Azure Bastion是你部署的一項(xiàng)服務(wù)���,借此可使用瀏覽器和Azure門戶連接到虛擬機(jī)。Azure Bastion服務(wù)是的一種完全平臺(tái)管理的PaaS服務(wù)���,可在虛擬網(wǎng)絡(luò)中進(jìn)行預(yù)配���。可通過TLS直接從Azure門戶實(shí)現(xiàn)與虛擬機(jī)之間的安全無縫的RDPSSH連接���。通過Azure Bastion連接時(shí)���,你的虛擬機(jī)無需公共IP、代理或特殊的客戶端軟件���。
Azure Bastion是你部署的一項(xiàng)服務(wù)���,借此可使用瀏覽器和Azure門戶連接到虛擬機(jī)���。Azure Bastion服務(wù)是的一種完全平臺(tái)管理的PaaS服務(wù),可在虛擬網(wǎng)絡(luò)中進(jìn)行預(yù)配���?��?赏ㄟ^TLS直接從Azure門戶實(shí)現(xiàn)與虛擬機(jī)之間的安全無縫的RDP/SSH連接。通過Azure Bastion連接時(shí)���,你的虛擬機(jī)無需公共IP、代理或特殊的客戶端軟件���。
Bastion為預(yù)配它的虛擬網(wǎng)絡(luò)中的所有VM提供安全的RDP和SSH連接���。使用Azure Bastion可防止虛擬機(jī)向外部公開RDP/SSH端口,同時(shí)仍然使用RDP/SSH提供安全訪問���。
體系結(jié)構(gòu)
Azure Bastion部署是按虛擬網(wǎng)絡(luò)進(jìn)行的���,而不是按訂閱/帳戶或虛擬機(jī)進(jìn)行的���。在虛擬網(wǎng)絡(luò)中預(yù)配Azure Bastion服務(wù)后,即可在同一虛擬網(wǎng)絡(luò)中的所有VM上獲得RDP/SSH體驗(yàn)���。
RDP和SSH是連接Azure中運(yùn)行的工作負(fù)載的基本方法���。不要通過Internet公開RDP/SSH端口,這被視為一個(gè)嚴(yán)重的威脅面���。這通常是由于協(xié)議漏洞造成的���。若要包含此威脅面,可以在外圍網(wǎng)絡(luò)的公共端部署bastion主機(jī)(也稱為跳轉(zhuǎn)服務(wù)器)���。Bastion主機(jī)服務(wù)器在設(shè)計(jì)和配置上考慮了抵御攻擊���。Bastion服務(wù)器還為位于bastion后以及網(wǎng)絡(luò)內(nèi)的工作負(fù)載提供RDP和SSH連接。
Azure Bastion體系結(jié)構(gòu)
此圖顯示了Azure Bastion部署體系結(jié)構(gòu)���。在此圖中:
Bastion主機(jī)部署在虛擬網(wǎng)絡(luò)中���。
用戶使用任何HTML5瀏覽器連接到Azure門戶���。
用戶選擇要連接到的虛擬機(jī)。
單擊一下���,在瀏覽器中打開RDP/SSH會(huì)話���。
Azure VM無需公共IP。
主要功能
提供以下功能:
在Azure門戶中直接使用RDP和SSH連接:可以通過單擊無縫體驗(yàn)直接在Azure門戶中進(jìn)行RDP和SSH會(huì)話���。
穿越防火墻���,通過TLS進(jìn)行RDP/SSH遠(yuǎn)程會(huì)話:Azure Bastion使用基于HTML5的Web客戶端,該客戶端自動(dòng)流式傳輸?shù)奖镜卦O(shè)備���,使你可以安全穿越公司防火墻���,在端口443上通過TLS進(jìn)行RDP/SSH會(huì)話���。
Azure VM無需公共IP:Azure Bastion使用VM上的專用IP打開與Azure虛擬機(jī)的RDP/SSH連接���。虛擬機(jī)無需公共IP���。
輕松管理NSG:Azure Bastion是Azure提供的完全托管平臺(tái)PaaS服務(wù),其內(nèi)部進(jìn)行了加固���,以提供安全的RDP/SSH連接���。無需在Azure Bastion子網(wǎng)上應(yīng)用任何NSG。由于Azure Bastion通過專用IP連接到虛擬機(jī)���,所以可將NSG配置為僅允許來自Azure Bastion的RDP/SSH���。這樣消除了每次需要安全地連接到虛擬機(jī)時(shí)管理NSG的麻煩。
端口掃描防護(hù):因?yàn)闊o需將虛擬機(jī)公開到公共Internet���,因此可防止VM受到虛擬網(wǎng)絡(luò)外部的惡意用戶的端口掃描���。
防止零日漏洞。僅在一個(gè)位置強(qiáng)化:Azure Bastion是完全托管平臺(tái)PaaS服務(wù)���。由于它位于虛擬網(wǎng)絡(luò)外圍���,因此你無需擔(dān)心如何強(qiáng)化虛擬網(wǎng)絡(luò)中的每個(gè)虛擬機(jī)���。Azure平臺(tái)通過使Azure Bastion保持強(qiáng)化且始終保持最新來防范零天攻擊。
新增功能
訂閱RSS源���,并在Azure更新頁面上查看最新的Azure Bastion功能更新���。
常見問題
面向哪些區(qū)域提供?
備注
我們正在努力添加其他區(qū)域���。添加區(qū)域時(shí)���,我們會(huì)將其添加到此列表中。
美洲
巴西南部
加拿大中部
美國(guó)中部
美國(guó)東部
美國(guó)東部2
美國(guó)中北部
美國(guó)中南部
美國(guó)中西部
美國(guó)西部
美國(guó)西部2
歐洲
法國(guó)中部
北歐
挪威東部
挪威西部
瑞士北部
英國(guó)南部
英國(guó)西部
西歐
亞太區(qū)
澳大利亞中部2
澳大利亞東部
澳大利亞東南部
東亞
日本東部
日本西部
韓國(guó)中部
韓國(guó)南部
東南亞
印度中部
印度西部
中東和非洲
Azure Government
US DoD中部
US DoD東部
US Gov亞利桑那州
US Gov德克薩斯州
US Gov弗吉尼亞州
Azure中國(guó)
我的虛擬機(jī)上是否需要公共IP才能通過Azure Bastion進(jìn)行連接���?
否���。使用Azure Bastion連接到VM時(shí),不需要在要連接到的Azure虛擬機(jī)上具有公共IP���。Bastion服務(wù)會(huì)通過虛擬網(wǎng)絡(luò)中的虛擬機(jī)的專用IP打開到虛擬機(jī)的RDP/SSH會(huì)話/連接���。
是否支持IPv6?
目前不支持IPv6���。Azure Bastion僅支持IPv4���。
是否需要RDP或SSH客戶端?
否���。無需RDP或SSH客戶端即可在Azure門戶中訪問RDP/SSH來連接到Azure虛擬機(jī)���。使用Azure門戶能夠直接在瀏覽器中通過RDP/SSH來訪問虛擬機(jī)。
是否需要在Azure虛擬機(jī)中運(yùn)行代理���?
否���。無需在瀏覽器或Azure虛擬機(jī)上安裝代理或任何軟件。Bastion服務(wù)沒有代理���,不需要任何其他軟件即可使用RDP/SSH���。
每個(gè)Azure Bastion支持多少個(gè)并發(fā)RDP和SSH會(huì)話���?
RDP和SSH都是基于使用率的協(xié)議。會(huì)話的使用率高將導(dǎo)致堡壘主機(jī)支持的會(huì)話總數(shù)較少���。下面的數(shù)字假設(shè)采用了標(biāo)準(zhǔn)的日常工作流���。
*可能因其他正在進(jìn)行的RDP會(huì)話或其他正在進(jìn)行的SSH會(huì)話而有所不同。
**如果存在現(xiàn)有的RDP連接或通過其他正在進(jìn)行的SSH會(huì)話使用���,則可能會(huì)有所不同���。
RDP會(huì)話支持哪些功能?
目前僅支持文本復(fù)制/粘貼���。不支持文件復(fù)制等功能���。請(qǐng)隨時(shí)在Azure Bastion反饋頁上分享有關(guān)新功能的反饋。
Bastion強(qiáng)化是否適用于AADJ VM擴(kuò)展加入的VM���?
此功能不適用于使用Azure AD用戶的AADJ VM擴(kuò)展加入的計(jì)算機(jī)���。有關(guān)詳細(xì)信息���,請(qǐng)參閱Microsoft Azure VM和Azure AD���。
支持哪些瀏覽器���?
使用Windows上的Microsoft Edge瀏覽器或Google Chrome。對(duì)于Apple Mac���,可使用Google Chrome瀏覽器���。Windows和Mac上也支持Microsoft Edge Chromium。
Azure Bastion將客戶數(shù)據(jù)存儲(chǔ)在何處���?
Azure Bastion不會(huì)將客戶數(shù)據(jù)移出部署的區(qū)域或存儲(chǔ)到部署區(qū)域以外的區(qū)域���。
是否需要通過角色來訪問虛擬機(jī)?
需要使用以下角色進(jìn)行連接:
定價(jià)是多少���?
有關(guān)詳細(xì)信息���,請(qǐng)參閱定價(jià)頁���。
Azure Bastion是否需要RDS CAL才能在Azure托管的VM上實(shí)現(xiàn)管理目的?
不需要���,通過Azure Bastion訪問Windows Server VM時(shí)���,不需要RDS CAL(如果僅用于管理目的)。
Bastion遠(yuǎn)程會(huì)話期間支持哪些鍵盤布局���?
Azure Bastion目前在VM內(nèi)支持en-us-qwerty鍵盤布局���。對(duì)其他區(qū)域設(shè)置的鍵盤布局的支持尚在開發(fā)中。
Azure Bastion子網(wǎng)是否支持用戶定義的路由(UDR)���?
不是���。Azure Bastion子網(wǎng)不支持UDR。
對(duì)于在同一虛擬網(wǎng)絡(luò)中同時(shí)包含Azure Bastion和Azure防火墻/網(wǎng)絡(luò)虛擬設(shè)備(NVA)的方案���,無需強(qiáng)制流量從Azure Bastion子網(wǎng)發(fā)往Azure防火墻���,因?yàn)锳zure Bastion與VM之間的通信是專用的���。有關(guān)詳細(xì)信息,請(qǐng)參閱通過Bastion訪問Azure防火墻后的VM���。
為什么在Bastion會(huì)話啟動(dòng)前收到了“你的會(huì)話已過期”的錯(cuò)誤消息���?
會(huì)話只能從Azure門戶啟動(dòng)���。登錄到Azure門戶���,并重新開始會(huì)話。如果直接從另一個(gè)瀏覽器會(huì)話或選項(xiàng)卡轉(zhuǎn)到URL���,則會(huì)出現(xiàn)此錯(cuò)誤���。它有助于確保會(huì)話更安全,并且該會(huì)話只能通過Azure門戶來訪問���。
如何處理部署失?��?��?
查看任何錯(cuò)誤消息并根據(jù)需要在Azure門戶中提出支持請(qǐng)求。Azure訂閱限制���、配額和約束可能會(huì)導(dǎo)致部署失敗���。具體來說,客戶可能會(huì)遇到對(duì)每個(gè)訂閱允許的公共IP地址數(shù)的限制���,這會(huì)導(dǎo)致Azure Bastion部署失敗���。
如何在災(zāi)難恢復(fù)計(jì)劃中納入Azure Bastion?
Azure Bastion是在VNet或?qū)Φ鹊腣Net中部署的���,與Azure區(qū)域相關(guān)聯(lián)���。由你負(fù)責(zé)將Azure Bastion部署到災(zāi)難恢復(fù)(DR)站點(diǎn)VNet。如果出現(xiàn)Azure區(qū)域故障���,請(qǐng)將VM故障轉(zhuǎn)移到DR區(qū)域���。然后���,使用DR區(qū)域中部署的Azure Bastion主機(jī)連接到現(xiàn)在此處部署的VM。
后續(xù)步驟
教程:創(chuàng)建Azure Bastion主機(jī)并連接到Windows VM���。
了解Azure的一些其他關(guān)鍵網(wǎng)絡(luò)功能���。
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
