ما هو Azure Bastion؟
يوفر Azure Bastion اتصالاً بعيدًا آمنًا من مدخل Microsoft Azure إلى الأجهزة الظاهرية Azure (VM) عبر أمان طبقة النقل (TLS). كوّن إعدادات تشغيل Azure Bastion إلى نفس شبكة Azure الظاهرية الخاصة بالـ VM أو إلى شبكة ظاهرية نظيرة. ثم اتصل بأي VM على تلك الشبكة الظاهرية أو الشبكة الظاهرية النظيرة مباشرةً من مدخل Microsoft Azure.
قم بتوفير اتصال RDP و SSH آمنين إلى VM داخلي
يمكنك استخدام Azure Bastion لفتح جلسة RDP أو SSH بسهولة من مدخل Microsoft Azure إلى جهاز ظاهري VM غير مكشوف علنًا. يتصل Azure Bastion بالأجهزة الظاهرية خاصتك عبر IP الخاص. يجب عليك عدم كشف منافذ RDP أو منافذ SSH أو عناوين IP العامة من أجل VM الداخلية.
بما أن Azure Bastion هو نظام أساسي مدار بشكل كامل كخدمة (PaaS)، فأنت لا تحتاج إلى تطبيق أي مجموعات أمان شبكة على شبكة Bastion Azure الفرعية. ولكن إذا كنت تريد المزيد من الأمان، يمكنك تكوين مجموعات أمان الشبكة (NSG) خاصتك للسماح بـ RDP و SSH من Azure Bastion فقط.
يوفر Azure Bastion الاتصال RDP وSSH إلى كافة VM على نفس الشبكة الظاهرية التي توجد عليها شبكة Azure Bastion الفرعية أو على شبكة ظاهرية نظيرة. لا تحتاج إلى تثبيت عميل إضافي أو عامل أو برنامج لاستخدام Azure Bastion.
الاتصال بـ VM باستخدام Azure Bastion
بعد نشر Bastion Azure، في صفحة النظرة العامة VM overview، حدد Connect>Bastion>Use Bastion. ثم أدخل معلومات تسجيل الدخول لكي يقوم VM بالاتصال.
ميزات الأمان الرئيسية
- نسبة استخدام الشبكة التي تم البدء بها من Azure Bastion لاستهداف الأجهزة الظاهرية تبقى داخل الشبكة الظاهرية أو بين الشبكات الظاهرية النظيرة.
- ليست هناك حاجة لتطبيق NSGs على شبكة Azure Bastion الفرعية، لأنها تتقوى داخليًا. للحصول على أمان إضافي، يمكنك تكوين NSG للسماح فقط بالاتصالات البعيدة مع الأجهزة الظاهرية المستهدفة من مضيف Bastion Azure.
- يساعد Azure Bastion على الحماية من مسح المنافذ ضوئيًا. لا يتم عرض منافذ RDP ومنافذ SSH وعناوين IP العامة علنًا لـ VM.
- يساعد Azure Bastion على الحماية من عمليات استغلال الثغرة الأمنية الأولية. يتواجد في المنطقة المحيطة بشبكتك الظاهرية. لذلك لا داعي للقلق بشأن تقوية كل من الأجهزة الظاهرية في الشبكة الظاهرية الخاصة بك. يعمل النظام الأساسي Azure على تحديث Azure Bastion بشكلٍ مستمر.
- تتكامل الخدمة مع أجهزة الأمان الأصلية لشبكة Azure الظاهرية، مثل Azure Firewall.
- يمكنك استخدام الخدمة لمراقبة الاتصالات عن بعد وإدارتها.
جلسات العمل المتزامنة المدعومة
يوضح الجدول التالي عدد جلسات RDP و SSH المتزامنة التي يمكن لكل مورد من Azure Bastion دعمها، مع افتراض الاستخدام اليومي العادي. إذا كانت هناك جلسات RDP أخرى جارية أو جلسات SSH، قد تختلف هذه الأرقام.
| المورد | الحد |
|---|---|
| اتصالات RDP المتزامنة | 25 |
| اتصالات SSH المتزامنة | 50 |
الميزات المدعومة أثناء الاتصال بـ VM
يسلط الجدول التالي الضوء على بعض ميزات تجربة المستخدم التي يدعمها Azure Bastion.
| الميزة | يدعم |
|---|---|
| المتصفحات | - Windows: مستعرضMicrosoft Edge أو Microsoft Edge Chromium أو Google Chrome - Apple Mac: مستعرض Google Chrome أو Microsoft Edge Chromium. |
| تخطيط لوحة المفاتيح في الجهاز الظاهري VM | - en-us-qwerty- en-gb-qwerty- de-ch-qwertz- de-de-qwertz- fr-be-azerty- fr-fr-azerty- fr-ch-qwertz- hu-hu-qwertz- it-it-qwerty- ja-jp-qwerty- pt-br-qwerty- es-es-qwerty- es-latam-qwerty- sv-se-qwerty- tr-tr-qwerty |
| وظائف داخل الجهاز الظاهري VM | - نسخ النص ولصقه- الميزات مثل نسخ الملف غير مدعومة حالياً |
الأدوار المطلوبة لاستخدام Azure Bastion
كما هو الحال مع موارد Azure الأخرى، تحتاج إلى إمكانية الوصول إلى مجموعة الموارد أو مورد Azure Bastion نفسه لنشر أو إدارة Azure Bastion.
لكي تتمكن من الاتصال بمورد VM باستخدام Azure Bastion، توفر الأدوار التالية أقل الامتيازات التي تحتاجها:
- دور القارئ على الجهاز الظاهري
- دور القارئ على NIC مع IP الخاص بالجهاز الظاهري
- دور القارئ على مورد Azure Bastion
هل تحتاج إلى مساعدة؟ راجع دليل استكشاف الأخطاء وإصلاحها الذي نقدمه أو يمكنك توفير ملاحظات معينة عبر الإبلاغ عن مشكلة.