Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Bastion oferuje wiele architektur wdrażania w zależności od wybranej jednostki SKU i konfiguracji opcji. W przypadku większości jednostek SKU usługa Bastion jest wdrażana w sieci wirtualnej i obsługuje peering sieci wirtualnych. W szczególności usługa Azure Bastion zarządza łącznością RDP/SSH z maszynami wirtualnymi utworzonymi w lokalnych lub równorzędnych sieciach wirtualnych.
Protokoły RDP i SSH to niektóre z podstawowych środków, za pomocą których można łączyć się z obciążeniami uruchomionymi na platformie Azure. Uwidacznianie portów RDP/SSH przez Internet nie jest pożądane i jest postrzegane jako znacząca powierzchnia zagrożenia. Jest to często spowodowane lukami w zabezpieczeniach protokołu. Aby ograniczyć powierzchnię ataku, można wdrożyć hosty bastionowe (znane również jako serwery przesiadkowe) po stronie publicznej sieci obwodowej. Serwery bastionowe są zaprojektowane i skonfigurowane, aby wytrzymać ataki. Serwery bastionu zapewniają również łączność RDP i SSH z obciążeniami siedzącymi za bastionem, a także w dalszej części sieci.
Jednostka SKU wybrana podczas wdrażania usługi Bastion określa architekturę i dostępne funkcje. Możesz przeprowadzić uaktualnienie do wyższego SKU w celu wsparcia większej liczby funkcji, ale nie można obniżyć SKU po wdrożeniu. Niektóre architektury, takie jak tylko prywatny i deweloper Bastion, muszą być skonfigurowane w momencie wdrażania.
Wdrażanie — podstawowa wersja SKU i wyższe
Podczas pracy z podstawowym SKU lub wyższym, usługa Bastion korzysta z następującej architektury i przepływu pracy.
- Host bastionu jest wdrażany w sieci wirtualnej, która zawiera podsieć AzureBastionSubnet z prefiksem co najmniej /26.
- Użytkownik łączy się z witryną Azure Portal przy użyciu dowolnej przeglądarki HTML5 i wybiera maszynę wirtualną do nawiązania połączenia. Publiczny adres IP nie jest wymagany na maszynie wirtualnej platformy Azure.
- Sesja protokołu RDP/SSH zostanie otwarta w przeglądarce jednym kliknięciem.
W przypadku niektórych konfiguracji użytkownik może nawiązać połączenie z maszyną wirtualną za pośrednictwem natywnego klienta systemu operacyjnego.
Aby uzyskać instrukcje dotyczące konfiguracji, zobacz:
- Automatyczne wdrażanie Bastion przy użyciu ustawień domyślnych i SKU w wersji Standardowej
- Wdrażanie usługi Bastion przy użyciu ręcznie określonych ustawień
Wdrażanie — twórca Bastion
Deweloper usługi Bastion to bezpłatna, uproszczona oferta usługi Azure Bastion. Ta oferta jest idealna dla użytkowników tworzenia i testowania, którzy chcą bezpiecznie łączyć się z maszynami wirtualnymi, ale nie potrzebują dodatkowych funkcji usługi Bastion ani skalowania hostów. Bastion Developer umożliwia połączenie z jedną maszyną wirtualną platformy Azure naraz bezpośrednio ze strony połączeń maszyny wirtualnej.
W przypadku nawiązywania połączenia z deweloperem usługi Bastion wymagania dotyczące wdrażania różnią się od wdrożeń przy użyciu innych jednostek SKU. Zazwyczaj podczas tworzenia serwera bastionowego, serwer jest wdrażany w podsieci AzureBastionSubnet w sieci wirtualnej. Host Bastion jest dedykowany do Twojego użytku, natomiast Bastion Developer nie jest. Ponieważ zasób dewelopera usługi Bastion nie jest dedykowany, funkcje dewelopera usługi Bastion są ograniczone. Zawsze możesz uaktualnić dewelopera Bastion do określonej wersji SKU , aby obsługiwać więcej funkcji. Zobacz Zaktualizuj SKU.
Aby uzyskać więcej informacji na temat dewelopera usługi Bastion, zobacz Connect with Azure Bastion Developer.
Wdrażanie - tylko prywatne
Wdrożenia usługi Bastion wyłącznie w trybie prywatnym zapewniają kompleksowe zabezpieczenie obciążeń, tworząc wdrożenie, które nie jest routowalne w Internecie i pozwala tylko na dostęp poprzez prywatne adresy IP. Prywatne wdrożenia usługi Bastion nie zezwalają na połączenia z serwerem Bastionu za pośrednictwem publicznego adresu IP. Z kolei regularne wdrażanie usługi Azure Bastion umożliwia użytkownikom łączenie się z hostem bastionu przy użyciu publicznego adresu IP.
W diagramie przedstawiono architekturę prywatnego tylko wdrażania usługi Bastion. Użytkownik połączony z Azure za pomocą prywatnego połączenia ExpressRoute może bezpiecznie nawiązać połączenie z usługą Bastion, używając prywatnego adresu IP hosta Bastion. Usługa Bastion może następnie nawiązać połączenie za pośrednictwem prywatnego adresu IP do maszyny wirtualnej znajdującej się w tej samej sieci wirtualnej co host usług Bastion. W przypadku wdrożenia Bastion jedynie w trybie prywatnym, Bastion nie zezwala na dostęp wychodzący poza sieć wirtualną.
Considerations:
Bastion w trybie prywatnym jest konfigurowany w momencie wdrożenia i wymaga SKU w wersji Premium.
Nie można zmienić zwykłego wdrożenia usługi Bastion na wdrożenie tylko prywatne.
Aby wdrożyć usługę Bastion tylko prywatną w sieci wirtualnej, która ma już wdrożenie usługi Bastion, najpierw usuń usługę Bastion z sieci wirtualnej, a następnie wdróż usługę Bastion z powrotem do sieci wirtualnej jako tylko prywatna. Nie musisz usuwać i ponownie utworzyć podsieci AzureBastionSubnet.
Jeśli chcesz utworzyć kompleksową łączność prywatną, połącz się przy użyciu klienta natywnego zamiast łączyć się za pośrednictwem witryny Azure Portal.
Jeśli maszyna kliencka znajduje się na lokalnym serwerze i nie jest częścią platformy Azure, musisz wdrożyć usługę ExpressRoute lub sieć VPN oraz włączyć połączenie oparte na adresach IP w zasobie usługi Bastion.
Upewnij się, że reguły zabezpieczeń sieci nie blokują dostępu portu 443 do podsieci AzureBastionSubnet dla przychodzącego ruchu sieci wirtualnej.
Aby uzyskać więcej informacji na temat wdrożeń tylko prywatnych, zobacz Wdrażanie usługi Bastion jako wyłącznie prywatne.
Dalsze kroki
- Wdrażanie Bastionu automatycznie – tylko wersja standardowa SKU
- Wdróż Bastion przy użyciu ręcznie określonych ustawień i SKU
- Połącz się z usługą Azure Bastion Developer
- Wdróż usługę Bastion jako tylko prywatną