Vad är Azure Bastion?
Azure Bastion är en tjänst som du distribuerar som gör att du kan ansluta till en virtuell dator med hjälp av webbläsaren och Azure Portal. Tjänsten Azure Bastion är en plattforms hanterad PaaS-tjänst som du etablerar i ditt virtuella nätverk. Det ger säker och sömlös RDP/SSH-anslutning till dina virtuella datorer direkt från Azure Portal via TLS. När du ansluter via Azure Bastion behöver dina virtuella datorer ingen offentlig IP-adress, agent eller särskild klientprogramvara.
Bastion ger säker RDP- och SSH-anslutning till alla virtuella datorer i det virtuella nätverk som den har etablerats i. Med Azure Bastion skyddar du dina virtuella datorer från att exponera RDP/SSH-portar för världen utanför, samtidigt som du ger säker åtkomst med RDP/SSH.
Viktiga fördelar
- RDP och SSH direkt i Azure Portal: Du kan komma till RDP- och SSH-sessionen direkt i Azure Portal med en sömlös upplevelse med ett enda klick.
- Fjärrsession över TLS och brandväggsgenomgång för RDP/SSH: Azure Bastion använder en HTML5-baserad webbklient som automatiskt strömmas till din lokala enhet. Du får RDP/SSH-sessionen via TLS på port 443, så att du kan passera företagets brandväggar på ett säkert sätt.
- Ingen offentlig IP-adress krävs på den virtuella Azure-datorn: Azure Bastion öppnar RDP/SSH-anslutningen till den virtuella Azure-datorn med hjälp av privat IP på den virtuella datorn. Du behöver ingen offentlig IP-adress på den virtuella datorn.
- Inget problem med att hantera nätverkssäkerhetsgrupper (NSG:er): Azure Bastion är en fullständigt hanterad PaaS-plattformstjänst från Azure som härdas internt för att ge dig säker RDP/SSH-anslutning. Du behöver inte tillämpa NSG:er på Azure Bastion undernätet. Eftersom Azure Bastion ansluter till dina virtuella datorer via privat IP kan du konfigurera dina NSG:er så att RDP/SSH endast tillåts från Azure Bastion. Detta tar bort problemet med att hantera NSG:er varje gång du behöver ansluta säkert till dina virtuella datorer. Mer information om nätverkssäkerhetsgrupper finns i Nätverkssäkerhetsgrupper.
- Skydd mot portgenomsökning: Eftersom du inte behöver exponera dina virtuella datorer för det offentliga Internet skyddas dina virtuella datorer mot portgenomsökning av falska och skadliga användare utanför ditt virtuella nätverk.
- Skydda mot nolldagarskryphål. Härdning på en enda plats: Azure Bastion är en helt plattforms hanterad PaaS-tjänst. Eftersom den finns i perimetern för ditt virtuella nätverk behöver du inte bekymra dig om härdning av var och en av de virtuella datorerna i det virtuella nätverket. Azure-plattformen skyddar mot nolldagarskryphål genom att hålla Azure Bastion och alltid uppdaterade åt dig.
SKU:er
Azure Bastion har två tillgängliga SKU:er, Basic och Standard. Mer information, inklusive hur du uppgraderar en SKU, finns i artikeln Konfigurationsinställningar.
I följande tabell visas funktioner och motsvarande SKU:er.
| Funktion | Grundläggande SKU | Standard-SKU |
|---|---|---|
| Anslut att rikta virtuella datorer i peer-ade virtuella nätverk | Tillgängligt | Tillgängligt |
| Få åtkomst till privata nycklar för virtuella Linux-datorer i Azure Key Vault (AKV) | Tillgängligt | Tillgängligt |
| Värdskalning | Ej tillämpligt | Tillgängligt |
| Ange anpassad inkommande port | Ej tillämpligt | Tillgängligt |
| Anslut till virtuella Linux-datorer med RDP | Ej tillämpligt | Tillgängligt |
| Anslut att Windows virtuell dator med hjälp av SSH | Ej tillämpligt | Tillgängligt |
Arkitektur
Azure Bastion distribueras till ett virtuellt nätverk och stöder peering av virtuella nätverk. Mer specifikt Azure Bastion RDP/SSH-anslutning till virtuella datorer som skapats i lokala eller peerkopplade virtuella nätverk.
RDP och SSH är några av de grundläggande sätten att ansluta till dina arbetsbelastningar som körs i Azure. Att exponera RDP/SSH-portar via Internet är inte önskvärt och ses som en betydande hotyta. Detta beror ofta på sårbarheter i protokollet. För att hålla den här hotytan kan du distribuera skyddsvärdar (även kallade jump-servers) på den offentliga sidan av perimeternätverket. Bastion-värdservrar är utformade och konfigurerade för att klara attacker. Skyddsservrar ger också RDP- och SSH-anslutning till de arbetsbelastningar som finns bakom skyddsnätet, samt ytterligare inuti nätverket.
Den här bilden visar arkitekturen för en Azure Bastion distribution. I det här diagrammet:
- Bastion-värden distribueras i det virtuella nätverket som innehåller undernätet AzureBastionSubnet som har prefixet /26 eller minimum.
- Användaren ansluter till Azure Portal HTML5-webbläsare.
- Användaren väljer den virtuella dator som ska anslutas till.
- Med ett enda klick öppnas RDP/SSH-sessionen i webbläsaren.
- Ingen offentlig IP-adress krävs på den virtuella Azure-datorn.
Värdskalning
Azure Bastion har stöd för manuell värdskalning. Du kan konfigurera antalet värdinstanser (skalningsenheter) för att hantera antalet samtidiga RDP/SSH-anslutningar som Azure Bastion har stöd för. Genom att öka antalet värdinstanser kan Azure Bastion hantera fler samtidiga sessioner. Om du minskar antalet instanser minskar antalet samtidiga sessioner som stöds. Azure Bastion har stöd för upp till 50 värdinstanser. Den här funktionen är endast tillgänglig Azure Bastion standard-SKU.
Mer information finns i artikeln Konfigurationsinställningar.
Prissättning
Azure Bastion priser innebär en kombination av priser per timme baserat på SKU, skalningsenheter och dataöverföringshastigheter. Information om priser finns på sidan Priser.
Vad är det senaste?
Prenumerera på RSS-flödet och visa de senaste Azure Bastion funktionsuppdateringarna på sidan Azure-uppdateringar.
Vanliga frågor och svar om Bastion
Vanliga frågor och svar finns i Vanliga frågor och svarom Bastion.
Nästa steg
- Självstudie: Skapa en Azure Bastion värd och ansluta till en Windows virtuell dator.
- Learn-modul: Introduktion till Azure Bastion.
- Lär dig mer om de andra viktiga nätverksfunktionerna i Azure.