Azure bastion 创建及通过 Bastion 访问VM

最新推荐文章于 2024-06-07 13:00:00 发布
最新推荐文章于 2024-06-07 13:00:00 发布
阅读量145 收藏
点赞数
分类专栏: Azure AzureBastion 文章标签: azure microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lisong315389/article/details/131680334
版权

AzureBastion介绍及应用

AzureBastion 介绍

AzureBastion 是什么?

Azure Bastion 服务是的一种新型的完全托管平台 PaaS 服务,可在虚拟网络中进行预配。
可通过 SSL 直接在 Azure 门户中实现与虚拟机之间的安全、无缝 RDP/SSH连接。 在你通过 Azure Bastion 连接时,你的虚拟机无需公共 IP 地址。

AzureBastion作用?

Bastion 为预配它的虚拟网络中的所有 VM 提供安全的 RDP 和 SSH 连接。
使用 Azure Bastion 可防止虚拟机向外部公开 RDP/SSH 端口,同时仍然使用 RDP/SSH 提供安全访问。
使用 Azure Bastion,可直接从 Azure 门户连接到虚拟机。 无需额外的客户端、代理或软件。

为什么要用AzureBastion?

我们在使用Azure虚拟机的时候,会经常使用Linux SSH 22或者Windows RDP 3389端口号,访问微软云上的虚拟机。
但是把22端口或者3389端口暴露在Internet上是非常危险的,黑客会通过攻击这些端口号对Azure虚拟机进行攻击。 
通过使用Azure Bastion服务,我们可以通过浏览器的网页和Azure门户连接到Azure虚拟机。且Azure虚拟机无需开启公网IP地址,也不需要公开RDP/SSH 端口。

AzureBastion体系结构图

在这里插入图片描述

AzureBastion SKU

SKU 也称为“层”。
Azure Bastion 支持两种 SKU 类型:“基本”和“标准”。
SKU 是在执行工作流期间配置 Bastion 时在 Azure 门户中配置的。 可以将基本 SKU 升级到标准 SKU。

SKU可用性

• 基本 SKU 提供基本功能,使 Azure Bastion 能够管理与虚拟机 (VM) 的 RDP/SSH 连接,而无需在目标应用程序 VM 上公开公共 IP 地址。
• 标准 SKU 支持高级功能。
• 相应的SKU的功能可用性如图;
在这里插入图片描述

实例和主机缩放

在这里插入图片描述

AzureBastion 配置

AzureBastion 子网

Azure Bastion 需要一个专用子网:AzureBastionSubnet。 必须在要将 Azure Bastion 部署到的同一虚拟网络中创建此子网。 该子网必须采用以下配置:
子网名称必须是 AzureBastionSubnet。
子网大小必须为 /26 或更大(/25、/24 等)。
要进行主机缩放,建议使用 /26 或更大的子网。 使用较小的子网空间会限制缩放单元的数量。 有关详细信息,请参阅本文的主机缩放部分。
在这里插入图片描述

公共IP地址

Azure Bastion 需要一个公共 IP 地址。 该公共 IP 必须采用以下配置:
• 公共 IP 地址 SKU 必须为“标准”。
• 公共 IP 地址分配方法必须为“静态”。
• 公共 IP 地址名称是要用于引用此公共 IP 地址的资源名称。
• 可以选择使用已创建的公共 IP 地址,前提是该地址符合 Azure Bastion 所需的条件,并且未被使用

VNet对等互联和Azure Bastion

在虚拟网络中预配 Azure Bastion 服务后,同一 VNet 和对等互连的 VNet 中所有的 VM 均可获得 RDP/SSH 体验。 这就意味着,可以将 Bastion 部署合并到一个 VNet,而仍然可以访问对等互连的 VNet 中部署的 VM,集中进行总体部署。

VNet Peered and Azure Bastion 结构图

在这里插入图片描述

使用NSG访问和Azure Bastion

我们使用NSG时可以使用网络安全组进行控制访问。
在这里插入图片描述

网络安全组规则

如果选择在 Azure Bastion 资源中使用 NSG,则必须创建以下所有入口和出口流量规则。 在 NSG 中省略以下任何规则将阻止 Azure Bastion 资源在将来接收必要的更新,使资源受到未来安全漏洞的威胁。
在这里插入图片描述
在这里插入图片描述

定价

Azure Bastion 定价是基于 SKU、实例(缩放单元)以及数据传输速率的小时定价组合。 小时定价从部署 Bastion 的时刻开始计算,而无论出站数据的使用情况如何。
在这里插入图片描述

Azure Bastion示例

1.创建Azure Bastion,选取之前的订阅和资源组,然后输入AzureBastion的名称,网络我们这里选取之前创建虚拟机的虚拟网络。虚拟机创建见文档VM创建
注:(在这篇文章的基础上我们需要把虚拟机的公共IP删掉)
在这里插入图片描述
2.我们会发现没有子网可以选择,这是因为微软规定Bastion的网络必须名为“Azure Bastion Subnet”而且至少为26位。这里我们点击管理子网配置,然后只需要在名称上面输入“AzureBastionSubnet”然后点击保存就可以了。
在这里插入图片描述
3.我们返回创建Bastion,这是我们发现子网可以选择了就是我们刚刚创建的子网。
在这里插入图片描述
4.最后我们直接默认后面的设置,点击创建即可。
在这里插入图片描述
在这里插入图片描述
5.我们转到虚拟机,然后点击连接,选择Bastion选项,然后点击使用Bastion按钮。
在这里插入图片描述
6.然后我们输入用户名和密码,点击连接。
在这里插入图片描述
最后我们在浏览器中通过Bastion连接到了虚拟机。
在这里插入图片描述

小松很努力
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Azure Bastion
qq_42261580的博客
07-12 299
一、Azure Bastion的主要作用 Azure Bastion可以替代jumpboxs,实现Azure门户到Azure VM的安全远程连接。 二、Azure Bastion的使用方式 将Azure Bastion添加到与Azure VM相同的Azure虚拟网络或对等虚拟网络,这样就可以实现从Azure门户连接到该虚拟网络或对等虚拟网络上的任何Azure VM。 三、每一个Azure VM有私有的RDP端口和SSH端口或公共IP地址,这样Azure门户中就无法直接与Azure VM进行RDP和S
Azure Bastion 堡垒机
qq_24550639的博客
10-21 1066
Azure Bastion Mooncake 可用性 如图所示,Azure Bastion 在中国北2和中国东2可用。 什么是 Azure Bastion Azure 堡垒机是一种可以让你用浏览器或者Azure门户网站来连接虚拟机的服务。Azure Bastion 全托管的PaaS服务,在虚拟网络内部进行使用。 Azure 堡垒机直接通过TLS,从Azure门户网站提供安全无缝的RDP/SSH连接。当用Azure 堡垒机进行连接登录时,虚拟机不需要公共IP地址,也不需要代理,也不需要专门的客户端软件。 堡
快速入门:使用 Azure CLI 创建公共负载均衡器以对 VM 进行负载均衡
shenghuiping2001的专栏
01-19 314
今天联系使用CLI 来创建balancor 对VM进行均衡测试: 先看一下测试图: 1:建资源组: az group create \ --name CreatePubLBQS-rg \ --location eastus 2:配置虚拟网络 - 标准: 命名为“myVNet”。 地址前缀为 10.1.0.0/16。 子网命名为“myBackendSubnet”。 子网前缀为 10.1.0.0/24。 在“CreatePubLBQS-rg”资源组中。 eastus 的位...
Azure 机器学习 - 如何使用模板创建安全工作区
TechLead的专栏
11-11 2049
本教程介绍如何使用 [Microsoft Bicep]和 [Hashicorp Terraform]模板创建以下 Azure 资源
IBM Cloud命令行使用指南(调用RestAPI创建VPC环境)
koolincn的专栏
09-10 923
VPC公共网络和私有网络划分 本篇将指导您创建自己的IBM Cloud™ Virtual Private Cloud (VPC)环境,该环境是一个具有多个子网,并在每个子网中有一个虚拟服务器实例(VSI)的虚拟私有云。VPC是您自己的私有云,位于共享云基础设施上,与其他虚拟网络进行逻辑隔离。 子网是一段IP地址范围。它绑定到单个区域,不能跨越多个Zones或Regions。对于专有网络而言,子网的一个重要特征是子网之间可以相互隔离,也可以按照通常的方式互连。子网隔离可以由充当防火墙的安全组来完成,这.
Azure Bastion的简单使用
Da_Zhuang的博客
08-18 457
Azure Bastion 是一个提供安全远程连接到 Azure 虚拟机(VM)的服务。传统上,访问 VM 需要使用公共 IP 或者设立 VPN 连接,这可能存在一些安全风险。Azure Bastion 提供了一种更安全的方式,它是一个托管的 PaaS(Platform-as-a-Service)服务,通过 SSL 加密的 RDP/RDC(Remote Desktop Protocol)和 SSH(Secure Shell)协议来连接到 Azure VM
如何理解AWS 网络,如何创建一个多层安全网络架构
baozuanqi5444的博客
06-23 270
一、要求 创建一个三层网络架构,服务器只能通过跳板机连接; web 服务器只能由跳板机连接,80 端口只能由 ELB 访问,服务器不分配公网IP,外网连接通过 NAT; 数据库服务器只能由 web 服务器连接 3306 端口; 服务器分布在多 AZ。 网络架构图 网络各组件关系 组件包括 NACL,Route,Security Group,Internet Gateway,NAT Gatew...
Azure Bastion- 安全的连接到虚拟机
yushuzhen2008的博客
03-13 448
本节介绍如下内容: 1. 什么是Azure Bastion,它的主要用途; 2. 案例:通过Azure Bastion 连接虚拟机 创建虚拟网络,必须包含子网 AzureBastionSubnet, 地址必须使用至少/27 或更大(/27、/26 等)的子网。 在该虚拟网络下创建Windows 虚拟机以做测试,注意,创建虚拟机时不...
Azure VM 配置Antimalware1
08-08
Azure VM 配置Antimalware1
使用Azure门户创建Express Route1
08-08
第二步:Azure门户配置对等互联 第三步:Azure门户创建虚拟网络,并为该虚拟网络创建Express Route网关 第四步:将VNET Gateway链接
azure-vm
03-08
介绍该模板可用于在上安装 。预装Ubuntu虚拟机阿帕奇2 PHP 7.4 MySQL服务器5.7接触如果您对此服务有任何疑问,请随时通过与我们的销售部门联系。
使用Terraform创建Azure虚拟机
04-04
使用Terraform创建Azure虚拟机
天蓝色:用于Microsoft AzureVM系列ARM模板
02-01
适用于Microsoft AzureVM系列 这是Azure资源管理器(ARM)模板的存储库,用于将Palo Alto Networks的VM系列下一代防火墙部署到Azure公共云中。 : 自带许可证 即用即付(PAYG)每小时和 文献资料 注意: 部署...
AzSubEnum:针对Azure服务的子域名枚举查询工具
FreeBuf_的博客
06-03 807
AzSubEnum主要通过利用DNS解析技术和系统排列组合方法来尝试识别与Azure服务相关的子域名信息,例如Azure应用程序服务、存储帐户、Azure数据库(包括MSSQL、Cosmos DB和Redis)、密钥库、CDN、电子邮件、SharePoint和Azure容器注册表等。在该工具的帮助下,广大研究人员可以在目标Azure环境中执行完整详尽的子域名枚举任务,以提供深入了解Azure服务及其相关子域名概况的广阔视角。-b BASE, --base BASE 要使用的种子名称。
Windows 11广告植入“另辟蹊径”:PC Manager暗示若不使用必应搜索,你的系统可能需要“修复”
最新发布
leyang0910的博客
06-07 445
Edge浏览器近期增添了许多实用的新功能,如侧边栏、休眠标签页和沉浸式阅读器。话虽如此,浏览器中仍有一部分功能被部分用户视为“冗余软件”和不必要的累赘。随着Windows 11用户逐渐习惯操作系统关键位置出现越来越多的广告,微软似乎正尝试以推荐的形式悄然加入另一种广告。这一次,这家软件巨头正通过PC Manager工具试探性地提示用户,通过恢复微软的默认搜索引擎必应来“修复”系统。PC Manager是微软在全球某些地区提供的一个实用工具,它帮助用户管理系统存储和文件管理,能有效优化PC性能。
UML图(软件设计师)
有用知识
06-06 819
UML(统一建模语言,Unified Modeling Language)是一种标准的图形化建模语言,用于可视化、描述、构造和记录软件系统的各个部分。它帮助开发人员和系统架构师在软件开发过程中表达设计和体系结构。UML不是一种编程语言,而是用来创建模型的语言。以下是UML的一些主要方面:UML的主要图表类型UML包含许多图表,可以分为两大类:结构图和行为图。
【Qt知识】部分QWidget属性表格
restore_1的博客
06-06 874
是Qt库中所有图形用户界面组件的基类,它提供了大量属性以供自定义和配置控件的行为和外观。下面列出了一些主要的。控件的模态级别,确定控件如何与其他窗口交互。控件的边框形状,如果控件是一个QFrame。控件的边框阴影,如果控件是一个QFrame。控件的尺寸策略,决定控件如何响应布局变化。如果控件显示图标,此属性定义图标的大小。CSS样式的字符串,用于设置控件的样式。控件的窗口标志,影响窗口的行为和外观。控件的辅助技术名称,用于无障碍访问。控件的标题,如果控件是一个顶级窗口。控件的图标,如果控件是一个顶级窗口。
Flink协调器Coordinator及自定义Operator
shirukai
06-06 947
最近的项目开发过程中,使用到了Flink中的协调器以及自定义算子相关的内容,本篇文章主要介绍Flink中的协调器是什么,如何用,以及协调器与算子间的交互。
可能导致Azure VM重新启动的操作和事件
07-08
有几种操作和事件可能导致Azure虚拟机(VM)重新启动: 1. 手动重启:用户可以通过Azure管理门户、Azure CLI或API手动重启虚拟机。这通常是为了解决问题、应用更新或执行维护操作。 2. 正常计划事件:Azure可能会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小松很努力

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值