Поделиться через

Планирование удаленного доступа к виртуальной машине

  • Статья

В этой статье описывается рекомендуемое руководство по обеспечению удаленного доступа к виртуальным машинам, развернутым в архитектуре целевых зон Azure.

Azure предлагает различные технологии для предоставления удаленного доступа к виртуальным машинам:

  • Бастион Azure , платформа как услуга (PaaS) для доступа к виртуальным машинам через браузер или в настоящее время в предварительной версии через собственный клиент SSH/RDP на рабочих станциях Windows
  • JIT-доступ, предоставляемый через Microsoft Defender для облака
  • Варианты гибридного подключения, такие как Azure ExpressRoute и виртуальные сети
  • Общедоступный IP-адрес, подключенный непосредственно к виртуальной машине или через правило NAT через общедоступную подсистему балансировки нагрузки Azure

Выбор решения удаленного доступа наиболее подходящий зависит от таких факторов, как масштабирование, топология и требования к безопасности.

Рекомендации по проектированию

  • При наличии можно использовать существующее гибридное подключение к виртуальным сетям Azure через ExpressRoute или VPN-подключения S2S/P2S, чтобы обеспечить удаленный доступ из локальной среды к виртуальным машинам Windows и Linux Azure.
  • Группы безопасности сети можно использовать для защиты подключений SSH/RDP к виртуальным машинам Azure.
  • JIT позволяет удаленному доступу по протоколу SSH/RDP через Интернет без необходимости развертывать любую другую инфраструктуру.
  • Существуют некоторые ограничения доступности с доступом JIT.
    • Доступ JIT нельзя использовать для виртуальных машин, защищенных брандмауэрами Azure, контролируемыми диспетчером Брандмауэр Azure.
  • Бастион Azure предоставляет дополнительный уровень управления. Он обеспечивает безопасное и простое подключение RDP/SSH к виртуальным машинам непосредственно из портал Azure или собственного клиента в предварительной версии по защищенному каналу TLS. Бастион Azure также отрицает необходимость гибридного подключения.
  • Рассмотрим соответствующий номер SKU Бастиона Azure для использования в зависимости от ваших требований, как описано в параметрах конфигурации Бастиона Azure.
  • Ознакомьтесь с часто задаваемыми вопросами о бастионе Azure для ответов на распространенные вопросы о службе.
  • Бастион Azure с проверкой подлинности Kerberos требует, чтобы контроллеры домена и Бастион Azure находились в одной виртуальной сети. Дополнительные сведения см. в статье о проверке подлинности Kerberos в Бастионе Azure.
  • Бастион Azure можно использовать в топологии Azure Виртуальная глобальная сеть, однако существуют некоторые ограничения:
    • Бастион Azure нельзя развернуть в Виртуальная глобальная сеть виртуальном концентраторе.
    • Бастион Azure должен использовать Standard номер SKU, а также IP based connection компонент должен быть включен в ресурсе Бастиона Azure, см . документацию по подключению на основе IP-адресов На основе Бастиона Azure.
    • Бастион Azure можно развернуть в любой периферийной виртуальной сети, подключенной в Виртуальная глобальная сеть, для доступа к Виртуальные машины, в собственных или других виртуальных сетях, подключенных к той же Виртуальная глобальная сеть через связанные с ним центры. Виртуальная глобальная сеть подключения к виртуальной сети; правильно настроена маршрутизация.

Совет

Подключение на основе IP-адресов На основе БАстиона Azure также позволяет подключаться к локальным компьютерам, обеспечивая гибридное подключение между ресурсом Бастиона Azure и компьютером, к которому требуется подключиться. См. раздел " Подключение к виртуальной машине с помощью указанного частного IP-адреса через портал"

Рекомендации по проектированию

  • Используйте существующее подключение ExpressRoute или VPN, чтобы обеспечить удаленный доступ к виртуальным машинам Azure, доступным из локальной среды через ExpressRoute или VPN-подключения.
  • В топологии сети на основе Виртуальная глобальная сеть, где требуется удаленный доступ к Виртуальные машины через Интернет:
    • Бастион Azure можно развернуть в каждой периферийной виртуальной сети соответствующих виртуальных машин.
    • Или вы можете развернуть централизованный экземпляр Бастиона Azure в одной периферийной топологии Виртуальная глобальная сеть, как показано на рис. 1. Эта конфигурация сокращает количество экземпляров Бастиона Azure для управления в вашей среде. В этом сценарии пользователям, которые входят в виртуальные машины Windows и Linux с помощью Бастиона Azure, требуется роль читателя в ресурсе Бастиона Azure и выбранной виртуальной сети. Некоторые реализации могут иметь вопросы безопасности или соответствия требованиям, которые ограничивают или предотвращают это.
  • В топологии сети концентратора и периферийной сети, где требуется удаленный доступ к Azure Виртуальные машины через Интернет:
    • Один узел Бастиона Azure можно развернуть в виртуальной сети концентратора, которая может обеспечить подключение к виртуальным машинам Azure в периферийных виртуальных сетях через пиринг виртуальных сетей виртуальной сети. Эта конфигурация сокращает количество экземпляров Бастиона Azure для управления в вашей среде. В этом сценарии пользователям, которые входят в виртуальные машины Windows и Linux с помощью Бастиона Azure, необходимо иметь роль читателя в ресурсе Бастиона Azure и виртуальной сети концентратора. Некоторые реализации могут иметь вопросы безопасности или соответствия требованиям. См. рис. 2.
    • В вашей среде может не разрешаться предоставление пользователям роли управления доступом на основе ролей (RBAC) в ресурсе Бастиона Azure и виртуальной сети концентратора. Используйте Бастион Azure Basic или Standard, чтобы обеспечить подключение к виртуальным машинам в периферийной виртуальной сети. Разверните выделенный экземпляр Бастиона Azure в каждой периферийной виртуальной сети, требующей удаленного доступа. См. рис. 3.
  • Настройте правила NSG для защиты Бастиона Azure и виртуальных машин, к которым он предоставляет подключение. Следуйте инструкциям в статье "Работа с виртуальными машинами и группами безопасности сети в Бастионе Azure".
  • Настройте журналы диагностики Бастиона Azure для отправки в центральную рабочую область Log Analytics. Следуйте инструкциям в разделе "Включение и работа с журналами ресурсов Бастиона Azure".
  • Убедитесь, что необходимые назначения ролей RBAC выполняются для пользователей или групп, которые подключаются к виртуальным машинам через Бастион Azure.
  • При подключении к виртуальным машинам Linux с помощью SSH используйте функцию подключения с помощью закрытого ключа, хранящегося в Azure Key Vault.
  • Разверните Бастион Azure и ExpressRoute или VPN-доступ для решения конкретных потребностей, таких как аварийный доступ с разрывом.
  • Удаленный доступ к виртуальным машинам Windows и Linux через общедоступные IP-адреса, непосредственно подключенные к виртуальным машинам, не рекомендуется. Удаленный доступ никогда не следует развертывать без строгих правил NSG и брандмауэра.

Схема, показывающая топологию виртуальной глобальной сети Azure.

Рис. 1. Топология Виртуальная глобальная сеть Azure.

Схема, показывающая топологию концентратора и периферийной топологии Azure.

Рис. 2. Топология центра Azure и периферийной топологии.

Схема, демонстрирующая топологию автономной виртуальной сети Azure.

Рис. 3. Топология автономной виртуальной сети Azure.