你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure 虚拟网络中使用 Cloud Shell

  • 项目

默认情况下,Azure Cloud Shell 会话在独立于资源的 Microsoft 网络中的容器中运行。 在容器内运行的命令无法访问专用虚拟网络中的资源。 例如,无法使用安全外壳 (SSH) 从 Cloud Shell 连接到只有专用 IP 地址的虚拟机,也无法使用 kubectl 连接到锁定了访问权限的 Kubernetes 群集。

要提供对专用资源的访问权限,可以将 Cloud Shell 部署到你控制的 Azure 虚拟网络中。 此方法称为虚拟网络隔离

使用 Cloud Shell 实现虚拟网络隔离的好处

在专用虚拟网络中部署 Cloud Shell 可获得以下好处:

  • 要管理的资源不必具有公共 IP 地址。
  • 可以使用 Cloud Shell 容器中的命令行工具、SSH 和 PowerShell 远程处理来管理资源。
  • Cloud Shell 使用的存储帐户不必公开。

在虚拟网络中部署 Azure Cloud Shell 之前的注意事项

  • 在虚拟网络中启动 Cloud Shell 通常比标准 Cloud Shell 会话要慢。
  • 虚拟网络隔离要求使用 Azure 中继,这是一项付费服务。 在 Cloud Shell 方案中,每个管理员在使用 Cloud Shell 时都将使用一个混合连接。 当 Cloud Shell 会话结束时,连接会自动关闭。

体系结构

下图显示了为启用此方案而必须生成的资源体系结构。

Illustration of a Cloud Shell isolated virtual network architecture.

  • 客户客户端网络 - 客户端用户可以位于 Internet 上的任意位置,以便安全地访问 Azure 门户和对其进行身份验证,并使用 Cloud Shell 来管理客户订阅中包含的资源。 为了实现更严格的安全性,可以允许用户仅从订阅中包含的虚拟网络打开 Cloud Shell。
  • Microsoft 网络:客户将连接到 Microsoft 网络上的 Azure 门户,以进行身份验证并打开 Cloud Shell。
  • 客户虚拟网络:这是包含子网的网络,用于支持虚拟网络隔离。 可以直接从 Cloud Shell 访问虚拟机和服务等资源,而无需分配公共 IP 地址。
  • Azure 中继Azure 中继允许无法直接联系的两个终结点进行通信。 在这种情况下,使用它就可以让管理员的浏览器与专用网络中的容器通信。
  • 文件共享:Cloud Shell 需要可从虚拟网络访问的存储帐户。 存储帐户提供 Cloud Shell 用户所使用的文件共享。

有关详细信息,请参阅定价指南。