Azure Bastion nedir?What is Azure Bastion?

Azure savunma, tarayıcınızı ve Azure portal kullanarak bir sanal makineye bağlanmanıza olanak sağlayan, dağıttığınız bir hizmettir.Azure Bastion is a service you deploy that lets you connect to a virtual machine using your browser and the Azure portal. Azure savunma hizmeti, sanal ağınızın içinde sağladığınız tam platform tarafından yönetilen bir PaaS hizmetidir.The Azure Bastion service is a fully platform-managed PaaS service that you provision inside your virtual network. Doğrudan TLS üzerinden Azure portal sanal makinelerinize güvenli ve sorunsuz RDP/SSH bağlantısı sağlar.It provides secure and seamless RDP/SSH connectivity to your virtual machines directly from the Azure portal over TLS. Azure savunma aracılığıyla bağlandığınızda, sanal makinelerinizde genel bir IP adresi, aracı veya özel istemci yazılımı gerekmez.When you connect via Azure Bastion, your virtual machines do not need a public IP address, agent, or special client software.

Savunma, sağlandığı sanal ağdaki tüm VM 'lere güvenli RDP ve SSH bağlantısı sağlar.Bastion provides secure RDP and SSH connectivity to all of the VMs in the virtual network in which it is provisioned. Azure savunma 'nın kullanılması, sanal makinelerinizin, RDP/SSH bağlantı noktalarını dış dünyaya sunulmasını sağlarken RDP/SSH kullanarak güvenli erişim sağlamaya devam eder.Using Azure Bastion protects your virtual machines from exposing RDP/SSH ports to the outside world, while still providing secure access using RDP/SSH.

MimariArchitecture

Azure savunma dağıtımı, abonelik/hesap veya sanal makine başına değil, sanal ağ başına değildir.Azure Bastion deployment is per virtual network, not per subscription/account or virtual machine. Sanal ağınızda bir Azure savunma hizmeti sağladığınızda, RDP/SSH deneyimi aynı sanal ağdaki tüm VM 'leriniz için kullanılabilir.Once you provision an Azure Bastion service in your virtual network, the RDP/SSH experience is available to all your VMs in the same virtual network.

RDP ve SSH, Azure 'da çalışan iş yüklerinize bağlanmak için kullanabileceğiniz temel yollardan biridir.RDP and SSH are some of the fundamental means through which you can connect to your workloads running in Azure. RDP/SSH bağlantı noktalarının Internet üzerinden kullanıma sunulması istenmez ve önemli bir tehdit yüzeyi olarak görülür.Exposing RDP/SSH ports over the Internet isn't desired and is seen as a significant threat surface. Bunun nedeni genellikle protokol güvenlik açıklarına göre yapılır.This is often due to protocol vulnerabilities. Bu tehdit yüzeyini içermesi için, çevre ağınızın genel tarafında savunma Konakları (doğrudan geçiş sunucuları olarak da bilinir) dağıtabilirsiniz.To contain this threat surface, you can deploy bastion hosts (also known as jump-servers) at the public side of your perimeter network. Savunma ana bilgisayar sunucuları tasarlanmakta ve bağımsız saldırılara yönelik olarak yapılandırılmıştır.Bastion host servers are designed and configured to withstand attacks. Savunma sunucuları Ayrıca, savunma ve ağ içinde oturmuş iş yükleri için RDP ve SSH bağlantısı sağlar.Bastion servers also provide RDP and SSH connectivity to the workloads sitting behind the bastion, as well as further inside the network.

Azure savunma mimarisi

Bu şekilde, bir Azure savunma dağıtımının mimarisi gösterilmektedir.This figure shows the architecture of an Azure Bastion deployment. Bu diyagramda:In this diagram:

  • Savunma ana bilgisayarı, en az/27 ön eki olan AzureBastionSubnet alt ağını içeren sanal ağda dağıtılır.The Bastion host is deployed in the virtual network that contains the AzureBastionSubnet subnet that has a minimum /27 prefix.
  • Kullanıcı herhangi bir HTML5 tarayıcısı kullanarak Azure portal bağlanır.The user connects to the Azure portal using any HTML5 browser.
  • Kullanıcı, bağlanılacak sanal makineyi seçer.The user selects the virtual machine to connect to.
  • Tek bir tıklama ile, RDP/SSH oturumu tarayıcıda açılır.With a single click, the RDP/SSH session opens in the browser.
  • Azure VM 'de genel IP gerekli değildir.No public IP is required on the Azure VM.

Önemli özelliklerKey features

Aşağıdaki özellikler mevcuttur:The following features are available:

  • RDP ve SSH doğrudan Azure Portal: Yalnızca tek tıklamayla sorunsuz bir deneyim kullanarak doğrudan Azure portal RDP ve SSH oturumuna doğrudan ulaşabilirsiniz.RDP and SSH directly in Azure portal: You can directly get to the RDP and SSH session directly in the Azure portal using a single click seamless experience.
  • RDP/SSH IÇIN TLS üzerinden uzak oturum ve güvenlik duvarı geçişi: Azure savunma, yerel cihazınıza otomatik olarak akan bir HTML5 tabanlı Web istemcisi kullanır. böylece, 443 numaralı bağlantı noktasında RDP/SSH oturumunuzu güvenli bir şekilde çapraz bir şekilde gezme olanağı sağlar.Remote Session over TLS and firewall traversal for RDP/SSH: Azure Bastion uses an HTML5 based web client that is automatically streamed to your local device, so that you get your RDP/SSH session over TLS on port 443 enabling you to traverse corporate firewalls securely.
  • Azure VM 'de genel IP gerekmez: Azure savunma, sanal makinelinizdeki özel IP kullanarak Azure sanal makinenize yönelik RDP/SSH bağlantısını açar.No Public IP required on the Azure VM: Azure Bastion opens the RDP/SSH connection to your Azure virtual machine using private IP on your VM. Sanal makinenizde genel IP 'niz olması gerekmez.You don't need a public IP on your virtual machine.
  • NSG 'leri yönetmenin bir sorun yoktur: Azure savunma, Azure 'dan gelen ve RDP/SSH bağlantısı sağlayan güvenli bir platform PaaS hizmetidir.No hassle of managing NSGs: Azure Bastion is a fully managed platform PaaS service from Azure that is hardened internally to provide you secure RDP/SSH connectivity. Azure savunma alt ağında herhangi bir NSG uygulamanız gerekmez.You don't need to apply any NSGs on Azure Bastion subnet. Azure savunma, sanal makinelerinize özel IP üzerinden bağlandığından, NSG 'lerinizi yalnızca Azure 'dan gelen RDP/SSH 'ye izin verecek şekilde yapılandırabilirsiniz.Because Azure Bastion connects to your virtual machines over private IP, you can configure your NSGs to allow RDP/SSH from Azure Bastion only. Bu, sanal makinelerinize güvenli bir şekilde bağlanmak için gereken her seferinde NSG 'leri yönetmenin ne kadar olduğunu ortadan kaldırır.This removes the hassle of managing NSGs each time you need to securely connect to your virtual machines.
  • Bağlantı noktası taramaya karşı koruma: Sanal makinelerinizi ortak Internet 'e sunmak zorunda olmadığınızdan, VM 'niz, sanal ağınızın dışında bulunan standart dışı ve kötü amaçlı kullanıcılar tarafından bağlantı noktası taramaya karşı korunur.Protection against port scanning: Because you do not need to expose your virtual machines to public Internet, your VMs are protected against port scanning by rogue and malicious users located outside your virtual network.
  • Sıfır günlük saldırılara karşı koruma. Yalnızca bir yerde sağlamlaştırma: Azure savunma, tam platform tarafından yönetilen bir PaaS hizmetidir.Protect against zero-day exploits. Hardening in one place only: Azure Bastion is a fully platform-managed PaaS service. Sanal ağınızın çevre tarafında bulunduğundan, sanal ağınızdaki sanal makinelerin her birini sağlamlaştırma konusunda endişelenmeniz gerekmez.Because it sits at the perimeter of your virtual network, you don’t need to worry about hardening each of the virtual machines in your virtual network. Azure platformu, sizin için Azure savunma ve sürekli güncel tutarak, sıfır günlük güvenlik açıklarından yararlanmaya karşı koruma sağlar.The Azure platform protects against zero-day exploits by keeping the Azure Bastion hardened and always up to date for you.

Yenilikler nelerdir?What's new?

RSS akışına abone olun ve Azure Updates sayfasında en son Azure savunma özelliği güncelleştirmelerini görüntüleyin.Subscribe to the RSS feed and view the latest Azure Bastion feature updates on the Azure Updates page.

SSSFAQ

Azure ile bağlantı kurmak için sanal makinemde genel bir IP almam gerekir mi?Do I need a public IP on my virtual machine to connect via Azure Bastion?

Hayır.No. Azure savunma kullanarak bir VM 'ye bağlandığınızda, bağlandığınız Azure sanal makinesinde genel bir IP 'ye gerek kalmaz.When you connect to a VM using Azure Bastion, you don't need a public IP on the Azure virtual machine that you are connecting to. Savunma hizmeti, sanal ağınız dahilinde sanal makinenizin özel IP 'si üzerinden sanal makinenize yönelik RDP/SSH oturumu/bağlantısını açar.The Bastion service will open the RDP/SSH session/connection to your virtual machine over the private IP of your virtual machine, within your virtual network.

IPv6 destekleniyor mu?Is IPv6 supported?

Şu anda IPv6 desteklenmez.At this time, IPv6 is not supported. Azure savunma yalnızca IPv4 'Ü destekler.Azure Bastion supports IPv4 only.

RDP veya SSH istemcisine ihtiyacım var mı?Do I need an RDP or SSH client?

Hayır.No. Azure portal Azure sanal makinenize RDP/SSH 'ye erişmek için bir RDP veya SSH istemcisine ihtiyacınız yoktur.You don't need an RDP or SSH client to access the RDP/SSH to your Azure virtual machine in your Azure portal. Sanal makinenize doğrudan tarayıcıda RDP/SSH erişimi almanızı sağlamak için Azure Portal kullanın.Use the Azure portal to let you get RDP/SSH access to your virtual machine directly in the browser.

Azure sanal makinesinde çalışan bir aracıya ihtiyacım var mı?Do I need an agent running in the Azure virtual machine?

Hayır.No. Tarayıcınıza veya Azure sanal makinenize bir aracı ya da herhangi bir yazılımı yüklemeniz gerekmez.You don't need to install an agent or any software on your browser or your Azure virtual machine. Savunma hizmeti aracısız olur ve RDP/SSH için ek yazılım gerektirmez.The Bastion service is agentless and doesn't require any additional software for RDP/SSH.

Her bir Azure alımı kaç tane eş zamanlı RDP ve SSH oturumu destekler?How many concurrent RDP and SSH sessions does each Azure Bastion support?

Hem RDP hem de SSH, kullanım tabanlı bir protokoldür.Both RDP and SSH are a usage-based protocol. Oturumların yüksek kullanımı, savunma konağının daha düşük toplam oturum sayısını desteklemeye neden olur.High usage of sessions will cause the bastion host to support a lower total number of sessions. Aşağıdaki numaralar normal günlük iş akışlarını kabul eder.The numbers below assume normal day-to-day workflows.

KaynakResource SınırLimit
Eşzamanlı RDP bağlantılarının sayısıConcurrent RDP connections 25025*
Eşzamanlı SSH bağlantılarının sayısıConcurrent SSH connections 50 * *50**

* Diğer devam eden RDP oturumlarından veya diğer devam eden SSH oturumlarından dolayı değişiklik gösterebilir.*May vary due to other on-going RDP sessions or other on-going SSH sessions.
* * Var olan RDP bağlantıları veya diğer devam eden SSH oturumlarından kullanım kullanımı varsa farklılık gösterebilir.**May vary if there are existing RDP connections or usage from other on-going SSH sessions.

RDP oturumunda hangi özellikler destekleniyor?What features are supported in an RDP session?

Şu anda yalnızca metin kopyalama/yapıştırma işlemi desteklenir.At this time, only text copy/paste is supported. Dosya kopyalama gibi özellikler desteklenmez.Features, such as file copy, are not supported. Azure savunma geri bildirim sayfasındakiyeni özelliklerle ilgili görüşlerinizi paylaşabilirsiniz.Feel free to share your feedback about new features on the Azure Bastion Feedback page.

Savunma, sanal makine Uzantısı ile birleştirilmiş VM 'lerle çalışır mı?Does Bastion hardening work with AADJ VM extension-joined VMs?

Bu özellik, Azure AD kullanıcıları kullanan, ASıFATı VM uzantısına katılmış makinelerde çalışmaz.This feature doesn't work with AADJ VM extension-joined machines using Azure AD users. Daha fazla bilgi için bkz. Windows Azure VM 'leri ve Azure AD.For more information, see Windows Azure VMs and Azure AD.

Hangi tarayıcılar destekleniyor?Which browsers are supported?

Windows üzerinde Microsoft Edge tarayıcısını veya Google Chrome 'u kullanın.Use the Microsoft Edge browser or Google Chrome on Windows. Apple Mac için Google Chrome tarayıcısı ' nı kullanın.For Apple Mac, use Google Chrome browser. Microsoft Edge Kmıum, sırasıyla hem Windows hem de Mac 'te desteklenir.Microsoft Edge Chromium is also supported on both Windows and Mac, respectively.

Azure, müşteri verilerini nerede depolar?Where does Azure Bastion store customer data?

Azure savunma, müşteri verilerini dağıtıldığı bölgenin dışına taşımaz veya depolamaz.Azure Bastion doesn't move or store customer data out of the region it is deployed in.

Bir sanal makineye erişmek için gereken roller nelerdir?Are any roles required to access a virtual machine?

Bir bağlantı oluşturmak için aşağıdaki roller gereklidir:In order to make a connection, the following roles are required:

  • Sanal makinede okuyucu rolüReader role on the virtual machine
  • Sanal makinenin özel IP’si ile NIC’de okuyucu rolüReader role on the NIC with private IP of the virtual machine
  • Azure Bastion kaynağında okuyucu rolüReader role on the Azure Bastion resource

Fiyatlandırma nedir?What is the pricing?

Daha fazla bilgi edinmek için bkz. fiyatlandırma sayfası.For more information, see the pricing page.

Azure savunma, Azure 'da barındırılan VM 'lerde yönetim amacıyla bir RDS CAL gerektiriyor mu?Does Azure Bastion require an RDS CAL for administrative purposes on Azure-hosted VMs?

Hayır, Azure 'da Windows Server VM 'lerine erişim yalnızca yönetim amacıyla kullanıldığında bir RDS CAL gerektirmez.No, access to Windows Server VMs by Azure Bastion does not require an RDS CAL when used solely for administrative purposes.

Uzak oturum sırasında hangi klavye düzenleri desteklenir?Which keyboard layouts are supported during the Bastion remote session?

Azure savunma Şu anda VM 'nin içindeki en-US-QWERTY klavye yerleşimini desteklemektedir.Azure Bastion currently supports en-us-qwerty keyboard layout inside the VM. Klavye düzeni için diğer yerel ayarlara yönelik destek, devam etmekte olan çalışmadır.Support for other locales for keyboard layout is work in progress.

Kullanıcı tanımlı yönlendirme (UDR), bir Azure savunma alt ağında destekleniyor mu?Is user-defined routing (UDR) supported on an Azure Bastion subnet?

Hayır.No. UDR, bir Azure savunma alt ağında desteklenmez.UDR is not supported on an Azure Bastion subnet.

Aynı sanal ağda hem Azure savunma hem de Azure Güvenlik Duvarı/ağ sanal gereci (NVA) içeren senaryolarda, Azure savunma ve VM 'leriniz arasındaki iletişim özel olduğundan Azure savunma alt ağından Azure Güvenlik Duvarı 'na trafik zorlamaya gerek kalmaz.For scenarios that include both Azure Bastion and Azure Firewall/Network Virtual Appliance (NVA) in the same virtual network, you don’t need to force traffic from an Azure Bastion subnet to Azure Firewall because the communication between Azure Bastion and your VMs is private. Daha fazla bilgi için bkz. Azure Güvenlik duvarı arkasındaki sanal makinelere savunma Ile erişme.For more information, see Accessing VMs behind Azure Firewall with Bastion.

Savunma oturumu başlamadan önce "oturumunuzun süresi doldu" hata iletisini neden alıyorum?Why do I get "Your session has expired" error message before the Bastion session starts?

Bir oturum yalnızca Azure portal başlatılmalıdır.A session should be initiated only from the Azure portal. Azure portal oturum açın ve oturumunuzu yeniden başlatın.Sign in to the Azure portal and begin your session again. URL 'ye doğrudan başka bir tarayıcı oturumundan veya sekmesinden giderseniz, bu hata beklenmektedir.If you go to the URL directly from another browser session or tab, this error is expected. Oturumunuzun daha güvende olduğundan ve oturum yalnızca Azure portal aracılığıyla erişilebilmesini sağlamaya yardımcı olur.It helps ensure that your session is more secure and that the session can be accessed only through the Azure portal.

Dağıtım başarısızlıklarını Nasıl yaparım? mi?How do I handle deployment failures?

Tüm hata iletilerini gözden geçirin ve Azure Portal gerektiğinde bir destek talebi yükseltin .Review any error messages and raise a support request in the Azure portal as needed. Dağıtım sorunları , Azure abonelik sınırları, kotaları ve kısıtlamalarındankaynaklanabilir.Deployment failures may result from Azure subscription limits, quotas, and constraints. Özellikle, müşteriler, Azure savunma dağıtımının başarısız olmasına neden olan abonelik başına izin verilen genel IP adresi sayısında bir sınır ile karşılaşabilir.Specifically, customers may encounter a limit on the number of public IP addresses allowed per subscription that causes the Azure Bastion deployment to fail.

Olağanüstü durum kurtarma planmda Azure savunma Nasıl yaparım? eklensin mi?How do I incorporate Azure Bastion in my Disaster Recovery plan?

Azure savunma, VNET 'ler veya eşlenmiş VNET 'ler içinde dağıtılır ve bir Azure bölgesiyle ilişkilendirilir.Azure Bastion is deployed within VNets or peered VNets, and is associated to an Azure region. Azure savunma 'yi olağanüstü durum kurtarma (DR) site VNet 'e dağıtmaya sorumlusunuz.You are responsible for deploying Azure Bastion to a Disaster Recovery (DR) site VNet. Bir Azure bölgesi arızası durumunda, VM 'niz için DR bölgesine bir yük devretme işlemi gerçekleştirin.In the event of an Azure region failure, perform a failover operation for your VMs to the DR region. Daha sonra, burada dağıtılan VM 'lere bağlanmak için DR bölgesinde dağıtılan Azure savunma konağını kullanın.Then, use the Azure Bastion host that's deployed in the DR region to connect to the VMs that are now deployed there.

Sonraki adımlarNext steps