Utilisation de Cloud Shell dans un réseau virtuel Azure

  • Article

Par défaut, les sessions Azure Cloud Shell s’exécutent dans un conteneur sur un réseau Microsoft distinct de vos ressources. Les commandes exécutées à l’intérieur du conteneur ne peuvent pas accéder aux ressources d’un réseau virtuel privé. Par exemple, vous ne pouvez pas utiliser Secure Shell (SSH) pour vous connecter depuis Cloud Shell à une machine virtuelle qui dispose uniquement d’une adresse IP privée ni utiliser kubectl pour vous connecter à un cluster Kubernetes dont l’accès est verrouillé.

Pour fournir l’accès à vos ressources privées, vous pouvez déployer Cloud Shell dans un réseau virtuel Azure que vous contrôlez. Cette technique est appelée isolement réseau virtuel.

Avantages de l’isolement réseau virtuel avec Cloud Shell

Le déploiement de Cloud Shell dans un réseau virtuel privé offre les avantages suivants :

  • Les ressources que vous souhaitez gérer n’ont pas besoin d’adresses IP publiques.
  • Vous pouvez utiliser des outils de ligne de commande, SSH et PowerShell en vous connectant à distance à partir du conteneur Cloud Shell pour gérer vos ressources.
  • Le compte de stockage que Cloud Shell utilise n’a pas besoin d’être accessible publiquement.

Éléments à prendre en compte avant de déployer Azure Cloud Shell dans un réseau virtuel

  • Le démarrage de Cloud Shell dans un réseau virtuel est généralement plus lent qu’une session Cloud Shell standard.
  • L’isolement réseau virtuel nécessite l’utilisation d’Azure Relay, qui est un service payant. Dans le scénario de Cloud Shell, une connexion hybride est utilisée par chaque administrateur quand celui-ci utilise Cloud Shell. La connexion est automatiquement fermée à la fin de la session Cloud Shell.

Architecture

Le diagramme suivant montre l’architecture des ressources déployée et utilisée dans ce scénario.

Illustration d’une architecture de réseau virtuel isolé Cloud Shell.

  • Réseau client : les utilisateurs clients peuvent se trouver n’importe où sur Internet pour accéder et s’authentifier en toute sécurité auprès du portail Azure et utiliser Cloud Shell pour gérer les ressources contenues dans l’abonnement des clients. Pour une sécurité plus stricte, vous pouvez autoriser les utilisateurs à ouvrir Cloud Shell uniquement à partir du réseau virtuel contenu dans votre abonnement.
  • Réseau Microsoft : les clients se connectent au portail Azure sur le réseau de Microsoft pour s’authentifier et ouvrir Cloud Shell.
  • Réseau virtuel du client : il s'agit du réseau qui contient les sous-réseaux compatibles avec l’isolement réseau virtuel. Les ressources telles que les machines virtuelles et les services sont directement accessibles à partir de Cloud Shell sans qu’il soit nécessaire d’attribuer une adresse IP publique.
  • Azure Relay : Azure Relay permet à deux points d’extrémité qui ne sont pas directement joignables de communiquer. Ici, elle est utilisée pour permettre au navigateur de l’administrateur de communiquer avec le conteneur dans le réseau privé.
  • Partage de fichiers : Cloud Shell nécessite un compte de stockage accessible à partir du réseau virtuel. Le compte de stockage fournit le partage de fichiers utilisé par Cloud Shell utilisateurs.

Cloud Shell nécessite un partage Azure Files nouveau ou existant à monter pour conserver les fichiers entre les sessions. Le stockage entraîne des coûts réguliers. Si vous avez déployé Azure Cloud Shell dans un réseau virtuel privé, vous payez pour les ressources réseau. Pour obtenir des informations sur les tarifs, consultez Tarifs d’Azure Cloud Shell.