Co je Azure Bastion?

Azure Bastion je služba, kterou nasadíte, která umožňuje připojení k virtuálnímu počítači pomocí prohlížeče a Azure Portal. Služba Azure Bastion je plně spravovaná služba PaaS, kterou zřizujete ve své virtuální síti. Poskytuje zabezpečené a bezproblémové připojení RDP/SSH k virtuálním počítačům přímo z Azure Portal přes protokol TLS. Když se připojujete přes Azure Bastion, virtuální počítače nepotřebují veřejnou IP adresu, agenta ani speciální klientský software.

Bastion poskytuje zabezpečené připojení RDP a SSH ke všem virtuálním počítačům ve virtuální síti, ve které je zřízena. Použití služby Azure Bastion chrání vaše virtuální počítače před vystavením portů RDP/SSH do vnějšího světa a zároveň zajišťuje zabezpečený přístup pomocí protokolu RDP/SSH.

Diagram showing Azure Bastion architecture.

Klíčové výhody

Výhoda Description
Protokol RDP a SSH prostřednictvím Azure Portal K relaci RDP a SSH se můžete dostat přímo v Azure Portal pomocí bezproblémového prostředí s jedním kliknutím.
Vzdálená relace přes protokol TLS a procházení brány firewall pro protokol RDP/SSH Azure Bastion používá webového klienta založeného na HTML5, který se automaticky streamuje do místního zařízení. Relace RDP/SSH je přes protokol TLS na portu 443. To umožňuje bezpečněji procházet provoz přes brány firewall.
Na virtuálním počítači Azure není vyžadována žádná veřejná IP adresa. Azure Bastion otevře připojení RDP/SSH k virtuálnímu počítači Azure pomocí privátní IP adresy na virtuálním počítači. Na virtuálním počítači nepotřebujete veřejnou IP adresu.
Žádné problémy se správou skupin zabezpečení sítě (NSG) Na podsíť Azure Bastion nemusíte používat žádné skupiny zabezpečení sítě. Vzhledem k tomu, že se Azure Bastion připojuje k virtuálním počítačům přes privátní IP adresu, můžete skupiny zabezpečení sítě nakonfigurovat tak, aby umožňovaly protokol RDP/SSH pouze z Azure Bastionu. Tím se odebere potíží se správou skupin zabezpečení sítě pokaždé, když se potřebujete bezpečně připojit k virtuálním počítačům. Další informace o skupinách zabezpečení sítě najdete v tématu Skupiny zabezpečení sítě.
Na virtuálním počítači není potřeba spravovat samostatného hostitele bastionu. Azure Bastion je plně spravovaná služba PaaS z Azure, která je interně posílená, abyste zajistili zabezpečené připojení RDP/SSH.
Ochrana před kontrolou portů Virtuální počítače jsou chráněné před kontrolou portů nechráněnými a škodlivými uživateli, protože virtuální počítače nemusíte vystavit na internetu.
Posílení zabezpečení pouze na jednom místě Azure Bastion se nachází v hraniční síti virtuální sítě, takže si nemusíte dělat starosti s posílením jednotlivých virtuálních počítačů ve vaší virtuální síti.
Ochrana před využitím nulového dne Platforma Azure chrání před zneužitím nulového dne tím, že vám zachová posílení zabezpečení služby Azure Bastion a bude vždy aktuální.

Skladové položky

Azure Bastion má dvě dostupné skladové položky, Basic a Standard. Další informace, včetně postupu upgradu skladové položky, najdete v článku o nastavení konfigurace .

Následující tabulka obsahuje funkce a odpovídající skladové položky.

Funkce Základní SKU Standardní SKU
Připojení k cílení virtuálních počítačů ve virtuálních sítích s partnerskými vztahy K dispozici K dispozici
Přístup k privátním klíčům virtuálního počítače s Linuxem v Azure Key Vault (AKV) K dispozici. K dispozici.
Připojení na virtuální počítač s Linuxem pomocí SSH K dispozici K dispozici
Připojení k Windows virtuálnímu počítači pomocí protokolu RDP K dispozici K dispozici
Výstup zvuku virtuálního počítače K dispozici. K dispozici.
Škálování hostitele K dispozici
Určení vlastního příchozího portu K dispozici
Připojení k virtuálnímu počítači s Linuxem pomocí protokolu RDP K dispozici
Připojení k Windows virtuálnímu počítači pomocí SSH K dispozici
Upload nebo stahování souborů K dispozici
Zakázání kopírování a vložení K dispozici.

Architektura

Azure Bastion se nasadí do virtuální sítě a podporuje partnerský vztah virtuálních sítí. Konkrétně Azure Bastion spravuje připojení RDP/SSH k virtuálním počítačům vytvořeným v místních nebo partnerských virtuálních sítích.

RDP a SSH jsou některé ze základních prostředků, kterými se můžete připojit ke svým úlohám běžícím v Azure. Vystavení portů RDP/SSH přes internet není žádoucí a je považováno za významný povrch hrozeb. Důvodem je často ohrožení zabezpečení protokolu. Pokud chcete tuto plochu hrozeb obsahovat, můžete nasadit hostitele bastionu (označované také jako jump-servers) na veřejné straně hraniční sítě. Hostitelské servery Bastion jsou navržené a nakonfigurované tak, aby vydržovaly útoky. Servery Bastion také poskytují připojení RDP a SSH k úlohám, které se nacházejí za bastionem, a dále v síti.

Diagram showing the Azure Bastion architecture.

Tento obrázek znázorňuje architekturu nasazení služby Azure Bastion. V tomto diagramu:

  • Hostitel Bastionu se nasadí ve virtuální síti, která obsahuje podsíť AzureBastionSubnet s minimální předponou /26.
  • Uživatel se připojí k Azure Portal pomocí libovolného prohlížeče HTML5.
  • Uživatel vybere virtuální počítač, ke kterému se chcete připojit.
  • Jediným kliknutím se relace RDP/SSH otevře v prohlížeči.
  • Na virtuálním počítači Azure se nevyžaduje žádná veřejná IP adresa.

Škálování hostitele

Azure Bastion podporuje ruční škálování hostitele. Počet instancí hostitele (jednotky škálování) můžete nakonfigurovat tak, aby bylo možné spravovat počet souběžných připojení RDP/SSH, která může Azure Bastion podporovat. Zvýšení počtu instancí hostitelů umožňuje službě Azure Bastion spravovat více souběžných relací. Snížení počtu instancí snižuje počet souběžných podporovaných relací. Azure Bastion podporuje až 50 hostitelských instancí. Tato funkce je dostupná pouze pro skladovou položku Azure Bastion Standard.

Další informace najdete v článku o nastavení konfigurace .

Ceny

Ceny služby Azure Bastion zahrnují kombinaci hodinových cen na základě cen skladových položek, jednotek škálování a přenosové rychlosti dat. Informace o cenách najdete na stránce Ceny.

Co je nového

Přihlaste se k odběru informačního kanálu RSS a na stránce Aktualizace Azure si prohlédněte nejnovější aktualizace funkcí služby Azure Bastion.

Nejčastější dotazy ke službě Bastion

Nejčastější dotazy k Bastionu najdete v nejčastějších dotazech k Bastionu.

Další kroky