当前位置: 首页 > Microsoft Azure > 正文

初识Azure Bastion服务

Azure Bastion Service,是Microsoft Azure平台一种全新的全平台管理PaaS服务,可在虚拟网络中进行配置。它通过SSL直接在Azure门户中为您的虚拟机提供安全,无缝的RDP/SSH连接。通过Azure Bastion连接时,不再需要通过虚拟机的公共IP地址进行访问。

Bastion为配置它的虚拟网络中的所有VM提供安全的RDP和SSH连接。使用Azure Bastion可以保护您的虚拟机免于将RDP/SSH端口暴露给外部世界,同时仍然使用RDP/SSH提供安全访问。使用Azure Bastion,您可以直接从Azure门户连接到虚拟机,而不需要安装其他客户端,或者代理软件。

    其工作原理如下图所示


  • Bastion服务部署在虚拟网络中。
  • 用户使用任何支持HTML5的浏览器连接到Azure门户。
  • 选择要连接的虚拟机。
  • 只需单击一下,RDP/SSH会话就会在浏览器中打开。
  • 远程访问的Azure VM上不需要公共IP。

使用您的Azure Global账户登录,并注册Azure Bastion预览服务。如果您有多个Azure订阅账户需要使用select进行订阅账户选择。

#登录Azure订阅账户

Login-AzureRmAccount

#选择Azure订阅账户

Select-AzureRmSubscription -SubscriptionName “subscription Name”

使用以下命令注册资源提供程序

Register-AzureRmProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network

使用Microsoft.Network提供程序命名空间再次重新注册您的订阅

Register-AzureRmProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network


使用您的Azure账户登录预览门户,而不是常规Azure门户


单击”+创建资源”,在”新建”页面的”搜索市场”字段中,键入”堡垒”,然后单击” 输入”以转到搜索结果


在”创建堡垒”页面上,配置新的堡垒资源。指定Bastion资源的配置设置。需要注意的是,虚拟网络中将部署新Bastion主机资源的子网。您必须使用名为”AzureBastionSubnet”创建子网。此值允许Azure知道要将Bastion资源部署到哪个子网。这与网关子网不同。强烈建议您使用至少一个/27或更大的子网(/27,/26等)。创建”AzureBastionSubnet”,不包含任何网络安全组,路由表或委派。


等待创建完成



在该虚拟网络下,新建一台Windows VM和Linux VM,以分别验证

RDP和SSH使用状况。



VM创建完成之后,功能区中相较以前,多了一个按钮”Bastion ”


在预览门户中,导航到虚拟机,然后单击”连接”,
在右侧边栏上可以看见除了RDP,SSH外,多了一个”Bastion”


在”Bastion”选项卡上,输入虚拟机的用户名和密码,然后单击” Connect”。通过Bastion与此虚拟机的RDP连接将使用端口443和Bastion服务直接在Azure门户中(通过HTML5)打开

    现在我们可以使用web浏览器进行管理服务器,不需要通过RDP客户端或者其他远程连接软件,您可以看到该URL是一个无规则的链接地址


如果您连接的是Linux主机,那么您可以使用账户密码、SSH私钥以及本地上传SSH私钥文件,以便安全远程访问。



Azure Bastion还可以和Azure Security Center集成以提供高级安全特性,随时洞察您的业务安全。

目前该服务仅限在美国西部、美国东部、西欧、美国中南部、澳大利亚东部、日本东部提供预览服务,现阶段主要提供以下功能:


随着时间的发展,相信未来会提供更多服务和功能。

本文固定链接: http://365vcloud.net/2019/06/19/azure-bastion-service/ | Eric的学习之路

该日志由 TingXu 于2019年06月19日发表在 Microsoft Azure 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 初识Azure Bastion服务 | Eric的学习之路
关键字: ,

初识Azure Bastion服务:等您坐沙发呢!

发表评论

您必须 [ 登录 ] 才能发表留言!