cloud Shell termina.

Arquitetura

O diagrama a seguir mostra a arquitetura de recursos que você deve criar para habilitar esse cenário.

Illustration of a Cloud Shell isolated virtual network architecture.

  • Rede de clientes do cliente: os usuários do cliente podem estar localizados em qualquer lugar na Internet para acessar e autenticar com segurança o portal do Azure e usar o Cloud Shell para gerenciar os recursos contidos na assinatura do cliente. Para uma segurança mais rigorosa, pode permitir que os utilizadores abram o Cloud Shell apenas a partir da rede virtual contida na sua subscrição.
  • Rede Microsoft: os clientes se conectam ao portal do Azure na rede da Microsoft para autenticar e abrir o Cloud Shell.
  • Rede virtual do cliente: esta é a rede que contém as sub-redes para suportar o isolamento de rede virtual. Recursos como máquinas virtuais e serviços são diretamente acessíveis a partir do Cloud Shell sem a necessidade de atribuir um endereço IP público.
  • Azure Relay: o Azure Relay permite que dois pontos de extremidade que não estão diretamente acessíveis se comuniquem. Nesse caso, ele é usado para permitir que o navegador do administrador se comunique com o contêiner na rede privada.
  • Compartilhamento de arquivos: o Cloud Shell requer uma conta de armazenamento acessível a partir da rede virtual. A conta de armazenamento fornece o compartilhamento de arquivos usado pelos usuários do Cloud Shell.

Para obter mais informações, consulte o guia de preços .