你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Azure 虚拟网络中使用 Cloud Shell

默认情况下，Azure Cloud Shell 会话在独立于资源的 Microsoft 网络中的容器中运行。 在容器内运行的命令无法访问专用虚拟网络中的资源。 例如，无法使用安全外壳 (SSH) 从 Cloud Shell 连接到只有专用 IP 地址的虚拟机，也无法使用 kubectl 连接到锁定了访问权限的 Kubernetes 群集。

要提供对专用资源的访问权限，可以将 Cloud Shell 部署到你控制的 Azure 虚拟网络中。 此方法称为虚拟网络隔离。

使用 Cloud Shell 实现虚拟网络隔离的好处

在专用虚拟网络中部署 Cloud Shell 可获得以下好处：

• 要管理的资源不必具有公共 IP 地址。
• 可以使用 Cloud Shell 容器中的命令行工具、SSH 和 PowerShell 远程处理来管理资源。
• Cloud Shell 使用的存储帐户不必公开。

在虚拟网络中部署 Azure Cloud Shell 之前的注意事项

• 在虚拟网络中启动 Cloud Shell 通常比标准 Cloud Shell 会话要慢。
• 虚拟网络隔离要求使用 Azure 中继，这是一项付费服务。 在 Cloud Shell 方案中，每个管理员在使用 Cloud Shell 时都将使用一个混合连接。 当 Cloud Shell 会话结束时，连接会自动关闭。

体系结构

下图显示了为启用此方案而必须生成的资源体系结构。

• 客户客户端网络 - 客户端用户可以位于 Internet 上的任意位置，以便安全地访问 Azure 门户和对其进行身份验证，并使用 Cloud Shell 来管理客户订阅中包含的资源。 为了实现更严格的安全性，可以允许用户仅从订阅中包含的虚拟网络打开 Cloud Shell。
• Microsoft 网络：客户将连接到 Microsoft 网络上的 Azure 门户，以进行身份验证并打开 Cloud Shell。
• 客户虚拟网络：这是包含子网的网络，用于支持虚拟网络隔离。 可以直接从 Cloud Shell 访问虚拟机和服务等资源，而无需分配公共 IP 地址。
• Azure 中继：Azure 中继允许无法直接联系的两个终结点进行通信。 在这种情况下，使用它就可以让管理员的浏览器与专用网络中的容器通信。
• 文件共享：Cloud Shell 需要可从虚拟网络访问的存储帐户。 存储帐户提供 Cloud Shell 用户所使用的文件共享。

定价

Cloud Shell 要求装载新的或现有的 Azure 文件共享才能在不同的会话中持久保存文件。 存储会产生普通的费用。 如果在专用虚拟网络中部署了 Azure Cloud Shell，则需为网络资源付费。 有关定价信息，请参阅 Azure Cloud Shell 的定价。

后续步骤

准备好部署自己的 Cloud Shell 实例时，请参阅使用快速入门模板在虚拟网络中部署 Azure Cloud Shell。