在 Azure 虛擬網路中使用 Cloud Shell

  • 發行項

根據預設,Azure Cloud Shell 會話會在 Microsoft 網路中與資源分開的容器中執行。 在容器內執行的命令無法存取專用虛擬網路中的資源。 例如,您無法使用安全殼層 (SSH) 從 Cloud Shell 連線到只有私人 IP 位址的虛擬機器,或使用 來 kubectl 連線到已鎖定存取權的 Kubernetes 叢集。

若要提供私人資源的存取權,您可以將 Cloud Shell 部署到您控制的 Azure 虛擬網路。 這項技術稱為 虛擬網路隔離

使用 Cloud Shell 隔離虛擬網路的優點

在專用虛擬網路中部署 Cloud Shell 可提供下列優點:

  • 您想要管理的資源不需要有公用 IP 位址。
  • 您可以使用來自 Cloud Shell 容器的命令列工具、SSH 和 PowerShell 遠端來管理資源。
  • Cloud Shell 使用的儲存體帳戶不需要可公開存取。

在虛擬網路中部署 Azure Cloud Shell 之前要考慮的事項

  • 在虛擬網路中啟動 Cloud Shell 通常比標準 Cloud Shell 會話慢。
  • 虛擬網路隔離需要您使用 Azure 轉播 ,這是付費服務。 在 Cloud Shell 案例中,每個系統管理員在使用 Cloud Shell 時,都會使用一個混合式連線。 Cloud Shell 會話結束時,會自動關閉連線。

架構

下圖顯示您必須建置的資源架構,才能啟用此案例。

Illustration of a Cloud Shell isolated virtual network architecture.

  • 客戶用戶端網路 :用戶端使用者可以位於網際網路上的任何位置,安全地存取和驗證Azure 入口網站,並使用 Cloud Shell 來管理客戶訂用帳戶中包含的資源。 為了更嚴格的安全性,您可以讓使用者只從訂用帳戶中包含的虛擬網路開啟 Cloud Shell。
  • Microsoft 網路 :客戶會連線到 Microsoft 網路上的Azure 入口網站,以驗證並開啟 Cloud Shell。
  • 客戶虛擬網路 :這是包含支援虛擬網路隔離之子網的網路。 虛擬機器和服務等資源可以直接從 Cloud Shell 存取,而不需要指派公用 IP 位址。
  • Azure 轉播: Azure 轉 可讓兩個無法直接連線的端點進行通訊。 在此情況下,它會用來允許系統管理員的瀏覽器與私人網路中的容器通訊。
  • 檔案共用 :Cloud Shell 需要可從虛擬網路存取的儲存體帳戶。 儲存體帳戶會提供 Cloud Shell 使用者所使用的檔案共用。

如需詳細資訊,請參閱 定價 指南。