Поделиться через


Архитектура проектирования для Бастиона Azure

Бастион Azure предлагает несколько архитектур развертывания в зависимости от выбранных конфигураций SKU и параметров. Для большинства номеров SKU бастион развертывается в виртуальной сети и поддерживает пиринг между виртуальными сетями. В частности, Бастион Azure управляет подключением RDP или SSH к виртуальным машинам, созданным в локальных или одноранговых виртуальных сетях.

RDP и SSH являются одними из основных средств, с помощью которых вы можете подключаться к рабочим нагрузкам, которые выполняются в Azure. Предоставление портов RDP или SSH через Интернет нежелательно и рассматривается как поверхность существенной угрозы. Часто это связано с уязвимостями протокола. Чтобы сдержать эту поверхность угрозы, можно развернуть узлы-Бастионы (также известные как jump-серверы) на открытой стороне вашей сети периметра. Серверы Бастиона разработаны и настроены для выдерживания атак. Серверы бастиона также обеспечивают подключение RDP и SSH к рабочим нагрузкам, сидящим за бастионом, а также дальше внутри сети.

Номер SKU, который выбирается при развертывании Бастиона, определяет архитектуру и доступные функции. Вы можете перейти на более высокий номер SKU для поддержки дополнительных функций, но после развертывания не удается изменить номер SKU. Некоторые архитектуры, такие как SKU только для частных и разработчиков, должны быть настроены во время развертывания.

Развертывание — базовый номер SKU и более поздние версии

Схема, демонстрирующая архитектуру Бастиона Azure

При работе с номером SKU уровня "Базовый" или выше Бастион использует следующую архитектуру и рабочий процесс.

  • Узел-бастион развертывается в виртуальной сети, содержащей подсеть AzureBastionSubnet с минимальным префиксом /26.
  • Пользователь подключается к портал Azure с помощью любого браузера HTML5 и выбирает виртуальную машину для подключения. Общедоступный IP-адрес не требуется на виртуальной машине Azure.
  • Сеанс RDP/SSH открывается в браузере одним щелчком мыши.

Для некоторых конфигураций пользователь может подключиться к виртуальной машине через собственный клиент операционной системы.

Инструкции по настройке см. в следующем разделе:

Развертывание — номер SKU разработчика

Схема, демонстрирующая архитектуру SKU разработчика Бастиона Azure.

Номер SKU разработчика Бастиона — это бесплатный, упрощенный номер SKU. Этот номер SKU идеально подходит для пользователей разработки и тестирования, которые хотят безопасно подключиться к виртуальным машинам, но не требуют дополнительных функций Бастиона или масштабирования узлов. С помощью номера SKU разработчика можно подключиться к одной виртуальной машине Azure одновременно с помощью страницы подключения к виртуальной машине.

При развертывании Бастиона с помощью SKU разработчика требования к развертыванию отличаются от требований при развертывании с помощью других номеров SKU. Как правило, при создании узла бастиона узел развертывается в AzureBastionSubnet в виртуальной сети. Узел Бастиона предназначен для использования. При использовании SKU разработчика узел бастиона не развертывается в виртуальной сети и не нужен AzureBastionSubnet. Однако узел бастиона SKU разработчика не является выделенным ресурсом. Вместо этого это часть общего пула.

Так как ресурс бастиона SKU разработчика не выделен, возможности SKU разработчика ограничены. См. раздел SKU параметров конфигурации Бастиона для функций, перечисленных по номеру SKU. Вы всегда можете обновить номер SKU разработчика до более высокого номера SKU, если вам потребуется поддержка дополнительных функций. См. статью об обновлении номера SKU.

Дополнительные сведения о SKU разработчика см. в статье "Развертывание бастиона Azure — SKU разработчика".

Развертывание — только приватное (предварительная версия)

Схема, на которой показана архитектура только для частного использования Бастиона Azure.

Развертывания бастиона только для частных пользователей блокируют сквозные рабочие нагрузки, создавая развертывание бастиона, отличное от Интернета, которое позволяет получить доступ только к частному IP-адресу. Развертывания бастиона только для частных служб не разрешают подключения к узлу бастиона через общедоступный IP-адрес. В отличие от этого, обычное развертывание Бастиона Azure позволяет пользователям подключаться к узлу бастиона с помощью общедоступного IP-адреса.

На схеме показана архитектура развертывания только для приватного бастиона. Пользователь, подключенный к Azure через частный пиринг ExpressRoute, может безопасно подключиться к Бастиону с помощью частного IP-адреса узла бастиона. Бастион может сделать подключение через частный IP-адрес к виртуальной машине, которая находится в той же виртуальной сети, что и узел бастиона. В развертывании бастиона только для частных пользователей Бастион не разрешает исходящий доступ за пределами виртуальной сети.

Рекомендации:

  • Бастион только для частного использования настраивается во время развертывания и требует уровня SKU уровня "Премиум".

  • Вы не можете измениться с обычного развертывания Бастиона на частное развертывание.

  • Чтобы развернуть бастион только для частной сети в виртуальной сети, которая уже имеет развертывание Бастиона, сначала удалите Бастион из виртуальной сети, а затем разверните Бастион обратно в виртуальную сеть как только частную. Вам не нужно удалять и повторно создавать azureBastionSubnet.

  • Если вы хотите создать сквозное частное подключение, подключитесь с помощью собственного клиента вместо подключения через портал Azure.

  • Если ваш клиентский компьютер находится в локальной среде и не в Azure, необходимо развернуть ExpressRoute или VPN и включить ПОДКЛЮЧЕНИЕ на основе IP-адресов на ресурсе Бастиона.

Дополнительные сведения о развертываниях только для частных служб см. в разделе "Развертывание бастиона как только частный".

Следующие шаги