你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Azure 虚拟网络中使用 Cloud Shell

默认情况下，Azure Cloud Shell 会话在独立于资源的 Microsoft 网络中的容器中运行。 在容器内运行的命令无法访问专用虚拟网络中的资源。 例如，无法使用安全外壳 (SSH) 从 Cloud Shell 连接到只有专用 IP 地址的虚拟机，也无法使用 kubectl 连接到锁定了访问权限的 Kubernetes 群集。

要提供对专用资源的访问权限，可以将 Cloud Shell 部署到你控制的 Azure 虚拟网络中。 此方法称为虚拟网络隔离。

使用 Cloud Shell 实现虚拟网络隔离的好处

在专用虚拟网络中部署 Cloud Shell 可获得以下好处：

• 要管理的资源不必具有公共 IP 地址。
• 可以使用 Cloud Shell 容器中的命令行工具、SSH 和 PowerShell 远程处理来管理资源。
• Cloud Shell 使用的存储帐户不必公开。

在虚拟网络中部署 Azure Cloud Shell 之前的注意事项

• 在虚拟网络中启动 Cloud Shell 通常比标准 Cloud Shell 会话要慢。
• 虚拟网络隔离要求使用 Azure 中继，这是一项付费服务。 在 Cloud Shell 方案中，每个管理员在使用 Cloud Shell 时都将使用一个混合连接。 当 Cloud Shell 会话结束时，连接会自动关闭。

体系结构

下图显示了为启用此方案而必须生成的资源体系结构。

• 客户客户端网络 - 客户端用户可以位于 Internet 上的任意位置，以便安全地访问 Azure 门户和对其进行身份验证，并使用 Cloud Shell 来管理客户订阅中包含的资源。 为了实现更严格的安全性，可以允许用户仅从订阅中包含的虚拟网络打开 Cloud Shell。
• Microsoft 网络：客户将连接到 Microsoft 网络上的 Azure 门户，以进行身份验证并打开 Cloud Shell。
• 客户虚拟网络：这是包含子网的网络，用于支持虚拟网络隔离。 可以直接从 Cloud Shell 访问虚拟机和服务等资源，而无需分配公共 IP 地址。
• Azure 中继：Azure 中继允许无法直接联系的两个终结点进行通信。 在这种情况下，使用它就可以让管理员的浏览器与专用网络中的容器通信。
• 文件共享：Cloud Shell 需要可从虚拟网络访问的存储帐户。 存储帐户提供 Cloud Shell 用户所使用的文件共享。

相关链接

Cloud Shell 要求装载新的或现有的 Azure 文件共享才能在不同的会话中持久保存文件。 存储会产生普通的费用。 如果在专用虚拟网络中部署了 Azure Cloud Shell，则需为网络资源付费。 有关定价信息，请参阅 Azure Cloud Shell 的定价。