Как работает Бастион Azure?

  • 5 мин

Развертывание Бастиона Azure выполняется для каждой виртуальной сети или одноранговой виртуальной сети. Оно не выполняется по подпискам, учетным записям или виртуальным машинам. После того как вы подготовите службу "Бастион Azure" в своей виртуальной сети, подключение RDP или SSH станет доступным для всех виртуальных машин в одной виртуальной сети.

На следующей схеме показано, как работает Бастион Azure при подключении через портал:

  1. Подключение к виртуальной машине в портал Azure. портал Azure На странице обзора виртуальной машины выберите "Подключить>бастион использовать бастион>", а затем введите учетные данные для виртуальной машины.
  2. Браузер подключается к узлу Бастиона Azure: браузер подключается к Бастиону Azure через Интернет с помощью TLS и общедоступного IP-адреса узла Бастиона Azure. Диспетчер шлюза Azure управляет подключениями портала к службе "Бастион Azure" через порт 443 или 4443.
  3. Бастион подключается к виртуальной машине с помощью RDP или SSH: Бастион Azure развертывается в отдельной подсети с именем AzureBastionSubnet в виртуальной сети. Подсеть создается при развертывании Бастиона Azure. Подсеть может иметь адресные пространства с маской подсети /26 или большим размером. Не развертывайте другие ресурсы Azure в этой подсети и не меняйте имя подсети.
  4. Бастион передает виртуальную машину в браузер: Бастион Azure использует веб-клиент на основе HTML5, который автоматически передается на локальное устройство. Бастион Azure упаковывает информацию о сеансе с использованием настраиваемого протокола. Пакеты передаются через TLS.

Проверка работы Бастиона Azure с группой безопасности сети

Если вы не развернули и не настроили определенную группу безопасности сети для своей организации, вам не нужно ничего делать. Бастион Azure работает с группой безопасности сети по умолчанию, созданной с помощью виртуальных машин.

Если для вашей организации настроена группа безопасности сети, убедитесь, что Бастион Azure может подключаться к виртуальным машинам через RDP или SSH. Рекомендуем добавить правило для входящих подключений, которое разрешает подключения RDP и SSH из диапазона IP-адресов подсети Бастиона Azure к виртуальным машинам.

Чтобы бастион Azure работал, группе безопасности сети необходимо разрешить следующий трафик:

Направление Разрешить
Входящий трафик Подключения RDP и SSH из диапазона IP-адресов подсети Бастиона Azure к подсети виртуальной машины.
Входящий трафик Доступ TCP из Интернета через порт 443 к общедоступному IP-адресу Бастиона Azure.
Входящий трафик Доступ TCP из диспетчера шлюза Azure через порты 443 или 4443. Диспетчер шлюза Azure управляет подключениями портала к службе "Бастион Azure".
Исходящие Доступ TCP с платформы Azure через порт 443. Этот трафик используется для журнала ведения диагностики.

Развертывание Бастиона Azure на портале Azure

Прежде чем вы сможете развернуть Бастион Azure, вам понадобится виртуальная сеть. Вы можете использовать имеющуюся виртуальную сеть или развернуть Бастион Azure при создании виртуальной сети. Создайте подсеть в виртуальной сети под названием AzureBastionSubnet. Если у вас есть виртуальная машина, которая находится в той же сети или в одноранговой виртуальной сети, вы выполните развертывание на портале Azure, выбрав Бастион Azure при подключении к виртуальной машине.

В следующих двух разделах показаны шаги, необходимые для каждого из вариантов развертывания Бастиона Azure на портале Azure. Вам еще не нужно выполнить какие-либо из этих действий; Вы сделаете это в следующем упражнении.

Включение Бастиона Azure при создании виртуальной сети

Если у вас еще нет виртуальной сети, которую вы хотите использовать для Бастиона Azure, создайте ее и включите Бастион Azure на вкладке Безопасность.

Снимок экрана: вкладка

  1. Выберите Включить и введите имя узла Бастиона Azure.
  2. Добавьте адрес подсети с маской подсети /26 или более поздней.
  3. Если у вас еще нет общедоступного IP-адреса, который вы хотите использовать, выберите Создать.
  4. После создания виртуальной сети добавьте виртуальные машины в эту виртуальную сеть или одноранговую виртуальную сеть в виртуальную сеть с виртуальными машинами.

Добавление подсети в имеющуюся виртуальную сеть и выделение ресурсов Бастиона Azure

В имеющейся виртуальной сети добавьте подсеть с именем AzureBastionSubnet.

Снимок экрана: страница добавления подсети с именем подсети AzureBastionSubnet.

Чтобы подготовить Бастион Azure, на портале на виртуальной машине выберите >>" вручную. Введите имя ресурса Бастиона Azure, выберите подсеть, создайте общедоступный IP-адрес и т. д. После развертывания Бастиона Azure вы можете подключиться к виртуальной машине.

Снимок экрана: страница

Развертывание Бастиона Azure с помощью Azure PowerShell или Azure CLI

Если для развертывания Бастиона Azure вы хотите использовать Azure PowerShell или Azure CLI, выполните команды, чтобы создать следующие ресурсы:

  • Подсеть
  • Общедоступный IP-адрес
  • Ресурс Бастиона Azure

В следующих разделах показаны примеры, которые можно использовать для развертывания Бастиона Azure.

Использование Azure PowerShell для развертывания Бастиона Azure

  1. Создайте подсеть Бастиона Azure с помощью командлета New-AzVirtualNetworkSubnetConfig, а затем добавьте подсеть в существующую виртуальную сеть с помощью Add-AzVirtualNetworkSubnetConfig. Например, следующая команда предполагает, что у вас уже есть виртуальная сеть:

    $subnetName = "AzureBastionSubnet"
$virtualNetwork = MyVirtualNetwork
$addressPrefix = "10.0.2.0/24"
$subnet = New-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName ` 
-AddressPrefix $addressPrefix `

Add-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName `
-VirtualNetwork $virtualNetwork `
-AddressPrefix $addressprefix

  2. Создайте общедоступный IP-адрес для Бастиона Azure. Бастион Azure использует общедоступный IP-адрес для обеспечения возможности подключения RDP/SSH через порт 443. Общедоступный IP-адрес должен находиться в том же регионе, что и ресурс Бастиона Azure.

    $publicip = New-AzPublicIpAddress `
-ResourceGroupName "myBastionRG" `
-name "myPublicIP" `
-location "westus2" `
-AllocationMethod Static `
-Sku Standard

  3. Создайте ресурс Бастиона Azure в подсети AzureBastionSubnet виртуальной сети.

    $bastion = New-AzBastion `
-ResourceGroupName "myBastionRG" `
-Name "myBastion" `
-PublicIpAddress $publicip `
-VirtualNetwork $virtualNetwork

Использование Azure CLI для развертывания Бастиона Azure

  1. Создайте подсеть Бастиона Azure:

    az network vnet subnet create \
  --resource-group myBastionRG \
  --vnet-name MyVirtualNetwork \
  --name AzureBastionSubnet \
  --address-prefixes 10.0.2.0/24

  2. Создайте общедоступный IP-адрес для Бастиона Azure:

    az network public-ip create \
  --resource-group MyResourceGroup \
  --name MyPublicIp \
  --sku Standard \
  --location westus2

  3. Создайте ресурс Бастиона Azure:

    az network bastion create \
  --name MyBastion \
  --public-ip-address MyPublicIp \
  --resource-group MyResourceGroup \
  --vnet-name MyVnet \
  --location westus2

Подключение к виртуальным машинам с помощью Бастиона Azure

При наличии необходимых ресурсов вы должны иметь возможность подключаться к виртуальным машинам в одной виртуальной сети или одноранговой виртуальной сети. На портале Azure на виртуальной машине выберите Бастион и введите свои учетные данные.

Снимок экрана: страница

В следующем разделе приведены шаги по развертыванию Бастиона Azure для имеющейся виртуальной сети.