什么是 Azure Bastion?
Azure Bastion 通过传输层安全性 (TLS) 提供从 Azure 门户到 Azure 虚拟机 (VM) 的安全远程连接。 可以将 Azure Bastion 预配到 VM 所在的 Azure 虚拟网络或预配到对等互连虚拟网络,然后直接从 Azure 门户连接到该虚拟网络或对等虚拟网络上的任何 VM。
提供到内部 VM 的安全 RDP 和 SSH 连接
使用 Azure Bastion,可以轻松地在 Azure 门户中开启到未公开的 VM 的 RDP 或 SSH 会话。 Azure Bastion 通过专用 IP 连接到你的虚拟机。 你不必公开用于内部 VM 的 RDP 端口、SSH 端口或公共 IP 地址。
因为 Azure Bastion 是一个完全托管的平台即服务 (PaaS),所以不需要将任何网络安全组应用到 Azure Bastion 子网。 但如果需要额外的安全性,则可以将网络安全组 (NSG) 配置为仅允许来自 Azure Bastion 的 RDP 和 SSH。
Azure Bastion 向与 Azure Bastion 子网相同的虚拟网络或对等虚拟网络上的所有 VM 提供 RDP 和 SSH 连接。 不需要安装额外的客户端、代理或软件即可使用 Azure Bastion。
使用 Azure Bastion 连接到 VM
部署 Azure Bastion 后,在“VM 概述”页上,选择“连接”>“Bastion”>“使用 Bastion”。 然后输入要连接的 VM 的登录凭据。
关键安全功能
- 从 Azure Bastion 向目标虚拟机发起的流量将保留在虚拟网络中或对等虚拟网络之间。
- 无需将 NSG 应用到 Azure Bastion 子网,因为它在内部进行了强化。 为了提高安全性,你可以将 NSG 配置为仅允许从 Azure Bastion 主机与目标虚拟机建立远程连接。
- Azure Bastion 有助于防范端口扫描。 RDP 端口、SSH 端口以及公共 IP 地址不会向你的 VM 公开。
- Azure Bastion 有助于防范零天攻击。 由于它位于虚拟网络外围,因此你无需担心如何强化虚拟网络中的每个虚拟机。 Azure 平台使 Azure Bastion 保持最新状态。
- 此服务与 Azure 虚拟网络(如 Azure 防火墙)的本机安全设备集成。
- 使用该服务可以监视和管理远程连接。
支持并发会话
下表显示了每个 Azure Bastion 资源可以支持的并发 RDP 和 SSH 会话的数量(假定是正常的日常使用)。 如果有其他正在进行的 RDP 会话或 SSH 会话,这些数字可能会有所不同。
| 资源 | 限制 |
|---|---|
| 并发 RDP 连接数 | 25 |
| 并发 SSH 连接数 | 50 |
连接到 VM 的过程中支持的功能
下表突出显示了 Azure Bastion 支持的一些用户体验功能:
| 功能 | 支持 |
|---|---|
| 浏览器 | - Windows:Microsoft Edge 浏览器、Microsoft Edge Chromium 或 Google Chrome - Apple Mac:Google Chrome 浏览器或 Microsoft Edge Chromium |
| VM 中的键盘布局 | - en-us-qwerty - en-gb-qwerty - de-ch-qwertz - de-de-qwertz - fr-be-azerty - fr-fr-azerty - fr-ch-qwertz - hu-hu-qwertz - it-it-qwerty - ja-jp-qwerty - pt-br-qwerty - es-es-qwerty - es-latam-qwerty - sv-se-qwerty - tr-tr-qwerty |
| VM 中的功能 | - 文本复制和粘贴 - 当前不支持文件复制等功能 |
使用 Azure Bastion 所需的角色
与其他 Azure 资源一样,需要访问资源组或 Azure Bastion 资源本身,才能部署或管理 Azure Bastion。
若要使用 Azure Bastion 连接到 VM 资源,以下角色可提供所需的最低权限:
- 虚拟机上的读者角色
- NIC 上的读者角色(使用虚拟机的专用 IP)
- Azure Bastion 资源上的读者角色