Share via

Sanal makine uzaktan erişimini planlama

  • Makale

Bu makalede, Azure giriş bölgeleri mimarisinde dağıtılan sanal makinelere (VM) uzaktan erişim sağlamaya yönelik önerilen yönergeler açıklanır.

Azure, VM'lere uzaktan erişim sağlamak için farklı teknolojiler sunar:

  • Bir hizmet olarak platform (PaaS) çözümü olan Azure Bastion, Windows iş istasyonlarındaki yerel SSH/RDP istemcisi aracılığıyla vm'lere bir tarayıcı üzerinden erişmeye veya şu anda önizleme aşamasındadır
  • Bulut için Microsoft Defender aracılığıyla tam zamanında (JIT) erişim sağlanır
  • Azure ExpressRoute ve VPN'ler gibi karma bağlantı seçenekleri
  • Doğrudan VM'ye veya Bir Azure genel yük dengeleyici aracılığıyla NAT kuralı aracılığıyla eklenen genel IP

Hangi uzaktan erişim çözümünün en uygun olduğu ölçek, topoloji ve güvenlik gereksinimleri gibi faktörlere bağlıdır.

Tasarım konusunda dikkat edilmesi gerekenler

  • Kullanılabilir olduğunda, şirket içinden Windows ve Linux Azure VM'lerine uzaktan erişim sağlamak için ExpressRoute veya S2S/P2S VPN bağlantıları aracılığıyla Azure sanal ağlarına mevcut karma bağlantıyı kullanabilirsiniz.
  • NSG'ler, Azure VM'lerine yönelik SSH/RDP bağlantılarının güvenliğini sağlamak için kullanılabilir.
  • JIT, başka bir altyapı dağıtmak zorunda kalmadan İnternet üzerinden uzaktan SSH/RDP erişimine izin verir.
  • JIT erişimiyle ilgili bazı kullanılabilirlik sınırlamaları vardır.
    • JIT erişimi, Azure Güvenlik Duvarı Yöneticisi tarafından denetlenen Azure güvenlik duvarları tarafından korunan VM'ler için kullanılamaz.
  • Azure Bastion ek bir denetim katmanı sağlar. Güvenli bir TLS kanalı üzerinden önizlemede doğrudan Azure portal veya yerel istemciden VM'lerinize güvenli ve sorunsuz RDP/SSH bağlantısı sağlar. Azure Bastion ayrıca hibrit bağlantı gereksinimini de azaltır.
  • Azure Bastion yapılandırma ayarları hakkında bölümünde açıklandığı gibi gereksinimlerinize göre kullanılacak uygun Azure Bastion SKU'yu göz önünde bulundurun.
  • Hizmetle ilgili sık sorulan soruların yanıtları için Azure Bastion SSS bölümünü gözden geçirin.
  • Azure Bastion, Azure Sanal WAN topolojisinde kullanılabilir ancak bazı sınırlamalar vardır:
    • Azure Bastion, Sanal WAN bir sanal hub'ın içinde dağıtılamaz.
    • Azure Bastion SKU'yu Standard kullanmalıdır ve ayrıca özelliğin IP based connection Azure Bastion kaynağında etkinleştirilmesi gerekir. Bkz. Azure Bastion IP tabanlı bağlantı belgeleri
    • Azure Bastion, Sanal WAN bağlı herhangi bir uç sanal ağına, Sanal Makineler, kendi içinde veya aynı Sanal WAN bağlı diğer sanal ağlara, ilişkili hub'ları aracılığıyla, Sanal WAN sanal ağ bağlantıları aracılığıyla dağıtılabilir; yönlendirmenin doğru yapılandırılmasını sağlar.

İpucu

Azure Bastion IP tabanlı bağlantı, Azure Bastion kaynağı ile bağlanmak istediğiniz makine arasında karma bağlantı kurulması koşuluyla şirket içi makinelere de bağlantı sağlar. Bkz. Portal üzerinden belirtilen özel IP adresi aracılığıyla vm'ye bağlanma

Tasarım önerileri

  • ExpressRoute veya VPN bağlantıları aracılığıyla şirket içinden erişilebilen Azure VM'lerine uzaktan erişim sağlamak için mevcut ExpressRoute veya VPN bağlantısını kullanın.
  • İnternet üzerinden Sanal Makineler uzaktan erişimin gerekli olduğu Sanal WAN tabanlı bir ağ topolojisinde:
    • Azure Bastion, ilgili VM'lerin her uç sanal ağına dağıtılabilir.
    • İsterseniz, Şekil 1'de gösterildiği gibi Sanal WAN topolojinizdeki tek bir uçta merkezi bir Azure Bastion örneği dağıtmayı da seçebilirsiniz. Bu yapılandırma, ortamınızda yönetilmesi gereken Azure Bastion örneklerinin sayısını azaltır. Bu senaryo, Azure Bastion aracılığıyla Windows ve Linux VM'lerinde oturum açan kullanıcıların Azure Bastion kaynağında ve seçilen uç sanal ağında okuyucu rolüne sahip olmasını gerektirir. Bazı uygulamalarda bunu kısıtlayan veya engelleyen güvenlik veya uyumluluk konuları olabilir.
  • İnternet üzerinden Azure Sanal Makineler uzaktan erişimin gerekli olduğu merkez-uç ağ topolojisinde:
    • Merkez sanal ağında tek bir Azure Bastion konağı dağıtılabilir ve bu da sanal ağ eşlemesi aracılığıyla uç sanal ağlardaki Azure VM'lerine bağlantı sağlayabilir. Bu yapılandırma, ortamınızda yönetilmesi gereken Azure Bastion örneklerinin sayısını azaltır. Bu senaryo, Azure Bastion aracılığıyla Windows ve Linux VM'lerinde oturum açan kullanıcıların Azure Bastion kaynağında ve merkez sanal ağında okuyucu rolüne sahip olmasını gerektirir. Bazı uygulamalarda güvenlik veya uyumluluk konusunda dikkat edilmesi gereken noktalar olabilir. Bkz. Şekil 2.
    • Ortamınız kullanıcılara Azure Bastion kaynağında ve merkez sanal ağında okuyucu rol tabanlı erişim denetimi (RBAC) rolü verilmesine izin vermeyebilir. Uç sanal ağındaki VM'lere bağlantı sağlamak için Azure Bastion Basic veya Standard kullanın. Uzaktan erişim gerektiren her uç sanal ağına ayrılmış bir Azure Bastion örneği dağıtın. Bkz. Şekil 3.
  • Azure Bastion'ı ve bağlantı sağladığı VM'leri korumak için NSG kurallarını yapılandırın. Azure Bastion'da VM'ler ve NSG'lerle çalışma başlığındaki yönergeleri izleyin.
  • Merkezi Log Analytics çalışma alanına gönderilecek Azure Bastion tanılama günlüklerini yapılandırın. Azure Bastion kaynak günlüklerini etkinleştirme ve bunlarla çalışma başlığındaki yönergeleri izleyin.
  • Azure Bastion aracılığıyla VM'lere bağlanan kullanıcılar veya gruplar için gerekli RBAC rol atamalarının yapıldığından emin olun.
  • Linux VM'lerine SSH aracılığıyla bağlanıyorsanız Azure Key Vault'de depolanan özel anahtarı kullanarak bağlanma özelliğini kullanın.
  • Acil durum cam erişimi gibi belirli gereksinimleri karşılamak için Azure Bastion ve ExpressRoute veya VPN erişimi dağıtın.
  • Doğrudan VM'lere bağlı genel IP'ler aracılığıyla Windows ve Linux VM'lerine uzaktan erişim önerilmez. Uzaktan erişim katı NSG kuralları ve güvenlik duvarı olmadan hiçbir zaman dağıtılmamalıdır.

Azure sanal WAN topolojisi gösteren diyagram.

Şekil 1: Azure Sanal WAN topolojisi.

Azure merkez-uç topolojisi gösteren diyagram.

Şekil 2: Azure merkez-uç topolojisi.

Azure tek başına sanal ağ topolojisi gösteren diyagram.

Şekil 3: Azure tek başına sanal ağ topolojisi.