Använda Cloud Shell i ett virtuellt Azure-nätverk

  • Artikel

Som standard körs Azure Cloud Shell-sessioner i en container i ett Microsoft-nätverk som är separat från dina resurser. Kommandon som körs i containern kan inte komma åt resurser i ett privat virtuellt nätverk. Du kan till exempel inte använda Secure Shell (SSH) för att ansluta från Cloud Shell till en virtuell dator som bara har en privat IP-adress, eller använda kubectl för att ansluta till ett Kubernetes-kluster som har låst åtkomst.

För att ge åtkomst till dina privata resurser kan du distribuera Cloud Shell till ett virtuellt Azure-nätverk som du styr. Den här tekniken kallas för virtuell nätverksisolering.

Fördelar med isolering av virtuellt nätverk med Cloud Shell

Distributionen av Cloud Shell i ett privat virtuellt nätverk medför följande fördelar:

  • De resurser som du vill hantera behöver inte ha offentliga IP-adresser.
  • Du kan använda kommandoradsverktyg, SSH och PowerShell-fjärrkommunikation från Cloud Shell-containern för att hantera dina resurser.
  • Lagringskontot som Cloud Shell använder behöver inte vara offentligt tillgängligt.

Saker att tänka på innan du distribuerar Azure Cloud Shell i ett virtuellt nätverk

  • Att starta Cloud Shell i ett virtuellt nätverk är vanligtvis långsammare än en Standard Cloud Shell-session.
  • Isolering av virtuella nätverk kräver att du använder Azure Relay, som är en betald tjänst. I Cloud Shell-scenariot används en hybridanslutning för varje administratör när de använder Cloud Shell. Anslutningen stängs automatiskt när Cloud Shell-sessionen avslutas.

Arkitektur

Följande diagram visar den resursarkitektur som du måste skapa för att aktivera det här scenariot.

Illustration of a Cloud Shell isolated virtual network architecture.

  • Kundklientnätverk: Klientanvändare kan finnas var som helst på Internet för att få säker åtkomst till och autentisera till Azure-portalen och använda Cloud Shell för att hantera resurser som ingår i kundens prenumeration. För striktare säkerhet kan du tillåta att användare endast öppnar Cloud Shell från det virtuella nätverk som finns i din prenumeration.
  • Microsoft-nätverk: Kunder ansluter till Azure-portalen i Microsofts nätverk för att autentisera och öppna Cloud Shell.
  • Kundens virtuella nätverk: Det här är nätverket som innehåller undernäten för att stödja isolering av virtuella nätverk. Resurser som virtuella datorer och tjänster är direkt åtkomliga från Cloud Shell utan att behöva tilldela en offentlig IP-adress.
  • Azure Relay: Med Azure Relay kan två slutpunkter som inte kan nås direkt kommunicera. I det här fallet används den för att tillåta administratörens webbläsare att kommunicera med containern i det privata nätverket.
  • Filresurs: Cloud Shell kräver ett lagringskonto som är tillgängligt från det virtuella nätverket. Lagringskontot tillhandahåller den filresurs som används av Cloud Shell-användare.

Mer information finns i prisguiden.