Использование Cloud Shell в виртуальной сети Azure

  • Статья

По умолчанию сеансы Azure Cloud Shell выполняются в контейнере в сети Майкрософт, отдельной от ресурсов. Команды, выполняемые внутри контейнера, не могут получить доступ к ресурсам в частной виртуальной сети. Например, вы не можете использовать Secure Shell (SSH) для подключения из Cloud Shell к виртуальной машине, которая имеет только частный IP-адрес или использовать kubectl для подключения к кластеру Kubernetes, который заблокировал доступ.

Чтобы предоставить доступ к частным ресурсам, вы можете развернуть Cloud Shell в виртуальной сети Azure, которую вы управляете. Этот метод называется изоляцией виртуальной сети.

Преимущества изоляции виртуальной сети с помощью Cloud Shell

Развертывание Cloud Shell в частной виртуальной сети обеспечивает следующие преимущества:

  • Ресурсы, которым требуется управлять, не должны иметь общедоступные IP-адреса.
  • Вы можете использовать средства командной строки, SSH и удаленное взаимодействие PowerShell из контейнера Cloud Shell для управления ресурсами.
  • Учетная запись хранения, которая использует Cloud Shell, не должна быть общедоступной.

Рекомендации по развертыванию Azure Cloud Shell в виртуальной сети

  • Запуск Cloud Shell в виртуальной сети обычно медленнее стандартного сеанса Cloud Shell.
  • Для изоляции виртуальной сети необходимо использовать Azure Relay, которая является платной службой. В сценарии Cloud Shell для каждого администратора используется одно гибридное подключение при использовании Cloud Shell. Подключение автоматически закрывается при завершении сеанса Cloud Shell.

Архитектура

На следующей схеме показана архитектура ресурсов, которую необходимо создать, чтобы включить этот сценарий.

Иллюстрация архитектуры изолированной виртуальной сети Cloud Shell.

  • Клиентская сеть: пользователи клиентов могут находиться в любом месте в Интернете для безопасного доступа и проверки подлинности в портал Azure и использования Cloud Shell для управления ресурсами, содержащимися в подписке клиента. Для более строгой безопасности пользователи могут открывать Cloud Shell только из виртуальной сети, содержащейся в подписке.
  • Сеть Майкрософт: клиенты подключаются к портал Azure в сети Майкрософт для проверки подлинности и открытия Cloud Shell.
  • Виртуальная сеть клиента: это сеть, содержащая подсети для поддержки изоляции виртуальной сети. Такие ресурсы, как виртуальные машины и службы, доступны непосредственно из Cloud Shell без необходимости назначать общедоступный IP-адрес.
  • Ретрансляция Azure: Ретрансляция Azure позволяет обмениваться данными двумя конечными точками, которые не доступны напрямую. В этом случае это позволяет браузеру администратора взаимодействовать с контейнером в частной сети.
  • Общая папка: Cloud Shell требует учетной записи хранения, доступной из виртуальной сети. Учетная запись хранения предоставляет общую папку, используемую пользователями Cloud Shell.

Службе Cloud Shell требуется подключенный новый или существующий общий ресурс службы файлов Azure для сохранения файлов между сеансами. За использование хранилища взимается обычная оплата. Если вы развернули Azure Cloud Shell в частной виртуальной сети, вы платите за сетевые ресурсы. Сведения о ценах см. в разделе "Цены" в Azure Cloud Shell.