Az Azure Bastion tervezési architektúrája
Az Azure Bastion a kiválasztott termékváltozattól és beállításkonfigurációktól függően több üzembehelyezési architektúrát is kínál. A legtöbb termékváltozat esetében a Bastion egy virtuális hálózaton van üzembe helyezve, és támogatja a virtuális hálózatok közötti társviszony-létesítést. Az Azure Bastion a helyi vagy társhálózati virtuális hálózatokban létrehozott virtuális gépekhez való RDP-/SSH-kapcsolatot kezeli.
Az RDP és az SSH az alapvető eszközök egyike, amelyen keresztül csatlakozhat az Azure-ban futó számítási feladatokhoz. Az RDP-/SSH-portok interneten keresztüli felfedése nem kívánatos, és jelentős fenyegetési felületnek tekinthető. Ez gyakran a protokoll biztonsági réseinek köszönhető. A fenyegetési felület tárolásához üzembe helyezhet megerősített gazdagépeket (más néven ugrókiszolgálókat) a szegélyhálózat nyilvános oldalán. A Bastion gazdagépkiszolgálókat úgy tervezték és konfigurálták, hogy ellenálljon a támadásoknak. A Bastion-kiszolgálók RDP- és SSH-kapcsolatot is biztosítanak a megerősített környezet mögött található számítási feladatokhoz, valamint a hálózaton belül is.
A Bastion üzembe helyezésekor kiválasztott termékváltozat határozza meg az architektúrát és az elérhető funkciókat. A további funkciók támogatásához frissíthet egy magasabb termékváltozatra, de az üzembe helyezés után nem állíthat le termékváltozatot. Bizonyos architektúrákat, például a csak privát és a fejlesztői termékváltozatot az üzembe helyezéskor kell konfigurálni.
Üzembe helyezés – Alapszintű termékváltozat és magasabb szintű
Az alapszintű termékváltozat vagy magasabb szintű használat során a Bastion az alábbi architektúrát és munkafolyamatot használja.
- A Bastion-gazdagép az AzureBastionSubnet alhálózatot tartalmazó virtuális hálózaton van üzembe helyezve, amely legalább /26 előtaggal rendelkezik.
- A felhasználó bármely HTML5-böngészővel csatlakozik az Azure Portalhoz, és kiválasztja a virtuális gépet, amelyhez csatlakozni szeretne. Az Azure-beli virtuális gépen nincs szükség nyilvános IP-címre.
- Az RDP/SSH-munkamenet egyetlen kattintással megnyílik a böngészőben.
Bizonyos konfigurációk esetén a felhasználó a natív operációsrendszer-ügyfélen keresztül csatlakozhat a virtuális géphez.
A konfigurálási lépéseket lásd:
- Bastion automatikus üzembe helyezése – Csak alapszintű termékváltozat
- A Bastion üzembe helyezése manuálisan megadott beállításokkal
Üzembe helyezés – Fejlesztői termékváltozat
A Bastion Developer termékváltozat egy ingyenes, könnyű termékváltozat. Ez az termékváltozat ideális azoknak a fejlesztői/tesztelési felhasználóknak, akik biztonságosan szeretnének csatlakozni a virtuális gépeikhez, de nincs szükségük további Bastion-funkciókra vagy gazdagépméretezésre. A fejlesztői termékváltozattal egyszerre egy Azure-beli virtuális géphez csatlakozhat közvetlenül a virtuális gép csatlakoztatási oldalán keresztül.
Ha a Bastiont a fejlesztői termékváltozat használatával telepíti, az üzembe helyezési követelmények eltérnek attól, hogy más termékváltozatokkal telepít. A megerősített gazdagépek létrehozásakor általában egy gazdagép lesz üzembe helyezve a virtuális hálózaton található AzureBastionSubneten. A Bastion-gazdagép dedikált az Ön számára. A fejlesztői termékváltozat használatakor a megerősített gazdagép nincs üzembe helyezve a virtuális hálózaton, és nincs szüksége AzureBastionSubnetre. A fejlesztői termékváltozat-tároló gazdagép azonban nem dedikált erőforrás. Ehelyett egy megosztott készlet része.
Mivel a fejlesztői termékváltozat megerősített erőforrása nem dedikált, a fejlesztői termékváltozat funkciói korlátozottak. Az SKU által felsorolt funkciókért tekintse meg a Bastion konfigurációs beállítások termékváltozata című szakaszt. Ha további funkciókat szeretne támogatni, mindig frissítheti a fejlesztői termékváltozatot egy magasabb termékváltozatra. Lásd: Termékváltozat frissítése.
A fejlesztői termékváltozatról további információt az Azure Bastion üzembe helyezése – Fejlesztői termékváltozat című témakörben talál.
Üzembe helyezés – Csak privát
A csak privát Bastion-üzemelő példányok teljes körűen zárolják a számítási feladatokat a Bastion nem internetes, nem internetes környezetének létrehozásával, amely csak a privát IP-címek elérését teszi lehetővé. A csak privát Bastion-telepítések nem teszik lehetővé a megerősített gazdagéphez való csatlakozást nyilvános IP-címen keresztül. Ezzel szemben a rendszeres Azure Bastion-üzembe helyezés lehetővé teszi a felhasználók számára, hogy nyilvános IP-címmel csatlakozzanak a megerősített gazdagéphez.
Az ábrán a Bastion csak privát üzembehelyezési architektúrája látható. Az Azure-hoz az ExpressRoute privát társviszony-létesítésen keresztül csatlakozó felhasználók biztonságosan csatlakozhatnak a Bastionhoz a bastion-gazdagép privát IP-címével. A Bastion ezután privát IP-címmel létesíthet kapcsolatot egy olyan virtuális géppel, amely ugyanazon a virtuális hálózaton belül található, mint a megerősített gazdagép. A csak privát Bastion-üzemelő példányokban a Bastion nem engedélyezi a kimenő hozzáférést a virtuális hálózaton kívül.
Szempontok:
A csak privát Bastion az üzembe helyezéskor van konfigurálva, és prémium termékváltozat-szintet igényel.
A szokásos Bastion-telepítésről nem válthat csak privát üzembe helyezésre.
Ha csak privát Bastiont szeretne üzembe helyezni egy olyan virtuális hálózaton, amely már rendelkezik Bastion-telepítéssel, először távolítsa el a Bastiont a virtuális hálózatból, majd telepítse újra a Bastiont magánhálózatként. Nem kell törölnie és újra létrehoznia az AzureBastionSubnetet.
Ha végpontok közötti privát kapcsolatot szeretne létrehozni, az Azure Portalon keresztüli csatlakozás helyett a natív ügyféllel csatlakozzon.
Ha az ügyfélszámítógép helyszíni és nem Azure-beli, akkor expressRoute-t vagy VPN-t kell üzembe helyeznie, és engedélyeznie kell az IP-alapú kapcsolatot a Bastion-erőforráson
A csak magánhálózati üzemelő példányokról további információt a Bastion privátként történő üzembe helyezése című témakörben talál.