Azure Bastion 堡垒机
Azure Bastion
Mooncake 可用性
如图所示,Azure Bastion 在中国北2和中国东2可用。
什么是 Azure Bastion
Azure 堡垒机是一种可以让你用浏览器或者Azure门户网站来连接虚拟机的服务。Azure Bastion 全托管的PaaS服务,在虚拟网络内部进行使用。
Azure 堡垒机直接通过TLS,从Azure门户网站提供安全无缝的RDP/SSH连接。当用Azure 堡垒机进行连接登录时,虚拟机不需要公共IP地址,也不需要代理,也不需要专门的客户端软件。
堡垒机可以给Linux和Windows提供安全的链接。
架构
Azure 堡垒机的部署是基于每一个虚拟网络的,而不是基于订阅或者账户,也不是基于虚拟机。也就是说,如果Azure 堡垒机安装再你的虚拟网络上,虚拟网络里面的所有虚拟机都可以受到堡垒机的保护。
RDP SSH是链接虚拟机的基本链接方式,但是直接讲RDP SSH暴露再互联网上会有很大的隐患,这是因为RDP和SSH端口的漏洞导致的。
所以,就会安装堡垒机,也可以叫跳板机Jump-server放在面向互联网的边缘网络上,来防范攻击。
如图所示,
- 堡垒机主机安装在Vnet上
- 用户通过HTML5浏览器连接到Azure门户,在连接到堡垒机
- 用户可以选择想要链接的虚拟机
- 只需要简单一点,就可以连接上RDP SSH会话
- 这样Azure虚拟机就不需要公共IP地址