你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

针对 Azure Bastion 设计体系结构

Azure Bastion 提供多个部署体系结构,具体取决于所选 SKU 和选项配置。 对于大多数 SKU,Bastion 部署到虚拟网络并支持虚拟网络对等互连。 具体而言,Azure Bastion 管理 RDP/SSH 与在本地或对等虚拟网络中创建的 VM 之间的连接。

RDP 和 SSH 是连接 Azure 中运行的工作负载的基本方法。 不要通过 Internet 公开 RDP/SSH 端口,这被视为一个严重的威胁面。 这通常是由于协议漏洞造成的。 若要包含此威胁面,可以在外围网络的公共端部署 bastion 主机(也称为跳转服务器)。 Bastion 主机服务器在设计和配置上考虑了抵御攻击。 Bastion 服务器还为位于堡垒主机后方以及网络内部深处的工作负载提供 RDP 和 SSH 连接。

您在部署 Bastion 时选择的 SKU 决定了相应的体系结构以及可用的功能。 你可以升级到更高等级的 SKU 以支持更多功能,但您不能在部署后对 SKU 进行降级。 某些体系结构,例如仅专用以及开发人员 SKU,必须在部署时进行配置。

部署 - 基本和更高等级的 SKU

显示 Azure Bastion 体系结构的示意图。

若选择基本或更高等级的 SKU,Bastion 会使用以下体系结构和工作流程。

  • 堡垒主机部署在虚拟网络中,该网络包含具有最小 /26 前缀的 AzureBastionSubnet 子网。
  • 用户可以使用任何 HTML5 浏览器访问 Microsoft Azure 门户并选择需要连接的虚拟机。 Azure 虚拟机不需要有公共 IP 地址。
  • 只需单击一下,即可在浏览器中打开 RDP/SSH 会话。

对于某些配置,用户可通过本机操作系统客户端连接到虚拟机。

有关配置步骤,请参阅:

部署 - 开发人员 SKU

显示 Azure Bastion 开发人员 SKU 体系结构的关系图。

Bastion 开发人员 SKU 是一种免费的轻型 SKU。 此 SKU 非常适合想要安全连接到其 VM,但不需要其他 Bastion 功能或托管缩放的开发/测试用户。 使用开发人员 SKU,可以通过虚拟机连接页一次直接连接到一个 Azure VM。

使用开发人员 SKU 部署 Bastion 时,部署要求不同于使用其他 SKU 进行的部署。 通常,创建堡垒主机时,主机将部署到虚拟网络中的 AzureBastionSubnet。 Bastion 主机专供你使用。 使用开发人员 SKU 时,堡垒主机不会部署到虚拟网络,并且你不需要 AzureBastionSubnet。 但是,开发人员 SKU 堡垒主机不是专用资源, 而是共享池的一部分。

由于开发人员 SKU 堡垒资源不专用,因此开发人员 SKU 的功能会受到限制。 请参阅 Bastion 配置设置的 SKU 部分,了解 SKU 列出的功能。 如果需要支持更多功能,可随时将开发人员 SKU 升级到更高级别的 SKU。 请参阅“升级 SKU”

有关开发人员 SKU 的详细信息,请参阅部署 Azure Bastion - 开发人员 SKU

部署 - 仅专用(预览)

显示 Azure Bastion 仅专用体系结构的示意图。

仅专用 Bastion 部署通过创建非 Internet 路由的 Bastion 部署(仅允许专用 IP 地址访问)来锁定端到端的工作负载。 仅专用 Bastion 部署禁止通过公共 IP 地址访问堡垒主机。 相比之下,标准 Azure Bastion 部署允许用户使用公共 IP 地址连接堡垒主机。

此示意图显示了 Bastion 仅专用部署的体系结构。 通过 ExpressRoute 专用对等互连技术连接到 Azure 的用户可以使用堡垒主机的专用 IP 地址安全地连接到 Bastion。 随后,Bastion 可以通过专用 IP 地址连接到与堡垒主机位于同一虚拟网络内的任何虚拟机。 在仅专用 Bastion 部署中,Bastion 禁止任何虚拟网络外部的出站访问。

注意事项:

  • 仅专用 Bastion 需在部署时进行配置并且需要具有高级 SKU 层级。

  • 常规 Bastion 部署无法更改为仅专用部署。

  • 若要将仅专用 Bastion 部署到已具有 Bastion 部署的虚拟网络,请先从该虚拟网络中移除 Bastion,然后再重新在虚拟网络中部署仅专用 Bastion。 你无需删除并重新创建 AzureBastionSubnet。

  • 如果要创建端到端专用连接,请使用本机客户端进行连接,而不是通过 Azure 门户进行连接。

  • 如果客户端计算机是本地计算机和非 Azure 计算机,则需要部署 ExpressRoute 或 VPN,并在 Bastion 资源上启用基于 IP 的连接

有关仅专用部署的更多信息,请参阅将 Bastion 部署为仅专用

后续步骤