Azure Bastion 是一项完全托管的 PaaS 服务,通过 Azure 门户直接通过 TLS 或本地计算机上安装的本机 SSH 或 RDP 客户端提供与虚拟机的安全无缝 RDP/SSH 连接。 Azure Bastion 直接部署在您的虚拟网络中,支持虚拟网络中所有使用私有 IP 地址的 VM。 通过 Azure Bastion 连接时,虚拟机不需要公共 IP 地址、代理或特殊的客户端软件。
Azure Bastion 提供三个 SKU:基本、标准和高级。
注释
Azure Bastion 是构成 Azure 中网络安全类别的服务之一。 此类别中的其他服务包括 Azure DDoS 防护、 Azure 防火墙和 Azure Web 应用程序防火墙。 每个服务都有自己的独特功能和用例。
主要优点
Azure Bastion 提供以下优势:
- 通过 TLS 保护连接:在端口 443 上使用 RDP/SSH 通过 TLS 连接到 VM。 详细了解 连接方法和Kerberos 身份验证。
- 防止外部威胁:VM 受端口扫描保护。 使用 可用性区域 进行部署,以实现额外的复原能力。
- 可伸缩性和灵活性:配置 主机缩放、使用 可共享链接并通过 IP 地址进行连接。
- 减少管理开销:部署一次,并使用 虚拟网络对等互连 为多个网络提供服务。
- 合规性和审核:将 会话记录 用于符合性要求(高级 SKU)。
SKU
Azure Bastion 提供三个 SKU 层:
- 高级:包括所有标准功能以及用于符合性和专用部署的会话录制。
- 标准:包括所有基本功能以及可伸缩性和高级功能(本机客户端、可共享链接、基于 IP 的连接、自定义端口、文件传输)。
- 基本:具有固定容量的专用部署,用于满足中等连接要求的生产环境。
有关完整的功能比较和容量详细信息,请参阅 选择正确的 Azure Bastion SKU。
体系结构
Azure Bastion 提供两种部署体系结构:
仅限专用部署:没有公共 IP 地址的高级 SKU 以提高安全性。
有关每个体系结构、部署要求和网络拓扑选项的详细信息,请参阅 Bastion 设计和体系结构。
专用部署:部署到虚拟网络的基本、标准和高级 SKU。
要求
部署要求因 SKU 而异。 开发人员使用共享基础结构,无需虚拟网络。 基本、标准和高级版需要专用子网(AzureBastionSubnet)和公共 IP 地址。 Premium 支持不使用公共 IP 的仅限专用部署。
有关包括子网大小调整和 NSG 规则在内的完整要求,请参阅 关于 Bastion 配置设置。
连接方法
Azure Bastion 支持多种连接方法:
- 基于浏览器的连接:使用 HTML5 Web 客户端通过 Azure 门户进行连接。 适用于所有 SKU 层。 无需其他客户端软件。
- 本机客户端连接:使用本地计算机上安装的 SSH 或 RDP 客户端进行连接。 适用于标准和高级 SKU。 支持Microsoft Entra ID 身份验证和文件传输。
- 可共享链接:创建可共享链接,允许用户在不访问 Azure 门户的情况下连接到 VM。 适用于标准和高级 SKU。
有关连接方法和身份验证选项的详细信息,请参阅 关于 VM 连接和功能。
新动态
Azure Bastion 会不断更新新功能和改进。 若要了解最新的更新和公告,请参阅 Azure Bastion 中的新增功能?
故障排除和常见问题解答
有关故障排除和常见问题的信息,请参阅 故障排除指南 和 Azure Bastion 常见问题解答。