共用方式為

規劃虛擬機遠端訪問

  • 發行項

本文說明提供 Azure 登陸區域架構內部署之虛擬機器 (VM) 遠端存取的建議指引。

Azure 提供不同的技術來提供 VM 的遠端存取:

  • Azure Bastion 是一種平台即服務 (PaaS) 解決方案,可透過瀏覽器存取 VM,或透過 Windows 工作站上的原生 SSH/RDP 用戶端存取 (目前為預覽版)
  • 透過適用於雲端的 Microsoft Defender 提供的 Just in time (JIT) 存取權
  • 混合式連線選項,例如 Azure ExpressRoute 和 VPN
  • 透過 Azure 公用負載平衡器直接 (或透過 NAT 規則) 連結至 VM 連結的公用 IP

如何選擇最適合的遠端存取解決方案,取決於規模、拓撲和安全要求等因素。

設計考量

  • 當提供使用時,您可以使用透過 ExpressRoute 或 S2S/P2S VPN 連線進行的現有 Azure 虛擬網路混合式連線,提供從內部部署到 Windows 和 Linux Azure VM 的遠端存取。
  • NSG 可用來保護對 Azure VM 的 SSH/RDP 連線。
  • JIT 允許透過網際網路進行遠端 SSH/RDP 存取,而不需要部署任何其他基礎結構。
  • JIT 存取有一些可用性限制
    • 注意:JIT 存取無法針對受 Azure 防火牆 (由 Azure 防火牆管理員所控制) 保護的 VM 使用。
  • Azure Bastion 提供額外的控制層。 它可讓您透過安全 TLS 通道,直接從 Azure 入口網站或原生用戶端 (預覽版),安全無縫地進行對 VM 的 RDP/SSH 連線。 Azure Bastion 也會否定混合式連線的需求。
  • 請考慮適當的 Azure Bastion SKU,根據您的需求使用,如關於 Azure Bastion 組態設定中所述。
  • 請檢閱 Azure Bastion 常見問題,以取得有關服務常見問題的解答。
  • 使用 Kerberos 驗證的 Azure Bastion 需要域控制器和 Azure Bastion 都位於相同的虛擬網路中。 如需詳細資訊,請參閱 Azure Bastion Kerberos 驗證
  • Azure Bastion 可用於 Azure Virtual WAN 拓撲,但有一些限制:
    • Azure Bastion 無法在 Virtual WAN 虛擬中樞內加以部署。
    • Azure Bastion 必須使用 Standard SKU,也必須在 Azure Bastion 資源上啟用 IP based connection 功能,請參閱 Azure Bastion IP 型連線文件
    • 在正確設定路由的情況下,Azure Bastion 可以部署在 Virtual WAN 中連接的任何輪幅虛擬網路中,以自行 (或透過其相關聯的中樞) 存取虛擬機器,或透過 Virtual WAN 虛擬網路連接至相同 Virtual WAN 的其他虛擬網路。

提示

Azure Bastion IP 型連線也允許連線到內部部署型機器,前提是 Azure Bastion 資源與您想要連線的計算機之間已建立混合式連線。 請參閱透過 入口網站透過指定的私人IP位址連線到VM

設計建議

  • 使用現有的 ExpressRoute 或 VPN 連線,提供透過 ExpressRoute 或 VPN 連線從內部部署存取的 Azure VM 遠端存取。
  • 在需要透過網際網路遠端存取虛擬機器的 Virtual WAN 型網路拓撲中:
    • Azure Bastion 可以部署在個別 VM 的每個輪輻虛擬網路中。
    • 或者,您可以選擇在 Virtual WAN 拓撲的單一輪輻中,部署集中式 Azure Bastion 執行個體,如圖 1 所示。 此設定可減少環境中要管理的 Azure Bastion 執行個體數目。 此案例要求透過 Azure Bastion 登入 Windows 和 Linux VM 的使用者在 Azure Bastion 資源和所選輪輻虛擬網路上具有讀者角色。 某些實作可能會有限制或防止此情況的安全性或合規性考量。
  • 在需要透過網際網路遠端存取 Azure 虛擬機器的中樞和輪輻型網路拓撲中:
    • 單一 Azure Bastion 主機可以在中樞虛擬網路中部署,其可透過虛擬網路對等互連,在輪輻虛擬網路上提供 Azure VM 的連線能力。 此設定可減少環境中要管理的 Azure Bastion 執行個體數目。 此案例要求透過 Azure Bastion 登入 Windows 和 Linux VM 的使用者在 Azure Bastion 資源和中樞虛擬網路上具有讀者角色。 某些實作可能會有安全性或合規性考量。 請參閱圖 2。
    • 您的環境可能不允許在 Azure Bastion 資源和中樞虛擬網路上,將讀者角色型存取控制 (RBAC) 的角色授與使用者。 使用 Azure Bastion 基本或標準來提供輪輻虛擬網路內 VM 的連線能力。 將專用的 Azure Bastion 執行個體部署到需要遠端存取的每個輪輻虛擬網路中。 請參閱圖 3。
  • 設定 NSG 規則來保護 Azure Bastion 及其提供連線能力的 VM。 遵循在 Azure Bastion 中使用 VM 和 NSG 中的指引。
  • 設定要傳送至中央 Log Analytics 工作區的 Azure Bastion 診斷記錄。 請遵循啟用和使用 Azure Bastion 資源記錄中的指引。
  • 請確定已針對透過 Azure Bastion 連線到 VM 的使用者或群組進行必要的 RBAC 角色指派
  • 如果您透過 SSH 連線到 Linux VM,請使用透過儲存在 Azure Key Vault 中的私密金鑰進行連線的功能。
  • 部署 Azure Bastion 和 ExpressRoute 或 VPN 存取,以解決緊急中斷存取等特定需求。
  • 不建議透過直接連結至 VM 的公用 IP 遠端存取 Windows 和 Linux VM。 不應在沒有嚴格的 NSG 規則和防火牆的情況下部署遠端存取。

顯示 Azure Virtual WAN 拓撲的圖表。

圖 1:Azure Virtual WAN 拓撲。

顯示 Azure 中樞和輪輻拓撲的圖表。

圖 2:Azure 中樞和輪輻拓撲。

顯示 Azure 獨立虛擬網路拓撲的圖表。

圖 3:Azure 獨立虛擬網路拓撲。