共用方式為

使用 Azure Bastion 進行虛擬機遠端訪問

  • 發行項

您選擇的遠端存取解決方案取決於縮放比例、拓撲和安全性需求等因素。 本文說明如何為部署在 Azure 登陸區域架構內的虛擬機 (VM) 提供遠端存取。 本指南著重於 Azure Bastion 以進行遠端訪問。

Azure 提供一起運作的技術,以加速對虛擬機進行高度安全的遠端訪問:

  • Azure Bastion 是平臺即服務 (PaaS) 解決方案,可讓您透過瀏覽器或 Windows 工作站上的原生 SSH 或 RDP 用戶端存取 VM。

  • Just-In-Time (JIT) 存取權是透過 Microsoft Defender for Cloud 提供。

  • 混合式連線選項,例如 Azure ExpressRoute 和 VPN。

  • 直接附加到 VM 的公用 IP,或透過 Azure 公用負載平衡器的 NAT 規則連接的公用 IP。

設計考慮

  • 可用時,您可以使用現有的混合式連線到 Azure 虛擬網路,透過 ExpressRoute 或 S2S 和 P2S VPN 連線,提供從內部部署到 Windows 和 Linux Azure VM 的遠端訪問。

  • 網路安全組 (NSG) 可用來保護對 Azure VM 的 SSH 和 RDP 連線。

  • JIT 允許透過因特網進行遠端 SSH 和 RDP 存取,而不需要為支援的 VM 部署任何其他基礎結構。 JIT 支援:

    • 透過 Azure Resource Manager 部署的 VM。
    • 使用傳統部署模型部署的 VM。
    • 在與 VM 相同的虛擬網路上受 Azure 防火牆保護的 VM。
    • 受 Azure 防火牆管理員控制的 Azure 防火牆所保護的 VM。

  • Azure Bastion 提供額外的控制層。 它可讓您直接從 Azure 入口網站或透過安全 TLS 通道 原生用戶端,對 VM 進行高度安全且順暢的 RDP 和 SSH 連線。 Azure Bastion 也會否定混合式連線的需求。

  • 根據您的需求使用適當的 Azure Bastion SKU。 如需詳細資訊,請參閱Azure Bastion 組態設定。

  • 如需服務常見問題的解答,請檢閱 Azure Bastion 常見問題

  • 使用 Kerberos 驗證的 Azure Bastion 需要域控制器和 Azure Bastion 都位於相同的虛擬網路中。 如需詳細資訊,請參閱 Azure Bastion Kerberos 驗證

  • Azure Bastion 可用於 Azure 虛擬 WAN 拓撲。 不過,有一些限制:

    • Azure Bastion 無法部署在虛擬 WAN 虛擬中樞內。

    • Azure Bastion 必須使用進階或標準 SKU。 必須在 Azure Bastion 資源上啟用 IP 型連線 功能。 如需詳細資訊,請參閱 Azure Bastion IP 型連線檔

    • Azure Bastion 可以部署在任何連線至虛擬 WAN 的輪輻虛擬網路中。 Azure Bastion 可透過虛擬 WAN 虛擬網路連線,存取其本身虛擬網路中的 VM。 它可以透過其相關聯的中樞,提供對於連接到相同虛擬 WAN 的其他虛擬網路中 VM 的存取權。 成功的部署需要適當的 路由 組態。 例如,您可以使用 虛擬中樞擴充模式來部署 Azure Bastion。

    • Azure Bastion Standard SKU 需要專用子網 (AzureBastionSubnet),而開發人員 SKU 則不需要。

  • 開發人員 SKU 是 Azure Bastion 服務的免費、零配置、始終開啟的版本。 與標準 SKU 不同,開發者 SKU 不是一個專屬資源,而是作為共享資源池的一部分運作,並且不支援虛擬網絡對等互連。

提示

如果 Azure Bastion 資源與您想要連線的電腦之間存在混合式連線,Azure Bastion IP 型連線也允許連線到內部部署電腦。 如需詳細資訊,請參閱 透過指定的私人IP位址連線到 VM

設計建議

  • 針對生產工作負載,部署 Azure Bastion Premium 或標準 SKU。 針對沙箱和測試環境,請在選定區域中使用開發人員 SKU

  • 使用現有的 ExpressRoute 或 VPN 連線,提供可從內部部署網路存取的 Azure VM 遠端存取。

  • 在需要透過因特網遠端訪問 VM 的虛擬 WAN 型網路拓撲中,您可以在個別 VM 的每個輪輻虛擬網路中部署 Azure Bastion。

    或者,您可以在虛擬 WAN 拓撲中的單一輪輻中部署集中式 Azure Bastion 個體。 此設定可減少環境中要管理的 Azure Bastion 實例數目。 此案例需要透過 Azure Bastion 登入 Windows 和 Linux VM 的使用者,在 Azure Bastion 資源上具有 讀取者角色,以及所選的輪輻虛擬網路。 某些實作可能會有限制或防止此需求的安全性或合規性考慮。 下圖顯示 Azure 虛擬 WAN 拓撲。

    顯示 Azure 虛擬 WAN 拓撲的圖表。

  • 在中樞和輪輻網路拓撲中,您需要透過因特網遠端訪問 Azure VM:

    • 您可以在中樞虛擬網路中部署單一的 Azure Bastion 主機,其可透過虛擬網路對等互連,提供對輻射式虛擬網路上的 Azure VM 的連線能力。 此設定可減少環境中要管理的 Azure Bastion 實例數目。 此情境需要透過 Azure Bastion 登入 Windows 和 Linux VM 的使用者在 Azure Bastion 資源和中樞虛擬網路上擁有 讀取者角色。 某些實作可能會有限制或防止此需求的安全性或合規性考慮。 如下圖所示 Azure 中樞和輪輻 (hub-and-spoke) 架構。

    顯示 Azure 中樞和輪輻拓撲的圖表。

    • 您的環境可能不允許在 Azure Bastion 資源和中樞虛擬網路上授與讀者角色型訪問控制 (RBAC) 角色給使用者。 使用 Azure Bastion 基本或標準 SKU 來提供向輻射狀虛擬網路內的 VM 連接的功能。 將專用的 Azure Bastion 實例部署到每個需要遠端存取的輻射狀虛擬網路。 下圖顯示 Azure 獨立虛擬網路拓撲。

    顯示 Azure 獨立虛擬網路拓撲的圖表。

  • 設定 NSG 規則來保護 Azure Bastion 及其提供連線的 VM。 如需詳細資訊,請參閱 在 Azure Bastion中使用 VM 和 NSG。

  • 設定 Azure Bastion 的診斷記錄以傳送至中央 Log Analytics 工作區。 如需詳細資訊,請參閱 啟用和使用 Azure Bastion 資源記錄

  • 請確定您為透過 Azure Bastion 連線至 VM 的使用者和群組,建立 所需的 RBAC 角色指派

  • 如果您透過 SSH 連線到 Linux VM,請透過 Azure Key Vault 中的 私密鑰建立連線

  • 部署 Azure Bastion 和 ExpressRoute 或 VPN 存取,以解決特定需求,例如緊急備援存取。

  • 請勿透過直接連結至 VM 的公用 IP,啟用對 Windows 和 Linux VM 的遠端訪問。 請勿在沒有嚴格的 NSG 規則和防火牆的情況下部署遠端訪問。