Cloud Shell gebruiken in een virtueel Azure-netwerk

  • Artikel

Standaard worden Azure Cloud Shell-sessies uitgevoerd in een container in een Microsoft-netwerk dat losstaat van uw resources. Opdrachten die in de container worden uitgevoerd, hebben geen toegang tot resources in een particulier virtueel netwerk. U kunt bijvoorbeeld Secure Shell (SSH) niet gebruiken om vanuit Cloud Shell verbinding te maken met een virtuele machine met alleen een privé-IP-adres of kubectl om verbinding te maken met een Kubernetes-cluster dat de toegang heeft vergrendeld.

Als u toegang wilt bieden tot uw privéresources, kunt u Cloud Shell implementeren in een virtueel Azure-netwerk dat u bepaalt. Deze techniek wordt isolatie van virtuele netwerken genoemd.

Voordelen van isolatie van virtuele netwerken met Cloud Shell

Het implementeren van Cloud Shell in een particulier virtueel netwerk biedt de volgende voordelen:

  • De resources die u wilt beheren, hoeven geen openbare IP-adressen te hebben.
  • U kunt opdrachtregelprogramma's, SSH en PowerShell voor externe communicatie van de Cloud Shell-container gebruiken om uw resources te beheren.
  • Het opslagaccount dat door Cloud Shell wordt gebruikt, hoeft niet openbaar toegankelijk te zijn.

Aandachtspunten voordat u Azure Cloud Shell implementeert in een virtueel netwerk

  • Het starten van Cloud Shell in een virtueel netwerk is doorgaans langzamer dan een standaard Cloud Shell-sessie.
  • Voor isolatie van virtuele netwerken moet u Azure Relay gebruiken. Dit is een betaalde service. In het Cloud Shell-scenario wordt één hybride verbinding gebruikt voor elke beheerder terwijl ze Cloud Shell gebruiken. De verbinding wordt automatisch gesloten wanneer de Cloud Shell-sessie wordt beëindigd.

Architectuur

In het volgende diagram ziet u de resourcearchitectuur die u moet bouwen om dit scenario in te schakelen.

Afbeelding van een geïsoleerde architectuur van een virtueel netwerk in Cloud Shell.

  • Clientnetwerk van de klant: clientgebruikers kunnen zich overal op internet bevinden om veilig toegang te krijgen tot en te verifiëren bij Azure Portal en Cloud Shell te gebruiken om resources in het abonnement van de klant te beheren. Voor strengere beveiliging kunt u toestaan dat gebruikers Cloud Shell alleen openen vanuit het virtuele netwerk in uw abonnement.
  • Microsoft-netwerk: klanten maken verbinding met Azure Portal in het netwerk van Microsoft om Cloud Shell te verifiëren en te openen.
  • Virtueel netwerk van de klant: dit is het netwerk dat de subnetten bevat ter ondersteuning van isolatie van virtuele netwerken. Resources zoals virtuele machines en services zijn rechtstreeks toegankelijk vanuit Cloud Shell zonder dat u een openbaar IP-adres hoeft toe te wijzen.
  • Azure Relay: Azure Relay staat twee eindpunten toe die niet rechtstreeks bereikbaar zijn om te communiceren. In dit geval wordt de browser van de beheerder gebruikt om te communiceren met de container in het privénetwerk.
  • Bestandsshare: Voor Cloud Shell is een opslagaccount vereist dat toegankelijk is vanuit het virtuele netwerk. Het opslagaccount biedt de bestandsshare die wordt gebruikt door Cloud Shell-gebruikers.

Voor Cloud Shell moet een nieuwe of bestaande Azure Files-share worden gekoppeld om bestanden tussen sessies vast te houden. Voor opslag worden regelmatig kosten in rekening gebracht. Als u Azure Cloud Shell hebt geïmplementeerd in een particulier virtueel netwerk, betaalt u voor netwerkresources. Zie Prijzen van Azure Cloud Shell voor prijsinformatie.