Planera för fjärråtkomst till virtuell dator
Den här artikeln beskriver den rekommenderade vägledningen för att tillhandahålla fjärråtkomst till virtuella datorer som distribuerats i en arkitektur för Azure-landningszoner.
Azure erbjuder olika tekniker för att ge fjärråtkomst till virtuella datorer:
- Azure Bastion, en PaaS-lösning (plattform som en tjänst), för åtkomst till virtuella datorer via en webbläsare eller för närvarande i förhandsversion via den interna SSH/RDP-klienten på Windows-arbetsstationer
- Just-in-time-åtkomst (JIT) som tillhandahålls via Microsoft Defender för molnet
- Hybridanslutningsalternativ, till exempel Azure ExpressRoute och VPN
- Offentlig IP-adress som är kopplad direkt till den virtuella datorn eller via en NAT-regel via en offentlig Azure-lastbalanserare
Valet av vilken fjärråtkomstlösning som är lämpligast beror på faktorer som skalning, topologi och säkerhetskrav.
Designöverväganden
- När det är tillgängligt kan du använda befintliga hybridanslutningar till virtuella Azure-nätverk via ExpressRoute- eller S2S/P2S VPN-anslutningar för att ge fjärråtkomst från lokala datorer till virtuella Windows- och Linux Azure-datorer.
- NSG:er kan användas för att skydda SSH/RDP-anslutningar till virtuella Azure-datorer.
- JIT tillåter fjärr-SSH/RDP-åtkomst via Internet utan att behöva distribuera någon annan infrastruktur.
- Det finns vissa tillgänglighetsbegränsningar med JIT-åtkomst.
- JIT-åtkomst kan inte användas för virtuella datorer som skyddas av Azure-brandväggar som styrs av Azure Firewall Manager.
- Azure Bastion ger ett extra kontrolllager. Det möjliggör säker och sömlös RDP/SSH-anslutning till dina virtuella datorer direkt från Azure Portal eller intern klient i förhandsversion via en säker TLS-kanal. Azure Bastion förnekar också behovet av hybridanslutningar.
- Överväg att använda lämplig Azure Bastion SKU baserat på dina krav enligt beskrivningen i Om Konfigurationsinställningar för Azure Bastion.
- Läs vanliga frågor och svar om Azure Bastion om du vill ha svar på vanliga frågor om tjänsten.
- Azure Bastion kan användas i Azure Virtual WAN topologi, men det finns vissa begränsningar:
- Azure Bastion kan inte distribueras i en Virtual WAN virtuell hubb.
- Azure Bastion måste använda
Standard
SKU:n och ävenIP based connection
funktionen måste vara aktiverad på Azure Bastion-resursen. Mer information finns i dokumentationen om AZURE Bastion IP-baserad anslutning - Azure Bastion kan distribueras i alla virtuella ekernätverk som är anslutna i en Virtual WAN, för åtkomst till Virtual Machines, i egna eller andra virtuella nätverk som är anslutna till samma Virtual WAN, via dess associerade hubbar, via Virtual WAN virtuella nätverksanslutningar. Om routningen är korrekt konfigurerad.
Tips
Azure Bastion IP-baserad anslutning möjliggör också anslutning till lokala datorer, förutsatt att det finns en hybridanslutning mellan Azure Bastion-resursen och den dator som du vill ansluta till. Se Ansluta till en virtuell dator via angiven privat IP-adress via portalen
Designrekommendationer
- Använd befintlig ExpressRoute- eller VPN-anslutning för att ge fjärråtkomst till virtuella Azure-datorer som är tillgängliga lokalt via ExpressRoute- eller VPN-anslutningar.
- I en Virtual WAN-baserad nätverkstopologi där fjärråtkomst till Virtual Machines via Internet krävs:
- Azure Bastion kan distribueras i varje virtuellt ekernätverk för respektive virtuella datorer.
- Eller så kan du välja att distribuera en centraliserad Azure Bastion-instans i en enda eker i din Virtual WAN topologi, enligt bild 1. Den här konfigurationen minskar antalet Azure Bastion-instanser som ska hanteras i din miljö. Det här scenariot kräver att användare som loggar in på virtuella Windows- och Linux-datorer via Azure Bastion har en läsarroll i Azure Bastion-resursen och det valda virtuella ekernätverket. Vissa implementeringar kan ha säkerhets- eller efterlevnadsöverväganden som begränsar eller förhindrar detta.
- I nätverkstopologin hub-and-spoke, där fjärråtkomst till Azure Virtual Machines via Internet krävs:
- En enda Azure Bastion-värd kan distribueras i det virtuella hubbnätverket, vilket kan ge anslutning till virtuella Azure-datorer i virtuella ekernätverk via peering för virtuella nätverk. Den här konfigurationen minskar antalet Azure Bastion-instanser som ska hanteras i din miljö. Det här scenariot kräver att användare som loggar in på virtuella Windows- och Linux-datorer via Azure Bastion har en läsarroll i Azure Bastion-resursen och det virtuella hubbnätverket. Vissa implementeringar kan ha säkerhets- eller efterlevnadsöverväganden. Se bild 2.
- Din miljö kanske inte tillåter att användarna får rollen rollbaserad åtkomstkontroll (RBAC) för läsaren på Azure Bastion-resursen och det virtuella hubbnätverket. Använd Azure Bastion Basic eller Standard för att tillhandahålla anslutning till virtuella datorer i ett virtuellt ekernätverk. Distribuera en dedikerad Azure Bastion-instans till varje virtuellt ekernätverk som kräver fjärråtkomst. Se bild 3.
- Konfigurera NSG-regler för att skydda Azure Bastion och de virtuella datorer som den tillhandahåller anslutning till. Följ vägledningen i Arbeta med virtuella datorer och NSG:er i Azure Bastion.
- Konfigurera Azure Bastion-diagnostikloggar som ska skickas till den centrala Log Analytics-arbetsytan. Följ vägledningen i Aktivera och arbeta med Azure Bastion-resursloggar.
- Se till att nödvändiga RBAC-rolltilldelningar görs för de användare eller grupper som ansluter till de virtuella datorerna via Azure Bastion.
- Om du ansluter till virtuella Linux-datorer via SSH använder du funktionen för att ansluta med hjälp av en privat nyckel som lagras i Azure Key Vault.
- Distribuera Azure Bastion- och ExpressRoute- eller VPN-åtkomst för att hantera specifika behov, till exempel åtkomst till nödbrytglas.
- Fjärråtkomst till virtuella Windows- och Linux-datorer via offentliga IP-adresser som är direkt anslutna till de virtuella datorerna rekommenderas inte. Fjärråtkomst bör aldrig distribueras utan strikta NSG-regler och brandväggar.
Bild 1: Azure Virtual WAN topologi.
Bild 2: Azure hub-and-spoke-topologi.
Bild 3: Azures fristående topologi för virtuella nätverk.