AzureBastion介绍及应用
AzureBastion 介绍
AzureBastion 是什么?
Azure Bastion 服务是的一种新型的完全托管平台 PaaS 服务,可在虚拟网络中进行预配。
可通过 SSL 直接在 Azure 门户中实现与虚拟机之间的安全、无缝 RDP/SSH连接。 在你通过 Azure Bastion 连接时,你的虚拟机无需公共 IP 地址。
AzureBastion作用?
Bastion 为预配它的虚拟网络中的所有 VM 提供安全的 RDP 和 SSH 连接。
使用 Azure Bastion 可防止虚拟机向外部公开 RDP/SSH 端口,同时仍然使用 RDP/SSH 提供安全访问。
使用 Azure Bastion,可直接从 Azure 门户连接到虚拟机。 无需额外的客户端、代理或软件。
为什么要用AzureBastion?
我们在使用Azure虚拟机的时候,会经常使用Linux SSH 22或者Windows RDP 3389端口号,访问微软云上的虚拟机。
但是把22端口或者3389端口暴露在Internet上是非常危险的,黑客会通过攻击这些端口号对Azure虚拟机进行攻击。
通过使用Azure Bastion服务,我们可以通过浏览器的网页和Azure门户连接到Azure虚拟机。且Azure虚拟机无需开启公网IP地址,也不需要公开RDP/SSH 端口。
AzureBastion体系结构图
AzureBastion SKU
SKU 也称为“层”。
Azure Bastion 支持两种 SKU 类型:“基本”和“标准”。
SKU 是在执行工作流期间配置 Bastion 时在 Azure 门户中配置的。 可以将基本 SKU 升级到标准 SKU。
SKU可用性
• 基本 SKU 提供基本功能,使 Azure Bastion 能够管理与虚拟机 (VM) 的 RDP/SSH 连接,而无需在目标应用程序 VM 上公开公共 IP 地址。
• 标准 SKU 支持高级功能。
• 相应的SKU的功能可用性如图;
实例和主机缩放
AzureBastion 配置
AzureBastion 子网
Azure Bastion 需要一个专用子网:AzureBastionSubnet。 必须在要将 Azure Bastion 部署到的同一虚拟网络中创建此子网。 该子网必须采用以下配置:
子网名称必须是 AzureBastionSubnet。
子网大小必须为 /26 或更大(/25、/24 等)。
要进行主机缩放,建议使用 /26 或更大的子网。 使用较小的子网空间会限制缩放单元的数量。 有关详细信息,请参阅本文的主机缩放部分。
公共IP地址
Azure Bastion 需要一个公共 IP 地址。 该公共 IP 必须采用以下配置:
• 公共 IP 地址 SKU 必须为“标准”。
• 公共 IP 地址分配方法必须为“静态”。
• 公共 IP 地址名称是要用于引用此公共 IP 地址的资源名称。
• 可以选择使用已创建的公共 IP 地址,前提是该地址符合 Azure Bastion 所需的条件,并且未被使用
VNet对等互联和Azure Bastion
在虚拟网络中预配 Azure Bastion 服务后,同一 VNet 和对等互连的 VNet 中所有的 VM 均可获得 RDP/SSH 体验。 这就意味着,可以将 Bastion 部署合并到一个 VNet,而仍然可以访问对等互连的 VNet 中部署的 VM,集中进行总体部署。
VNet Peered and Azure Bastion 结构图
使用NSG访问和Azure Bastion
我们使用NSG时可以使用网络安全组进行控制访问。
网络安全组规则
如果选择在 Azure Bastion 资源中使用 NSG,则必须创建以下所有入口和出口流量规则。 在 NSG 中省略以下任何规则将阻止 Azure Bastion 资源在将来接收必要的更新,使资源受到未来安全漏洞的威胁。
定价
Azure Bastion 定价是基于 SKU、实例(缩放单元)以及数据传输速率的小时定价组合。 小时定价从部署 Bastion 的时刻开始计算,而无论出站数据的使用情况如何。
Azure Bastion示例
1.创建Azure Bastion,选取之前的订阅和资源组,然后输入AzureBastion的名称,网络我们这里选取之前创建虚拟机的虚拟网络。虚拟机创建见文档VM创建
注:(在这篇文章的基础上我们需要把虚拟机的公共IP删掉)
2.我们会发现没有子网可以选择,这是因为微软规定Bastion的网络必须名为“Azure Bastion Subnet”而且至少为26位。这里我们点击管理子网配置,然后只需要在名称上面输入“AzureBastionSubnet”然后点击保存就可以了。
3.我们返回创建Bastion,这是我们发现子网可以选择了就是我们刚刚创建的子网。
4.最后我们直接默认后面的设置,点击创建即可。
5.我们转到虚拟机,然后点击连接,选择Bastion选项,然后点击使用Bastion按钮。
6.然后我们输入用户名和密码,点击连接。
最后我们在浏览器中通过Bastion连接到了虚拟机。