كيف يعمل Azure Bastion؟

  • 5 دقائق

نشر Azure Bastion هو لكل شبكة ظاهرية أو شبكة ظاهرية نظيرة. وليس لكل اشتراك أو حساب أو جهاز ظاهري (VM). بعد توفير خدمة Azure Bastion في الشبكة الظاهرية الخاصة بك، تتوفر تجربة RDP أو SSH لكل أجهزة VMs خاصتك في نفس الشبكة الظاهرية.

يعرض الرسم التخطيطي التالي نظرة عامة حول كيفية عمل Azure Bastion.

  1. تقوم بالاتصال بـ VM في مدخل Microsoft Azure في مدخل Microsoft Azure، في صفحة النظرة العامة على VM، حدد Connect>Bastion>Use Bastion. ثم أدخل معلومات تسجيل الدخول الخاصة بك لـ VM.
  2. يقوم المتصفح بالاتصال بمضيف Azure Bastion يتصل المتصفح بـ Azure Bastion عبر الإنترنت باستخدام أمان طبقة النقل (TLS) و IP العام لمضيف Azure Bastion. يقوم Azure Gateway Manager بإدارة اتصالات المدخل إلى خدمة Azure Bastion على المنفذ 443 أو 4443.
  3. يتصل Bastion بالـ VM باستخدام RDP أو SSH يتم نشر Azure Bastion في شبكة فرعية منفصلة تسمى AzureBastionSubnet داخل الشبكة الظاهرية. تقوم بإنشاء الشبكة الفرعية عند نشر Azure Bastion. يمكن أن تكون للشبكة الفرعية مسافات عنوان مع قناع الشبكة فرعية /27 أو أكبر. لا تقم بنشر موارد Azure أخرى إلى هذه الشبكة الفرعية ولا تقم بتغيير اسم الشبكة الفرعية.
  4. يقوم Bastion ببث VM إلى المتصفح يستخدم Azure Bastion عميل ويب يستند إلى HTML5 يتم بثه تلقائيًا إلى جهازك المحلي. تقوم خدمة Azure Bastion بحزم معلومات جلسة العمل باستخدام بروتوكول مخصص. يتم إرسال الحزم عبر TLS.

قم بالتحقق من عمل Azure Bastion مع مجموعة أمان الشبكة الخاصة بك.

إذا لم تقم بنشر وتكوين مجموعة أمان شبكة معينة لمؤسستك، فلن تحتاج إلى القيام بأي شيء. يعمل Azure Bastion مع مجموعة أمان الشبكة الافتراضية التي تم إنشاؤها باستخدام VMs.

إذا كانت لديك مجموعة أمان شبكة تم تكوينها لمؤسستك، فتحقق من أن Azure Bastion قادر على الاتصال بـ VMs الخاصة بك من خلال RDP أو SSH. نوصي بإضافة قاعدة واردة تسمح باتصالات RDP و SSH من نطاق عنوان IP للشبكة الفرعية Azure Bastion إلى VMs الخاص بك.

لكي يعمل Azure Bastion، يجب أن تسمح مجموعة أمان الشبكة الخاصة بك بنسبة الاستخدام التالية.

الاتجاه السماح
الواردة اتصالات RDP و SSH من نطاق عنوان IP للشبكة الفرعية Azure Bastion إلى شبكة VM الفرعية خاصتك.
الواردة وصول TCP من الإنترنت على المنفذ 443 إلى IP العام الخاص بـ Azure Bastion.
الواردة وصول TCP من Azure Gateway Manager على المنافذ 443 أو 4443. يقوم Azure Gateway Manager بإدارة اتصالات المدخل إلى خدمة Azure Bastion.
الصادرة وصول TCP من نظام Azure الأساسي على المنفذ 443. يتم استخدام نسبة الاستخدام هذه للتسجيل التشخيصي.

قم بنشر مضيف Azure Bastion في مدخل Microsoft Azure

قبل أن تتمكن من نشر Azure Bastion، تحتاج إلى شبكة ظاهرية. يمكنك استخدام شبكة ظاهرية موجودة أو نشر Azure Bastion في أثناء إنشاء شبكة ظاهرية. قم بإنشاء شبكة فرعية في الشبكة الظاهرية تسمى AzureBastionSubnet. إذا كان لديك VM على نفس الشبكة أو شبكة ظاهرية نظيرة، يمكنك إكمال النشر في مدخل Microsoft Azure عن طريق تحديد Azure Bastion عند الاتصال بـ VM.

يعرض المقطعان التاليان الخطوات اللازمة لكل من خيارات نشر Azure Bastion في مدخل Azure.

قم بتمكين Azure Bastion عند إنشاء شبكة ظاهرية

إذا لم تكن لديك بالفعل شبكة ظاهرية تريد استخدامها لـ Azure Bastion، فقم بإنشاء شبكة ظاهرية وتمكين Azure Bastion في علامة التبويب Security

Screenshot of the Security tab that allows you to enable and configure the Azure Bastion host in the workflow for creating a virtual network..

  1. حدد Enable وأدخل اسمًا لمضيف Azure Bastion.
  2. أضف عنوان شبكة فرعية مع قناع شبكة فرعية من /27 أو أكبر.
  3. إذا لم يكن لديك عنوان IP عام تريد استخدامه، فحدد Create new
  4. بعد إنشاء شبكة ظاهرية، أضف VMs إلى هذه الشبكة الظاهرية. أو نظير هذه الشبكة الظاهرية إلى الشبكة الظاهرية مع VMs الخاصة بك.

أضف الشبكة الفرعية إلى شبكة ظاهرية موجودة ووفر موارد Azure Bastion

على الشبكة الظاهرية خاصتك الموجودة، قم بإضافة شبكة فرعية تسمى AzureBastionSubnet.

Screenshot of the page for adding a subnet, where the subnet name is AzureBastionSubnet.

لتوفير Azure Bastion، في المدخل على VM، حدد Connect>Bastion>Use Bastion. أدخل اسمًا لمورد Bastion Azure، واختر الشبكة الفرعية، وقم بإنشاء IP عام، وهكذا. بعد نشر Azure Bastion، يمكنك الاتصال بـ VM.

Screenshot of the Connect using Azure Bastion page with fields filled out by default, like Azure Bastion resource name, subnet, and create public IP address..

نشر Azure Bastion باستخدام Azure PowerShell أو Azure CLI

إذا كنت تريد استخدام Azure PowerShell أو Azure CLI لنشر Bastion Azure، فقم بتشغيل الأوامر لإنشاء الموارد التالية:

  • الشبكة الفرعية
  • عنوان IP عام
  • مورد Azure Bastion

تظهر المقاطع التالية أمثلة يمكنك استخدامها لنشر Azure Bastion.

قم باستخدام Azure PowerShell لنشر Azure Bastion

  1. قم بإنشاء الشبكة الفرعية Azure Bastion باستخدام cmdlet New-AzVirtualNetworkSubnetConfig . ثم قم بإضافة الشبكة الفرعية إلى الشبكة الظاهرية الموجودة باستخدام Add-AzVirtualNetworkSubnetConfig . على سبيل المثال، يفترض الأمر التالي أنك تملك بالفعل شبكة ظاهرية.

    $subnetName = "AzureBastionSubnet"
$virtualNetwork = MyVirtualNetwork
$addressPrefix = "10.0.2.0/24"
$subnet = New-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName ` 
-AddressPrefix $addressPrefix `

Add-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName `
-VirtualNetwork $virtualNetwork `
-AddressPrefix $addressprefix

  2. قم بإنشاء عنوان IP عام لـ Azure Bastion. يستخدم Azure Bastion عنوان IP العام للسماح باتصال RDP/SSH عبر المنفذ 443. يجب أن يكون عنوان IP العام في نفس المنطقة التي يوجد فيها مورد Azure Bastion.

    $publicip = New-AzPublicIpAddress `
-ResourceGroupName "myBastionRG" `
-name "myPublicIP" `
-location "westus2" `
-AllocationMethod Static `
-Sku Standard

  3. قم بإنشاء مورد Azure Bastion في الشبكة الفرعية المسماة AzureBastionSubnet للشبكة الظاهرية.

    $bastion = New-AzBastion `
-ResourceGroupName "myBastionRG" `
-Name "myBastion" `
-PublicIpAddress $publicip `
-VirtualNetwork $virtualNetwork

قم باستخدام Azure CLI لنشر Azure Bastion

  1. قم بإنشاء الشبكة الفرعية Azure Bastion

    az network vnet subnet create \
  --resource-group myBastionRG \
  --vnet-name MyVirtualNetwork \
  --name AzureBastionSubnet \
  --address-prefixes 10.0.2.0/24

  2. قم بإنشاء عنوان IP عام لـ Azure Bastion.

    az network public-ip create \
  --resource-group MyResourceGroup \
  --name MyPublicIp \
  --sku Standard \
  --location westus2

  3. قم بإنشاء مورد Azure Bastion.

    az network bastion create \
  --name MyBastion \
  --public-ip-address MyPublicIp \
  --resource-group MyResourceGroup \
  --vnet-name MyVnet \
  --location westus2

قم بالاتصال بـ VMs باستخدام Azure Bastion

مع وجود الموارد التي تحتاجها في مكانها المناسب، يجب أن تكون قادرًا على الاتصال بـ VMs على نفس الشبكة الظاهرية أو شبكة الاتصال الظاهرية النظيرة. في مدخل Microsoft Azure على VM، اختر Bastion وأدخل معلومات تسجيل الدخول الخاصة بك.

Screenshot of the Connect using Azure Bastion page with prompt for username and authentication type..

في الوحدة التالية، سوف تتعرف على خطوات نشر Azure Bastion لشبكة ظاهرية موجودة.