azure 使用
随着公共云的成熟,我们显然需要新的系统和应用程序管理工具层。 云,无论是公共云,私有云还是混合云,都取决于一件事:远离底层物理基础架构的应用层抽象。 应用程序不再需要考虑底层的物理硬件。 所需要的只是托管的PaaS环境或特定于应用程序的虚拟基础架构。
这种变化已经发生,并且那些新的管理工具开始出现。 除了基本管理之外,它们还提出了一系列新问题:它们是为谁服务的,以及我们如何将其构建到工作流中? 它们是重要的问题,似乎在我们的开发团队中暗示了一个新角色。 这是我们还没有的名字,这个角色位于新的基础架构运营商和应用程序团队之间,负责管理PaaS和虚拟基础架构,与传统系统管理员相比,与应用程序的关系更加紧密。
虚拟基础架构是一个重大问题,因为它们需要与本地基础架构一样多的管理和监视。 在本地,您可以进入数据中心,并使用机架内KVM切换器将键盘和屏幕快速挂接到服务器,或使用内置的熄灯管理工具快速访问服务器的配置。 您甚至可能拥有专用的管理网络,其服务器配置为仅允许终端访问组织内的用户。
我们如何安全地管理Azure基础结构?
在像Azure这样的公共云中,这些工具不再可用。 您的整个基础架构是虚拟机和虚拟设备。 Azure门户为您提供了一些管理功能,当您需要快速管理单个虚拟服务器时,可以通过远程桌面访问浏览器中的服务器。 在更大的范围内,您可以使用Azure的VNet工具来访问服务器,但是始终存在不小心公开管理IP或对Windows Server或Linux管理工具进行SSL访问的公共IP地址的风险。
我们采用了在数据中心使用了数十年的工具和方法,然后将它们简单地提升并转移到了云中。 最好甚至将Azure Portal中的虚拟机工具都视为对熟悉的桌面管理服务的更新。 那么,我们如何才能采用更加注重云的方法来使用云基础架构呢?
微软已经开始考虑这一问题, Azure Arc之类的工具就是使用云工具来管理内部部署的一种解决方案。 它在公共云Kubernetes分布式应用程序空间中对HashiCorp和其他文件的支持是另一个答案。 另一个选择是Azure Bastion ,它是与虚拟机的无VPN连接,这意味着您不必向世界公开公共管理IP地址。
被描述为Microsoft自己的Windows远程桌面协议和更广泛使用的SSL的“托管PaaS服务”,Azure Bastion在Azure虚拟网络和您的浏览器之间架起了一座桥梁,用于承载管理应用程序。 安装到位后,您可以直接访问虚拟基础架构,就像使用PC或笔记本电脑上的SSH客户端或远程桌面一样。
对于外部世界,Azure Bastion连接看起来像是到Azure Portal的SSL连接,路由到与虚拟机在同一VNet中运行的强化虚拟设备。 它可以访问您分配给服务器的专用IP地址,而不会将其公共IP地址暴露给外界。 所有连接都是通过Azure门户协商的 。 您只需要为每个虚拟基础架构设置一次堡垒,由Azure处理所有更新。 一旦安装并运行了Bastion,就无需管理它,因此您可以集中精力管理应用程序的虚拟机。
设置Azure堡垒
Azure Bastion入门相对简单。 在目录市场的网络部分中,使用Microsoft Bastion服务从Azure市场创建新资源。 这将打开您的堡垒实例的配置页面,您可以在其中将其添加到现有订阅和资源组中。 然后设置将要使用的虚拟网络,同时创建一个命名子网。 最后,配置一个公共IP地址,该IP地址将用于与Bastion虚拟设备的SSL连接。
Azure堡垒子网是该服务的重要组成部分,因为它是唯一可以在该网络中部署的服务。 如果使用的是Azure防火墙,请注意不要将其与防火墙的路由表关联,否则可能会阻止对该服务的访问。 当您使用Azure堡垒控制与服务器的管理连接时,它降低了防火墙规则和路由的复杂性,使您可以集中精力保护服务器到服务器和服务器到Internet的通信。
如果您已经拥有要通过Azure Bastion管理的虚拟机,则安装将变得更加容易。 您所需要做的就是建立与服务器的堡垒连接,为其提供名称,子网名称以及公共IP地址。 填写详细信息后,请等待五分钟左右,以使Azure完成对堡垒的配置,然后从Azure门户建立连接。
使用Azure堡垒连接到Linux和Windows
Azure上有很多Linux虚拟机,因此看到Azure Bastion 提供到Linux VM的SSH连接也就不足为奇了。 Azure Bastion设备不需要任何其他配置。 您仅需要适当的Azure角色即可连接到VM:VM上,其网络连接上以及您的堡垒上。 具备这些角色后,您可以使用用户名和密码或SSH密钥进行连接。 如果您打算使用SSH密钥进行连接,则需要确保已在虚拟机上配置了SSH密钥,否则,只能使用用户名和密码。
通过SSH使用用户名和密码非常容易。 在Azure门户中单击connect,它将在浏览器中打开SSH客户端。 无需安装客户端软件。 微软在浏览器中的终端体验与台式机应用程序一样好,并且在Linux系统上运行良好。 Windows系统通过Windows远程桌面的浏览器版本进行管理 。
堡垒中仍然缺少某些功能。 当前仅支持基本的SSH和RDP连接,因此您无法利用文件传输或更新的系统管理工具(例如Windows Admin Center)。 如果您要从构建系统中将应用程序部署为完整的基础结构,并且只需要使用Bastion来执行基本的管理和监视任务,那么问题就不会那么多了。
当您需要命令行来检查应用程序配置以及不能直接使用Azure门户的地方时,Azure Bastion是用于快速修复系统管理的有用工具。 借助对SSH和RDP的支持,您可以执行大多数基本操作。 有趣的是,Microsoft是否扩展了Azure堡垒以提供对Azure门户外部工具的支持,从而为您提供了比终端或远程桌面更安全的使用途径。
翻译自: https://www.infoworld.com/article/3512577/get-started-with-azure-bastion.html
azure 使用
1543
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
