Azure Bastion 的設計架構
Azure Bastion 會根據選取的 SKU 和選項組態,提供多個部署架構。 針對大部分的 SKU,Bastion 會部署到虛擬網路,並支援虛擬網路對等互連。 具體而言,Azure Bastion 會管理本機或對等互連虛擬網路中所建立 VM 的 RDP/SSH 連線能力。
RDP 和 SSH 是連接到 Azure 中運行的工作負載的一些基本方法。 透過網際網路公開 RDP/SSH 連接埠並非預期,而且會視為重大威脅。 這通常是由於協定弱點造成的。 為了抑制這項威脅表面,您可以在周邊網路的公用端部署堡壘主機 (也稱為「跳板伺服器」)。 堡壘主機伺服器是設計及設定來防禦攻擊。 Bastion 伺服器也提供 RDP 和 SSH 連線能力給位於防禦後方的工作負載,以及進一步的網路內部。
部署 Bastion 時選取的 SKU 會決定架構和可用的功能。 您可以升級至較高的 SKU 以支援更多功能,但在部署后無法降級 SKU。 部署時必須設定某些架構,例如 僅限 私人和 開發人員 SKU。
部署 - 基本 SKU 和更新版本
使用基本 SKU 或更高版本時,Bastion 會使用下列架構和工作流程。
- Bastion 主機部署在包含至少 /26 前置詞之 AzureBastionSubnet 子網路的虛擬網路中。
- 使用者會使用任何 HTML5 瀏覽器連線到 Azure 入口網站,並選取要連線的虛擬機。 Azure VM 上不需要公用 IP 位址。
- RDP/SSH 會話會在瀏覽器中開啟,按兩下即可。
針對某些設定,使用者可以透過原生操作系統用戶端連線到虛擬機。
如需設定步驟,請參閱:
部署 - 開發人員 SKU
Bastion 開發人員 SKU 是免費的輕量型 SKU。 此 SKU 適用於想要安全地連線到其 VM,但不需要其他 Bastion 功能或主機調整的使用者。 您可以透過開發人員 SKU,透過虛擬機連線頁面,一次直接連線到一個 Azure VM。
當您使用開發人員 SKU 部署 Bastion 時,部署需求會與使用其他 SKU 進行部署時有所不同。 通常在您建立堡壘主機時,會將主機部署到虛擬網路中的 AzureBastionSubnet。 堡壘主機僅供您使用。 當您使用開發人員 SKU 時,防禦主機不會部署到您的虛擬網路,而且您不需要 AzureBastionSubnet。 不過,開發人員 SKU 防禦主機不是專用資源。 相反地,它是共用集區的一部分。
因為開發人員 SKU 堡壘資源不是專用的,因此開發人員 SKU 的功能會受到限制。 如需 SKU 所列的功能,請參閱 Bastion 組態設定 SKU 一節。 如果您需要支援更多功能,您隨時可以將開發人員 SKU 升級至較高的 SKU。 請參閱升級 SKU。
如需開發人員 SKU 的詳細資訊,請參閱 部署 Azure Bastion - 開發人員 SKU。
部署 - 僅限私人 (預覽)
私人專用 Bastion 部署會建立僅允許私人 IP 位址存取的 Bastion 非因特網路由部署,以鎖定端對端工作負載。 僅限私人的 Bastion 部署不允許透過公用 IP 位址連線到防禦主機。 相反地,一般 Azure Bastion 部署可讓使用者使用公用 IP 位址連線到防禦主機。
此圖顯示 Bastion 僅限私人部署架構。 透過 ExpressRoute 私人對等互連連線到 Azure 的使用者可以使用防禦主機的私人 IP 位址安全地連線到 Bastion。 Bastion 接著可以透過私人IP位址連線到與防禦主機位於相同虛擬網路內的虛擬機。 在僅限私人的 Bastion 部署中,Bastion 不允許虛擬網路外部的輸出存取。
考量因素:
僅限私人的 Bastion 會在部署時設定,而且需要 進階版 SKU 層。
您無法從一般 Bastion 部署變更為僅限私人部署。
若要將僅限私人的 Bastion 部署至已部署 Bastion 的虛擬網路,請先從您的虛擬網路中移除 Bastion,然後將 Bastion 部署回虛擬網路作為僅限私人。 您不需要刪除並重新建立 AzureBastionSubnet。
如果您想要建立端對端私人連線,請使用原生用戶端進行連線,而不是透過 Azure 入口網站 進行連線。
如果您使用 ExpressRoute 或 VPN,當您部署防禦主機時,請在 Bastion 資源上啟用 IP 型 連線。
如需僅限私人部署的詳細資訊,請參閱 將 Bastion 部署為僅限私人。