Co je Azure Bastion?
Azure bastionu je služba, kterou nasazujete, která umožňuje připojit se k virtuálnímu počítači pomocí prohlížeče a Azure Portal. Služba Azure bastionu je plně spravovaná platforma PaaS spravovaná platformou, kterou zřizujete v rámci vaší virtuální sítě. Poskytuje zabezpečené a bezproblémové připojení RDP/SSH k virtuálním počítačům přímo z Azure Portal přes TLS. Když se připojujete přes Azure bastionu, virtuální počítače nepotřebují veřejnou IP adresu, agenta nebo speciální klientský software.
Bastionu zajišťuje zabezpečené připojení RDP a SSH ke všem virtuálním počítačům ve virtuální síti, ve které se zřídí. Použití Azure bastionu chrání vaše virtuální počítače před vystavení portů RDP/SSH na vnějším světě a zároveň zajišťuje zabezpečený přístup pomocí protokolu RDP/SSH.
Klíčové výhody
- RDP a SSH přímo v Azure Portal: K relaci RDP a SSH se můžete dostat přímo v Azure Portal jediným kliknutím na bezproblémové prostředí.
- Vzdálená relace přes protokol TLS a průchod bránou firewall pro RDP/SSH: Azure bastionu využívá webového klienta založeného na HTML5, který se automaticky streamuje na vaše místní zařízení. Vaše relace RDP/SSH je přes TLS na portu 443, takže můžete bezpečně procházet podnikové brány firewall.
- Na virtuálním počítači Azure není potřeba žádná veřejná IP adresa: Azure bastionu otevře připojení RDP/SSH k virtuálnímu počítači Azure pomocí privátní IP adresy na vašem virtuálním počítači. Na virtuálním počítači nepotřebujete veřejnou IP adresu.
- Bez starostí se správou skupin zabezpečení sítě (skupin zabezpečení sítě): Azure bastionu je plně spravovaná služba PaaS platformy z Azure, která je posílená interně, aby poskytovala zabezpečené připojení RDP/SSH. Nemusíte používat žádné skupin zabezpečení sítě v podsíti Azure bastionu. Vzhledem k tomu, že se Azure bastionu připojuje k virtuálním počítačům přes soukromou IP adresu, můžete nakonfigurovat skupin zabezpečení sítě tak, aby povoloval jenom RDP/SSH jenom z Azure bastionu. Tím se eliminují starosti se správou skupin zabezpečení sítě pokaždé, když se budete muset bezpečně připojit k virtuálním počítačům. Další informace o skupin zabezpečení sítě najdete v tématu skupiny zabezpečení sítě.
- Ochrana proti kontrole portů: Vzhledem k tomu, že není nutné virtuální počítače zveřejnit na veřejném Internetu, jsou vaše virtuální počítače chráněny před kontrolou portů neautorizovanými a zlomyslnými uživateli, kteří se nacházejí mimo vaši virtuální síť.
- Chraňte proti neoprávněným zneužitím. Posílení zabezpečení pouze na jednom místě: Azure bastionu je plně spravovaná služba PaaS spravovaná platformou. Vzhledem k tomu, že se nachází na hraničních sítích vaší virtuální sítě, nemusíte se starat o posílení zabezpečení každého virtuálního počítače ve vaší virtuální síti. Platforma Azure chrání před neoprávněnými útoky tím, že zajišťuje posílení zabezpečení Azure bastionu a vždycky aktuální za vás.
Skladové položky
Azure bastionu má dvě dostupné SKU, Basic a Standard. Další informace, včetně postupu při upgradu SKU, najdete v článku nastavení konfigurace .
V následující tabulce jsou uvedeny funkce a odpovídající SKU.
| Funkce | Základní SKU | Standardní SKU |
|---|---|---|
| Připojení cílových virtuálních počítačů v partnerských virtuálních sítích | K dispozici. | K dispozici. |
| Přístup k privátním klíčům virtuálního počítače se systémem Linux v Azure Key Vault (integrace) | K dispozici. | K dispozici. |
| Škálování hostitele | – | K dispozici. |
| Zadat vlastní port pro příchozí spojení | – | K dispozici. |
| Připojení k virtuálnímu počítači se systémem Linux pomocí protokolu RDP | – | K dispozici. |
| Připojení Windows virtuálního počítače pomocí SSH | – | K dispozici. |
Architektura
Azure bastionu je nasazený ve virtuální síti a podporuje partnerský vztah virtuálních sítí. Konkrétně Azure bastionu spravuje připojení RDP/SSH k virtuálním počítačům vytvořeným v místních nebo partnerských virtuálních sítích.
RDP a SSH jsou některé ze základních prostředků, pomocí kterých se můžete připojit ke svým úlohám, které běží v Azure. Vystavení portů RDP/SSH přes Internet se nepožaduje a zobrazuje se jako významná hladina hrozeb. To je často způsobeno chybami zabezpečení protokolu. Aby tato hrozba obsahovala tyto hrozby, můžete na veřejné straně hraniční sítě nasadit hostitele bastionu (označované také jako servery skoků). Hostitelské servery bastionu jsou navržené a nakonfigurované tak, aby odolaly útokům. Servery bastionu také poskytují připojení RDP a SSH k úlohám, které se probírají za bastionu, a dále v síti.
Na tomto obrázku vidíte architekturu nasazení Azure bastionu. V tomto diagramu:
- Hostitel bastionu je nasazený ve virtuální síti, která obsahuje podsíť AzureBastionSubnet s minimální/26 předponou.
- Uživatel se připojí k Azure Portal pomocí libovolného prohlížeče HTML5.
- Uživatel vybere virtuální počítač, ke kterému se má připojit.
- Jediným kliknutím se v prohlížeči otevře relace RDP/SSH.
- Na virtuálním počítači Azure se nevyžaduje žádná veřejná IP adresa.
Škálování hostitele
Azure bastionu podporuje ruční škálování hostitele. Počet instancí hostitele (jednotky škálování) můžete nakonfigurovat tak, aby bylo možné spravovat počet souběžných připojení RDP/SSH, která může Azure bastionu podporovat. Zvýšením počtu instancí hostitelů umožníte službě Azure bastionu spravovat další souběžné relace. Snížení počtu instancí snižuje počet souběžných podporovaných relací. Azure bastionu podporuje až 50 instancí hostitelů. Tato funkce je dostupná jenom pro službu Azure bastionu Standard SKU.
Další informace najdete v článku nastavení konfigurace .
Stanov
Ceny Azure bastionu zahrnují kombinaci hodinových cen na základě SKU, jednotek škálování a sazeb za přenos dat. Informace o cenách najdete na stránce Ceny.
Co je nového?
Přihlaste se k odběru informačního kanálu RSS a zobrazte nejnovější aktualizace funkcí Azure bastionu na stránce s aktualizacemi Azure .
Nejčastější dotazy ke službě Bastion
Nejčastější dotazy najdete v nejčastějšíchdotazech k bastionu.
Další kroky
- kurz: vytvoření hostitele Azure bastionu a připojení k virtuálnímu počítači s Windows.
- Seznámení s modulem: Úvod do Azure bastionu.
- Informace o některých dalších klíčových možnostech sítě v Azure.