تصميم بنية Azure Bastion
يقدم Azure Bastion بنيات توزيع متعددة، اعتمادا على SKU المحدد وتكوينات الخيارات. بالنسبة لمعظم وحدات SKU، يتم نشر Bastion على شبكة ظاهرية ويدعم تناظر الشبكة الظاهرية. وبشكلٍ خاص، يدير Azure Bastion اتصال RDP/SSH بالأجهزة الظاهرية الذي تم إنشاؤه في الشبكات الظاهرية المحلية أو النظيرة.
فاتصالات RDP وSSH تعد من الوسائل الأساسية التي يمكنك من خلالها الاتصال بأحمال العمل التي قيد التشغيل في Azure. لا يُفضل كشف منافذ RDP/SSH عبر الإنترنت ويعد ذلك مصدر تهديد كبير. ويرجع ذلك غالباً إلى نقاط ضعف في البروتوكول. ولاحتواء مصدر التهديد هذا، يمكنك استخدام مضيفي bastion (المعروفين باسم خوادم القفز) على الجانب العام من شبكتك المحيطية. تم تصميم خوادم المضيف Bastion وتكوينها لتحمل الهجمات. توفر خوادم Bastion أيضا اتصال RDP وSSH بأحمال العمل الموجودة خلف الحصن، وأيضا داخل الشبكة.
تحدد SKU التي تحددها عند توزيع Bastion البنية والميزات المتوفرة. يمكنك الترقية إلى SKU أعلى لدعم المزيد من الميزات، ولكن لا يمكنك الرجوع إلى إصدار أعلى من SKU بعد النشر. يجب تكوين بعض البنيات، مثل Private-only و Developer SKU، في وقت التوزيع.
التوزيع - SKU الأساسية وأعلى
عند العمل مع Basic SKU أو أعلى، يستخدم Bastion البنية وسير العمل التاليين.
- يتم استخدام المضيف Bastion في الشبكة الظاهرية التي تضم الشبكة الفرعية AzureBastionSubnet التي تتميز بجد أدنى للبادئات يصل إلى 26 بادئة.
- يتصل المستخدم بمدخل Azure باستخدام أي مستعرض HTML5 ويحدد الجهاز الظاهري للاتصال به. عنوان IP العام غير مطلوب على Azure VM.
- تفتح جلسة RDP/SSH في المستعرض بنقرة واحدة.
بالنسبة لبعض التكوينات، يمكن للمستخدم الاتصال بالجهز الظاهري عبر عميل نظام التشغيل الأصلي.
للحصول على خطوات التكوين، راجع:
التوزيع - وحدة SKU للمطور
SKU لمطور Bastion هو SKU مجاني وخفيف الوزن. تعد وحدة SKU هذه مثالية لمستخدمي Dev/Test الذين يرغبون في الاتصال بأمان بألأجهزة الظاهرية الخاصة بهم، ولكن لا يحتاجون إلى ميزات Bastion إضافية أو تحجيم المضيف. باستخدام Developer SKU، يمكنك الاتصال بجهاز Azure ظاهري واحد في كل مرة مباشرة من خلال صفحة اتصال الجهاز الظاهري.
عند نشر Bastion باستخدام Developer SKU، تختلف متطلبات النشر عن عند النشر باستخدام وحدات SKU الأخرى. عادة عند إنشاء مضيف bastion، يتم نشر مضيف إلى AzureBastionSubnet في شبكتك الظاهرية. مضيف Bastion مخصص للاستخدام الخاص بك. عند استخدام Developer SKU، لا يتم نشر مضيف bastion على شبكتك الظاهرية ولا تحتاج إلى AzureBastionSubnet. ومع ذلك، فإن مضيف SKU للمطور ليس موردا مخصصا. بدلا من ذلك، فهو جزء من تجمع مشترك.
نظرا لأن مورد SKU الأساسي للمطور غير مخصص، فإن ميزات Developer SKU محدودة. راجع قسم إعدادات تكوين Bastion SKU للحصول على الميزات المدرجة بواسطة SKU. يمكنك دائما ترقية Developer SKU إلى SKU أعلى إذا كنت بحاجة إلى دعم المزيد من الميزات. راجع ترقية SKU.
لمزيد من المعلومات حول Developer SKU، راجع Deploy Azure Bastion - Developer SKU.
النشر - خاص فقط (معاينة)
تقوم عمليات توزيع Bastion الخاصة فقط بتأمين أحمال العمل من طرف إلى طرف عن طريق إنشاء نشر غير قابل للتوجيه عبر الإنترنت من Bastion يسمح فقط بالوصول إلى عنوان IP الخاص. لا تسمح عمليات نشر Bastion الخاصة فقط بالاتصالات بمضيف bastion عبر عنوان IP العام. في المقابل، يسمح توزيع Azure Bastion العادي للمستخدمين بالاتصال بمضيف bastion باستخدام عنوان IP عام.
يظهر الرسم التخطيطي بنية التوزيع الخاصة فقط في Bastion. يمكن للمستخدم المتصل ب Azure عبر نظير ExpressRoute الخاص الاتصال بأمان ب Bastion باستخدام عنوان IP الخاص لمضيف bastion. يمكن ل Bastion بعد ذلك إجراء الاتصال عبر عنوان IP الخاص بجهاز ظاهري داخل نفس الشبكة الظاهرية مثل مضيف bastion. في نشر Bastion خاص فقط، لا يسمح Bastion بالوصول الصادر خارج الشبكة الظاهرية.
الاعتبارات:
يتم تكوين Private-only Bastion في وقت التوزيع ويتطلب طبقة Premium SKU.
لا يمكنك التغيير من توزيع Bastion عادي إلى نشر خاص فقط.
لنشر Bastion خاص فقط إلى شبكة ظاهرية لديها بالفعل توزيع Bastion، قم أولا بإزالة Bastion من شبكتك الظاهرية، ثم انشر Bastion مرة أخرى إلى الشبكة الظاهرية كخاص فقط. لا تحتاج إلى حذف وإعادة إنشاء AzureBastionSubnet.
إذا كنت ترغب في إنشاء اتصال خاص من طرف إلى طرف، فاتصل باستخدام العميل الأصلي بدلا من الاتصال عبر مدخل Microsoft Azure.
إذا كنت تستخدم ExpressRoute أو VPN، فمكن الاتصال المستند إلى IP على مورد Bastion عند نشر مضيف bastion الخاص بك.
لمزيد من المعلومات حول عمليات النشر الخاصة فقط، راجع نشر Bastion كخاص فقط.