Azure Bastion için tasarım mimarisi
Azure Bastion, seçilen SKU'ya ve seçenek yapılandırmalarına bağlı olarak birden çok dağıtım mimarisi sunar. Çoğu SKU için Bastion bir sanal ağa dağıtılır ve sanal ağ eşlemesini destekler. Özellikle, Azure Bastion yerel veya eşlenmiş sanal ağlarda oluşturulan VM'lere RDP/SSH bağlantısını yönetir.
RDP ve SSH, Azure'da çalışan iş yüklerinize bağlanabileceğiniz temel araçlardan bazılarıdır. RDP/SSH bağlantı noktalarının İnternet üzerinden açığa çıkarılması istenmiyor ve önemli bir tehdit yüzeyi olarak görülüyor. Bunun nedeni genellikle protokol güvenlik açıklarıdır. Bu tehdit yüzeyini içermek için çevre ağınızın genel tarafına savunma konakları (atlama sunucuları olarak da bilinir) dağıtabilirsiniz. Bastion konak sunucuları saldırılara dayanacak şekilde tasarlanmıştır ve yapılandırılır. Bastion sunucuları ayrıca savunmanın arkasında ve ağın içinde yer alan iş yüklerine RDP ve SSH bağlantısı sağlar.
Bastion'ı dağıtırken seçtiğiniz SKU, mimariyi ve kullanılabilir özellikleri belirler. Daha fazla özelliği desteklemek için daha yüksek bir SKU'ya yükseltebilirsiniz, ancak dağıtıldıktan sonra SKU'yu düşüremezsiniz. Dağıtım sırasında Özel ve Geliştirici SKU'su gibi belirli mimarilerin yapılandırılması gerekir.
Dağıtım - Temel SKU ve üzeri
Temel SKU veya üzeri ile çalışırken Bastion aşağıdaki mimariyi ve iş akışını kullanır.
- Bastion konağı, en az /26 ön ekli AzureBastionSubnet alt ağını içeren sanal ağa dağıtılır.
- Kullanıcı herhangi bir HTML5 tarayıcısı kullanarak Azure portalına bağlanır ve bağlanacak sanal makineyi seçer. Azure VM'de genel IP adresi gerekli değildir.
- RDP/SSH oturumu tarayıcıda tek bir tıklamayla açılır.
Bazı yapılandırmalar için kullanıcı, yerel işletim sistemi istemcisi aracılığıyla sanal makineye bağlanabilir.
Yapılandırma adımları için bkz:
- Bastion'ı otomatik olarak dağıtma - Yalnızca temel SKU
- Bastion'ı el ile belirtilen ayarları kullanarak dağıtma
Dağıtım - Geliştirici SKU'su
Bastion Geliştirici SKU'su ücretsiz ve hafif bir SKU'dur. Bu SKU, VM'lerine güvenli bir şekilde bağlanmak isteyen ancak ek Bastion özelliklerine veya konak ölçeklendirmesine ihtiyaç duymayan Geliştirme ve Test kullanıcıları için idealdir. Geliştirici SKU'su ile sanal makine bağlantı sayfasından bir kerede bir Azure VM'sine bağlanabilirsiniz.
Geliştirici SKU'su kullanarak Bastion'ı dağıttığınızda, dağıtım gereksinimleri diğer SKU'ları kullanarak dağıttığınızdakinden farklıdır. Genellikle bir savunma konağı oluşturduğunuzda, sanal ağınızdaki AzureBastionSubnet'e bir konak dağıtılır. Bastion konağı kullanımınıza ayrılmıştır. Geliştirici SKU'su kullandığınızda, sanal ağınıza bir savunma konağı dağıtılmaz ve AzureBastionSubnet'e ihtiyacınız yoktur. Ancak Geliştirici SKU savunma konağı ayrılmış bir kaynak değildir. Bunun yerine, paylaşılan havuzun bir parçasıdır.
Geliştirici SKU savunma kaynağı ayrılmış olmadığından, Geliştirici SKU'sunun özellikleri sınırlıdır. SKU tarafından listelenen özellikler için Bastion yapılandırma ayarları SKU bölümüne bakın. Daha fazla özelliği desteklemeniz gerekiyorsa Geliştirici SKU'sunu istediğiniz zaman daha yüksek bir SKU'ya yükseltebilirsiniz. Bkz . SKU'yu yükseltme.
Geliştirici SKU'su hakkında daha fazla bilgi için bkz . Azure Bastion - Geliştirici SKU'su Dağıtma.
Dağıtım - Yalnızca özel (Önizleme)
Yalnızca özel Bastion dağıtımları, Bastion'ın yalnızca özel IP adresi erişimine izin veren İnternet'e yönlendirilebilir olmayan bir dağıtımı oluşturarak iş yüklerini uçtan uca kilitler. Yalnızca özel Bastion dağıtımları, genel IP adresi aracılığıyla savunma konağına bağlantılara izin vermez. Buna karşılık, normal bir Azure Bastion dağıtımı kullanıcıların bir genel IP adresi kullanarak savunma konağına bağlanmasına olanak tanır...
Diyagramda Bastion yalnızca özel dağıtım mimarisi gösterilmektedir. ExpressRoute özel eşlemesi aracılığıyla Azure'a bağlanan bir kullanıcı, bastion konağın özel IP adresini kullanarak Bastion'a güvenli bir şekilde bağlanabilir. Daha sonra Bastion, savunma konağıyla aynı sanal ağ içinde yer alan bir sanal makineye özel IP adresi üzerinden bağlantı oluşturabilir. Bastion, yalnızca özel bastion dağıtımında sanal ağ dışında giden erişime izin vermez.
Dikkat edilmesi gerekenler:
Yalnızca özel Bastion dağıtım sırasında yapılandırılır ve Premium SKU Katmanı gerektirir.
Normal bastion dağıtımından yalnızca özel dağıtıma geçiş yapamazsınız.
Bastion dağıtımı olan bir sanal ağa yalnızca özel Bastion dağıtmak için önce Bastion'ı sanal ağınızdan kaldırın, ardından Bastion'ı sanal ağa özel olarak dağıtın. AzureBastionSubnet'i silmeniz ve yeniden oluşturmanız gerekmez.
Uçtan uca özel bağlantı oluşturmak istiyorsanız Azure portalı üzerinden bağlanmak yerine yerel istemciyi kullanarak bağlanın.
İstemci makineniz şirket içinde ve Azure dışıysa Bir ExpressRoute veya VPN dağıtmanız ve Bastion kaynağında IP tabanlı bağlantıyı etkinleştirmeniz gerekir
Yalnızca özel dağıtımlar hakkında daha fazla bilgi için bkz . Bastion'ı yalnızca özel dağıtım olarak dağıtma.