NSG erişimi ve güvenlik Azure Bastion

Ağ güvenlik Azure Bastion ağ güvenlik gruplarını (NSG) kullanabilirsiniz. Daha fazla bilgi için bkz. Güvenlik Grupları.

NSG

Bu diyagramda:

  • Bastion ana bilgisayarı sanal ağa dağıtılır.
  • Kullanıcı herhangi bir HTML5 Azure portal tarayıcı kullanarak sunucuya bağlanır.
  • Kullanıcı, Azure sanal makinesine RDP/SSH'ye gidin.
  • Tümleştirmeye Bağlanma - Tarayıcının içinde tek tıklamayla RDP/SSH oturumu
  • Azure VM'de genel IP gerekli değildir.

Ağ güvenlik grupları

Bu bölümde kullanıcı ile sanal makineler arasındaki ve sanal Azure Bastion hedef VM'ler arasındaki ağ trafiği gösterir:

Önemli

Azure Bastion kaynağınız ile bir NSG kullanmayı seçerseniz, aşağıdaki giriş ve çıkış trafiği kurallarının hepsini oluşturmanız gerekir. NSG'nize aşağıdaki kurallardan herhangi birini atlarken, Azure Bastion kaynağınız gelecekte gerekli güncelleştirmeleri alamayacak ve bu sayede kaynağınızı gelecekteki güvenlik açıklarına açacak.

AzureBastionSubnet

Azure Bastion AzureBastionSubnet'e özel olarak dağıtılır.

  • Giriş Trafiği:

    • Genel İnternet'den Gelen Trafik: Bu Azure Bastion, giriş trafiği için genel IP'de 443 bağlantı noktasının etkinleştirilmesi gereken bir genel IP oluşturacak. AzureBastionSubnet üzerinde 3389/22 bağlantı noktasının açılması GEREKMEZ.
    • Giriş Trafiği Azure Bastion düzlemi: Kontrol düzlemi bağlantısı için GatewayManager hizmet etiketinden gelen 443 bağlantı noktasını etkinleştirin. Bu, kontrol düzlemi, yani Ağ Geçidi Yöneticisi'nin ağ geçidiyle Azure Bastion.
    • Veri düzlemi Azure Bastion Trafiği: Azure Bastion'nin temel bileşenleri arasındaki veri düzlemi iletişimi için VirtualNetwork hizmet etiketinden VirtualNetwork hizmet etiketine gelen 8080, 5701 bağlantı noktalarını etkinleştirin. Bu, Azure Bastion konuşmalarını sağlar.
    • Giriş Trafiği Azure Load Balancer: Durum yoklamaları için AzureLoadBalancer hizmet etiketinden 443 gelen bağlantı noktasını etkinleştirin. Bu, Azure Load Balancer algılamaya olanak sağlar

    Bağlantı için gelen güvenlik kurallarını gösteren Azure Bastion görüntüsü.

  • Çıkış Trafiği:

    • Hedef VM'lere Çıkış Trafiği: Azure Bastion VM'lere özel IP üzerinden erişecek. NSG'ler 3389 ve 22 bağlantı noktası için diğer hedef VM alt ağlarına çıkış trafiğine izin vermalıdır.
    • Veri düzlemi için Azure Bastion Trafiği: Azure Bastion'nin temel bileşenleri arasındaki veri düzlemi iletişimi için VirtualNetwork hizmet etiketinden VirtualNetwork hizmet etiketine giden 8080, 5701 bağlantı noktalarını etkinleştirin. Bu, Azure Bastion konuşmalarını sağlar.
    • Azure'da diğer genel uç noktalara çıkış trafiği: Azure Bastion Azure'da çeşitli genel uç noktalara bağlana (örneğin, tanılama günlüklerini ve ölçüm günlüklerini depolamak için) olması gerekir. Bu nedenle, Azure Bastion AzureCloud hizmet etiketine 443'e giden bağlantı olması gerekir.
    • İnternet'e Çıkış Trafiği: Azure Bastion ve sertifika doğrulaması için İnternet ile iletişim kura ihtiyacı vardır. Bu nedenle İnternet'e giden 80 bağlantı noktasını etkinleştirmenizi öneririz.

    Bağlantı için giden güvenlik kurallarını gösteren Azure Bastion görüntüsü.

Hedef VM Alt Ağı

Bu, RDP/SSH'ye almak istediğiniz hedef sanal makineyi içeren alt ağdır.

  • Giriş Trafiği Azure Bastion: Azure Bastion sanal makineye özel IP üzerinden erişecek. RdP/SSH bağlantı noktalarının (sırasıyla 3389/22 bağlantı noktaları) özel IP üzerinden hedef VM tarafında açılması gerekir. En iyi uygulama olarak, Azure Bastion Alt Ağ IP adresi aralığını yalnızca Bastion'ın bu bağlantı noktalarını hedef VM alt ağınızdaki hedef VM'lerde açabilecek şekilde ekleyebilirsiniz.

Sonraki adımlar

Daha fazla bilgi için Azure Bastion SSS bölümüne bakın.