Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Bastion, seçilen SKU'ya ve seçenek yapılandırmalarına bağlı olarak birden çok dağıtım mimarisi sunar. Çoğu SKU için Bastion bir sanal ağa dağıtılır ve sanal ağ eşlemesini destekler. Özellikle, Azure Bastion yerel veya eşlenmiş sanal ağlarda oluşturulan VM'lere RDP/SSH bağlantısını yönetir.
RDP ve SSH, Azure'da çalışan iş yüklerinize bağlanabileceğiniz temel araçlardan bazılarıdır. RDP/SSH bağlantı noktalarının İnternet üzerinden açığa çıkarılması istenmiyor ve önemli bir tehdit yüzeyi olarak görülüyor. Bunun nedeni genellikle protokol güvenlik açıklarıdır. Bu tehdit yüzeyini içermek için çevre ağınızın kamuya açık tarafında öncü sunucular (atlama sunucuları olarak da bilinir) konumlandırabilirsiniz. Bastion konak sunucuları saldırılara dayanacak şekilde tasarlanmıştır ve yapılandırılır. Bastion sunucuları ayrıca savunmanın arkasında ve ağın içinde yer alan iş yüklerine RDP ve SSH bağlantısı sağlar.
Bastion'ı dağıtırken seçtiğiniz SKU, mimariyi ve kullanılabilir özellikleri belirler. Daha fazla özelliği desteklemek için daha yüksek bir SKU'ya yükseltebilirsiniz, ancak dağıtıldıktan sonra SKU'yu düşüremezsiniz. Yalnızca Özel ve Bastion Geliştirici gibi belirli mimarilerin dağıtım sırasında yapılandırılması gerekir.
Dağıtım - Temel SKU ve üzeri
Temel SKU veya üzeri ile çalışırken Bastion aşağıdaki mimariyi ve iş akışını kullanır.
- Bastion konağı, en az /26 ön ekli AzureBastionSubnet alt ağını içeren sanal ağa dağıtılır.
- Kullanıcı herhangi bir HTML5 tarayıcısı kullanarak Azure portalına bağlanır ve bağlanacak sanal makineyi seçer. Azure VM'de genel IP adresi gerekli değildir.
- RDP/SSH oturumu tarayıcıda tek bir tıklamayla açılır.
Bazı yapılandırmalar için kullanıcı, yerel işletim sistemi istemcisi aracılığıyla sanal makineye bağlanabilir.
Yapılandırma adımları için bkz:
- Bastion'ı varsayılan ayarları ve Standart SKU'yu kullanarak otomatik olarak dağıtma
- Bastion'ı el ile belirtilen ayarları kullanarak dağıtma
Dağıtım - Bastion Geliştiricisi
Bastion Developer, Azure Bastion hizmetinin ücretsiz ve basit bir teklifidir. Bu teklif, vm'lerine güvenli bir şekilde bağlanmak isteyen ancak ek Bastion özelliklerine veya konak ölçeklendirmesine ihtiyaç duymayan Geliştirme/Test kullanıcıları için idealdir. Bastion Geliştiricisi ile sanal makine bağlantı sayfasından bir kerede bir Azure VM'sine bağlanabilirsiniz.
Bastion Geliştirici ile bağlantı kurduğunuzda, dağıtım gereksinimleri diğer SKU'ları kullanarak dağıtım yaptığınızdan farklıdır. Genellikle bir savunma konağı oluşturduğunuzda, sanal ağınızdaki AzureBastionSubnet'e bir konak dağıtılır. Bastion konağı yalnızca sizin kullanımınıza ayrılmışken, Bastion Geliştiricisi için aynı durum geçerli değildir. Bastion Geliştirici kaynağı ayrılmış olmadığından, Bastion Geliştirici özellikleri sınırlıdır. Daha fazla özelliği desteklemeniz gerekiyorsa Bastion Geliştirici'yi istediğiniz zaman belirli bir SKU'ya yükseltebilirsiniz. Bakınız Bir SKU'yu Yükseltme.
Bastion Geliştiricisi hakkında daha fazla bilgi için bkz. Azure Bastion Geliştiricisi ile bağlanma.
Dağıtım - Sadece özel
Yalnızca özel Bastion dağıtımları, Bastion'ın yalnızca özel IP adresi erişimine izin veren İnternet'e yönlendirilebilir olmayan bir dağıtımı oluşturarak iş yüklerini uçtan uca kilitler. Sadece özel Bastion dağıtımları, genel IP adresi üzerinden bastion host'a bağlantıya izin vermez. Buna karşılık, normal bir Azure Bastion dağıtımı kullanıcıların bir genel IP adresi kullanarak savunma konağına bağlanmasına olanak tanır...
Diyagramda Bastion yalnızca özel dağıtım mimarisi gösterilmektedir. ExpressRoute özel eşlemesi aracılığıyla Azure'a bağlanan bir kullanıcı, bastion konağın özel IP adresini kullanarak Bastion'a güvenli bir şekilde bağlanabilir. Daha sonra Bastion, savunma konağıyla aynı sanal ağ içinde yer alan bir sanal makineye özel IP adresi üzerinden bağlantı oluşturabilir. Bastion, yalnızca özel bastion dağıtımında sanal ağ dışında giden erişime izin vermez.
Dikkat edilmesi gerekenler:
Yalnızca özel Bastion dağıtım sırasında yapılandırılır ve Premium SKU Katmanı gerektirir.
Normal bastion dağıtımından yalnızca özel dağıtıma geçiş yapamazsınız.
Bastion'ın zaten dağıtılmış olduğu bir sanal ağa yalnızca özel bastion konumlandırmak için, önce Bastion'ı sanal ağınızdan kaldırın ve ardından Bastion'ı yalnızca özel olarak sanal ağa tekrar konumlandırın. AzureBastionSubnet'i silmeniz ve yeniden oluşturmanız gerekmez.
Uçtan uca özel bağlantı oluşturmak istiyorsanız Azure portalı üzerinden bağlanmak yerine yerel istemciyi kullanarak bağlanın.
İstemci makineniz şirket içinde ve Azure dışıysa Bir ExpressRoute veya VPN dağıtmanız ve Bastion kaynağında IP tabanlı bağlantıyı etkinleştirmeniz gerekir
Yalnızca özel dağıtımlar hakkında daha fazla bilgi için Yalnızca özel olarak Bastion dağıtma başlığına bakın.