Co je Azure Bastion?
Azure Bastion je plně spravovaná služba PaaS, kterou zřídíte pro bezpečné připojení k virtuálním počítačům přes privátní IP adresu. Poskytuje zabezpečené a bezproblémové připojení RDP/SSH k vašim virtuálním počítačům přímo přes protokol TLS z webu Azure Portal nebo přes nativního klienta SSH nebo RDP, který už je na místním počítači nainstalovaný. Když se připojíte přes Azure Bastion, virtuální počítače nepotřebují veřejnou IP adresu, agenta ani speciální klientský software.
Bastion poskytuje zabezpečené připojení RDP a SSH ke všem virtuálním počítačům ve virtuální síti, pro které je zřízená. Použití služby Azure Bastion chrání vaše virtuální počítače před vystavením portů RDP/SSH vnějšímu světu a přitom zajišťuje zabezpečený přístup pomocí protokolu RDP/SSH.
Následující diagram znázorňuje připojení k virtuálním počítačům prostřednictvím nasazení Bastionu, které používá skladovou položku Basic nebo Standard.
Klíčové výhody
Skladové položky
Azure Bastion nabízí několik úrovní skladové položky. Následující tabulka uvádí funkce a odpovídající skladové položky.
Funkce | Skladová položka pro vývojáře | Základní SKU | Standardní SKU |
---|---|---|---|
Připojení k cílovým virtuálním počítačům ve stejné virtuální síti | Ano | Ano | Yes |
Připojení pro cílové virtuální počítače v partnerských virtuálních sítích | No | Ano | Ano |
Podpora souběžných připojení | No | Ano | Yes |
Přístup k privátním klíčům virtuálního počítače s Linuxem ve službě Azure Key Vault (AKV) | No | Ano | Yes |
Připojení k virtuálnímu počítači s Linuxem pomocí SSH | Ano | Ano | Ano |
Připojení k virtuálnímu počítači s Windows pomocí protokolu RDP | Ano | Ano | Ano |
Připojení k virtuálnímu počítači s Linuxem pomocí protokolu RDP | No | No | Ano |
Připojení k virtuálnímu počítači s Windows pomocí SSH | No | No | Ano |
Určení vlastního příchozího portu | No | No | Ano |
Připojení k virtuálním počítačům pomocí Azure CLI | No | No | Ano |
Škálování hostitele | No | No | Ano |
Nahrání nebo stažení souborů | No | No | Ano |
Ověřování protokolem Kerberos | No | Ano | Ano |
Odkaz ke sdílení | No | No | Ano |
Připojení k virtuálním počítačům přes IP adresu | No | No | Ano |
Výstup zvuku virtuálního počítače | Ano | Ano | Yes |
Zakázání kopírování a vkládání (webových klientů) | No | No | Ano |
Další informace o cenových úrovních, včetně postupu upgradu skladové položky a informací o nové SKU pro vývojáře (aktuálně ve verzi Preview), najdete v článku Nastavení konfigurace.
Architektura
Tato část se vztahuje na všechny úrovně skladových položek s výjimkou skladové položky developer, která se nasazuje jinak. Azure Bastion se nasadí do virtuální sítě a podporuje partnerský vztah virtuálních sítí. Konkrétně Azure Bastion spravuje připojení RDP/SSH k virtuálním počítačům vytvořeným v místních nebo partnerských virtuálních sítích.
RDP a SSH jsou některé základní prostředky, kterými se můžete připojit ke svým úlohám běžícím v Azure. Vystavení portů RDP/SSH přes internet není žádoucí a považuje se za významnou hrozbu. Důvodem je často ohrožení zabezpečení protokolu. Pokud chcete tuto hrozbu obsahovat, můžete nasadit hostitele bastionu (označované také jako jump-servery) na veřejné straně hraniční sítě. Hostitelské servery Bastion jsou navržené a nakonfigurované tak, aby odolá útokům. Servery Bastion také poskytují připojení RDP a SSH k úlohám, které se nachází za bastionem, a také dále uvnitř sítě.
Ve výchozím nastavení nová nasazení Bastionu nepodporují redundanci zón. Dříve nasazené basy můžou nebo nemusí být zónově redundantní. Výjimkou jsou nasazení Bastionu v Koreji – střed a jihovýchodní Asii, které podporují redundanci zón.
Tento obrázek znázorňuje architekturu nasazení služby Azure Bastion. Tento diagram se nevztahuje na skladovou položku vývojáře. V tomto diagramu:
- Hostitel Bastionu je nasazen ve virtuální síti, která obsahuje podsíť AzureBastionSubnet s minimální předponou /26.
- Uživatel se připojí k webu Azure Portal pomocí libovolného prohlížeče HTML5.
- Uživatel vybere virtuální počítač, ke kterému se chcete připojit.
- Jediným kliknutím se relace RDP/SSH otevře v prohlížeči.
- Na virtuálním počítači Azure se nevyžaduje žádná veřejná IP adresa.
Škálování hostitele
Azure Bastion podporuje ruční škálování hostitele. Počet instancí hostitele (jednotky škálování) můžete nakonfigurovat tak, aby spravovali počet souběžných připojení RDP/SSH, která může Azure Bastion podporovat. Zvýšení počtu instancí hostitele umožňuje službě Azure Bastion spravovat více souběžných relací. Snížení počtu instancí snižuje počet souběžných podporovaných relací. Azure Bastion podporuje až 50 instancí hostitele. Tato funkce je dostupná jenom pro skladovou položku Azure Bastion Standard.
Další informace najdete v článku Nastavení konfigurace.
Ceny
Ceny služby Azure Bastion jsou kombinací hodinových cen na základě skladových položek a instancí (jednotek škálování) a rychlosti přenosu dat. Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Nejnovější informace o cenách najdete na stránce s cenami služby Azure Bastion.
Co je nového?
Přihlaste se k odběru informačního kanálu RSS a podívejte se na nejnovější aktualizace funkcí služby Azure Bastion na stránce Azure Aktualizace.
Nejčastější dotazy ke službě Bastion
Nejčastější dotazy najdete v nejčastějších dotazech ke službě Bastion.
Další kroky
- Rychlý start: Automatické nasazení Bastionu – skladová položka Basic
- Rychlý start: Automatické nasazení Bastionu – skladová položka pro vývojáře
- Kurz: Nasazení Bastionu pomocí zadaných nastavení
- Modul Learn: Úvod do služby Azure Bastion
- Seznamte se s některými dalšími klíčovými síťovými funkcemi Azure.
- Další informace o zabezpečení sítě Azure