何謂 Azure Bastion?
Azure Bastion 是完全受控的 PaaS 服務,您可以佈建該服務,以透過私人 IP 位址安全地連線到虛擬機器。 其直接透過 Azure 入口網站的 TLS,或透過本機電腦上原本安裝的原生 SSH 或 RDP 用戶端,為虛擬機器提供安全且順暢的 RDP/SSH 連線。 透過 Azure Bastion 連線時,您的虛擬機器不需要公用 IP 位址、代理程式或特殊用戶端軟體。
Bastion 可為佈建所在虛擬網路中的所有 VM 提供安全的 RDP 和 SSH 連線。 使用 Azure Bastion 來保護您的虛擬機器免於向外公開 RDP/SSH 連接埠,同時提供使用 RDP/SSH 的安全存取。
重點優勢
優點 | 描述 |
---|---|
透過 Azure 入口網站使用 RDP 和 SSH | 只要在 Azure 入口網站中按一下無縫體驗,就可以直接進入 RDP 和 SSH 工作階段。 |
RDP/SSH 透過 TLS 和防火牆周遊的遠端工作階段 | Azure Bastion 使用自動串流到本機裝置的 HTML5 Web 用戶端。 RDP/SSH 工作階段使用連接埠 443 透過 TLS 連線。 這使流量可更安全地周遊防火牆。 Bastion 支援 TLS 1.2。 不支援舊版 TLS。 |
Azure VM 上不需要公用 IP 位址 | Azure Bastion 使用 VM 上的私人 IP 位址,開啟對 Azure VM 的 RDP/SSH 連線。 您在虛擬機器上不需要公用 IP 位址。 |
輕鬆管理網路安全性群組 (NSG) | 您不需要將任何 NSG 套用至 Azure Bastion 子網路。 因為 Azure Bastion 透過私人 IP 來連線至虛擬機器,您可以將 NSG 設定為只允許來自 Azure Bastion 的 RDP/SSH。 每次需要安全地連線至虛擬機器時,就不必再麻煩管理 NSG。 如需 NSG 的詳細資訊,請參閱網路安全性群組。 |
不需要在 VM 上另外管理堡壘主機 | Azure Bastion 是 Azure 的完全受控平台 PaaS 服務,內部經過強化,為您提供安全的 RDP/SSH 連線。 |
針對連接埠掃描的保護 | 因為您不需向網際網路公開 VM,得以保護 VM 免遭惡意使用者掃描連接埠。 |
僅需強化一處 | Azure Bastion 位於虛擬網路的的周邊,所以您不需煩惱要強化虛擬網路中的每一部 VM。 |
防範零時差惡意探索 | Azure 平台保持 Azure Bastion 強化並永遠維持更新,以防範零時差惡意探索。 |
SKU
Azure Bastion 提供多個 SKU 層。 下表顯示功能和對應的 SKU。 如需 SKU 的詳細資訊,請參閱組態設定一文。
功能 | 開發人員 SKU | 基本 SKU | 標準 SKU | 進階 SKU |
---|---|---|---|---|
連線至相同虛擬網路中的目標 VM | Yes | .是 | .是 | Yes |
連線至對等互連虛擬網路中的目標 VM | No | 是 | 是 | 是 |
支援並行連線 | No | .是 | .是 | Yes |
在 Azure Key Vault (AKV) 中存取 Linux VM 私密金鑰 | Yes | .是 | .是 | Yes |
使用 SSH 連線至 Linux VM | Yes | 是 | 是 | 是 |
使用 RDP 連線至 Windows VM | Yes | 是 | 是 | 是 |
使用 RDP 連線至 Linux VM | No | 無 | .是 | Yes |
使用 SSH 連線至 Windows VM | No | 無 | 是 | 是 |
指定自訂輸入連接埠 | No | 無 | 是 | 是 |
使用 Azure CLI 連線至 VM | No | 無 | 是 | 是 |
主機調整 | No | 無 | 是 | 是 |
上傳或下載檔案 | No | 無 | 是 | 是 |
Kerberos 驗證 | No | 是 | 是 | 是 |
可共用連結 | No | 無 | 是 | 是 |
透過 IP 位址連線到 VM | No | 無 | 是 | 是 |
VM 音訊輸入 | Yes | .是 | .是 | Yes |
停用複製/貼上 (Web 型用戶端) | No | 無 | .是 | Yes |
工作階段錄製 | No | 無 | 無 | 是 |
僅限私人部署 | No | 無 | 無 | 是 |
架構
Azure Bastion 會根據選取的 SKU 和選項組態,提供多個部署架構。 針對大部分的 SKU,Bastion 會部署到虛擬網路,並支援虛擬網路對等互連。 具體而言,Azure Bastion 會管理本機或對等互連虛擬網路中所建立 VM 的 RDP/SSH 連線能力。
RDP 和 SSH 是連接到 Azure 中運行的工作負載的一些基本方法。 透過網際網路公開 RDP/SSH 連接埠並非預期,而且會視為重大威脅。 這通常是由於協定弱點造成的。 為了抑制這項威脅表面,您可以在周邊網路的公用端部署堡壘主機 (也稱為「跳板伺服器」)。 堡壘主機伺服器是設計及設定來防禦攻擊。 堡壘伺服器也會提供與位於堡壘後方 (以及進一步的網路內) 工作負載的 RDP 和 SSH 連線。
部署 Bastion 時選取的 SKU 會決定架構和可用的功能。 您可升級至較高的 SKU 以支援更多功能,但在部署後無法降級 SKU。 部署時必須設定某些架構,例如僅限私人和開發人員 SKU。 如需每個架構的詳細資訊,請參閱 Bastion 設計和架構。
下圖顯示 Azure Bastion 的可用架構。
基本 SKU 和更新版本
開發人員 SKU
僅限私人部署
可用性區域
某些區域支援在可用性區域中部署 Azure Bastion 的功能 (或為區域備援,在多個區域中部署)。 若要分區部署,請使用手動指定的設定來部署 Bastion (請勿使用自動預設設定進行部署)。 指定部署時所需的可用性區域。 部署 Bastion 之後,您無法變更區域性可用性。
可用性區域的支援目前為預覽階段。 在預覽版中,可使用下列區域:
- 美國東部
- 澳大利亞東部
- 美國東部 2
- 美國中部
- 卡達中部
- 南非北部
- 西歐
- 美國西部 2
- 北歐
- 瑞典中部
- 英國南部
- 加拿大中部
主機調整
Azure Bastion 支援手動主機調整。 您可以設定主機執行個體數目 (縮放單位),以便管理 Azure Bastion 可以支援的並行 RDP/SSH 連線數目。 增加主機執行個體數目可讓 Azure Bastion 管理更多並行工作階段。 減少執行個體數目會減少並行支援的工作階段數目。 Azure Bastion 最多可支援 50 個主機執行個體。 此功能適用於標準 SKU 和更新版本。
如需詳細資訊,請參閱組態設定一文。
定價
Azure Bastion 定價是根據 SKU 和執行個體 (縮放單位),加上資料傳輸費率的每小時價格組合。 無論輸出資料使用量為何,每小時價格都是從部署 Bastion 的那一刻開始計費。 如需最新的價格資訊,請參閱 Azure Bastion 價格頁面。
新功能
訂閱 RSS 摘要,並在 Azure 更新頁面上檢視最新的 Azure Bastion 功能更新。
Bastion 常見問題集
如需常見問題,請參閱 Bastion 常見問題。