私下連線到環境
參考架構的設計是安全的。 它會使用多層式安全性方法來降低客戶所引發的常見數據外泄風險。 您可以使用網路、身分識別、數據和服務層上的特定功能來定義特定的訪問控制,並只向使用者公開必要的數據。 即使其中一些安全性機制失敗,這些功能仍有助於讓企業級平臺內的數據保持安全。
私人端點和已停用的公用網路存取等網路功能可大幅減少組織內數據平台的攻擊面。 即使已啟用這些功能,您也必須採取額外的預防措施,才能從公用因特網成功連線到 Azure 記憶體帳戶、Azure Synapse 工作區或 Azure Machine Learning 等服務。
本文件說明以簡單且安全的方式連線到數據管理登陸區域內服務或數據登陸區域內最常見的選項。
Azure Bastion 主機和跳板機概觀
最簡單的解決方案是在資料管理接入區域或資料接入區的虛擬網絡上部署跳板機,以透過私人端點連接到資料服務。 Jumpbox 是執行 Linux 或 Windows 的 Azure 虛擬機器(VM),使用者可以透過遠端桌面通訊協定 (RDP) 或安全殼層 (SSH) 進行連線。
先前,Jumpbox 虛擬機必須裝載公用 IP,才能從公用網絡進行 RDP 和 SSH 連線。 網路安全組 (NSG) 可用來進一步鎖定流量,只允許來自一組有限公用IP的連線。 不過,這種方法表示必須從 Azure 環境公開公用 IP,進而增加組織的受攻擊面。 或者,客戶可以使用其 Azure 防火牆中的 DNAT 規則,將 VM 的 SSH 或 RDP 埠公開至公用因特網,這會導致類似的安全性風險。
今天,您可以依賴 Azure Bastion 作為更安全的替代方案,而不是公開 VM。 Azure Bastion 透過傳輸層安全性 (TLS) 從 Azure 入口網站提供到 Azure VM 的安全遠端連線。 Azure Bastion 應設定在 Azure 數據登陸區域或 Azure 數據管理登陸區域的專用子網上(名稱為 AzureBastionSubnet的子網。 然後,您可以使用它從 Azure 入口網站直接連線到該虛擬網路或對等互連虛擬網路上的任何 VM。 任何 VM 上都不需要安裝額外的用戶端或代理程式。 您可以重新啟用網路安全群組 (NSG),僅允許來自 Azure Bastion 的 RDP 和 SSH。
Azure Bastion 提供一些其他核心安全性優點,包括:
- 從 Azure Bastion 起始到目標 VM 的流量會保留在客戶虛擬網路內。
- 因為 VM 不會公開 RDP 連接埠、SSH 埠和公用 IP 位址,因此您會收到防止埠掃描的保護。
- Azure Bastion 可協助防範零時差攻擊。 它位於虛擬網路的周邊。 因為它是平臺即服務 (PaaS),所以 Azure 平臺會讓 Azure Bastion 保持最新狀態。
- 此服務會與 Azure 虛擬網路的原生安全性設備整合,例如 Azure 防火牆。
- Azure Bastion 可用來監視和管理遠端連線。
如需詳細資訊,請參閱 什麼是 Azure Bastion?。
部署
為了簡化使用者的過程,有 Bicep/ARM 範本可協助您在資料管理登陸區或資料登陸區內快速建立此配置。 使用範本在您的訂用帳戶內建立下列設定:
若要自行部署 Bastion 主機,請選取 部署至 Azure 按鈕:
當您透過 [部署至 Azure] 按鈕部署 Azure Bastion 和 jumpbox 時,您可以提供與您在資料登陸區域或資料管理登陸區域中使用的前置詞和環境相同的資訊。 此部署沒有任何衝突,並且可作為資料著陸區或資料管理著陸區的附加組件。 您可以手動新增其他 VM,以允許更多使用者在環境中工作。
連接到 VM
部署之後,您會發現數據登陸區域虛擬網路上會建立兩個額外的子網。
此外,您會在訂用帳戶內找到新的資源群組,其中包括 Azure Bastion 資源和虛擬機:
若要使用 Azure Bastion 連線到 VM,請遵循下列步驟:
選取 VM(例如,dlz01-dev-bastion),選取 [Connect],然後選取 [Bastion]。
![使用 Azure Bastion 連線至 VM 的 [概觀] 窗格螢幕快照。](../images/bastion-connect-to-vm.png)
請選擇藍色的 使用 Bastion 按鈕。
輸入您的認證,然後選取 [Connect]。
![[使用 Azure Bastion 連線] 窗格的螢幕快照,以使用您的認證登入來連線到您的 VM。](../images/bastion-enter-credentials.png)
RDP 工作階段會在新的瀏覽器索引標籤上開啟,您可以從中開始連線到您的資料服務。
登入 Azure 入口網站。
移至
{prefix}-{environment}-shared-product資源群組內的{prefix}-{environment}-product-synapse001Azure Synapse 工作區,以進行數據探索。![Azure 入口網站中 [Synapse 工作區] 的螢幕快照。](../images/dev-shared-product-synapse.png)
在 Azure Synapse 工作區中,從資源庫載入範例數據集(例如 NYC 計程車數據集),然後選取 [新增 SQL 腳本] 來查詢
TOP 100數據列。
![[使用 Azure Bastion 連線] 窗格的螢幕快照,以使用您的認證登入來連線到您的 VM。](../images/bastion-enter-credentials.png#lightbox)
![Azure 入口網站中 [Synapse 工作區] 的螢幕快照。](../images/dev-shared-product-synapse.png#lightbox)
如果所有虛擬網路互相連接,則只需要在一個資料登陸區中設置一個跳板機,即可存取所有資料登陸區和資料管理登陸區的服務。
若要瞭解為何建議此網路設定,請參閱 網路架構考慮。 我們建議每個數據登陸區域最多一個 Azure Bastion 服務。 如果更多使用者需要存取環境,您可以將額外的 Azure VM 新增至數據登陸區域。
使用點對站連線
或者,您可以使用點對站連線,將用戶連線到虛擬網路。 此方法的 Azure 原生解決方案是設定 VPN 閘道,以允許使用者與 VPN 閘道之間的 VPN 連線透過加密通道。 建立連線之後,使用者可以開始進行私人連線到 Azure 租戶內虛擬網路中承載的服務。
建議您在中樞和輪輻架構的中樞虛擬網路中設定 VPN 閘道。 如需設定 VPN 閘道的詳細逐步指引,請參閱 教學課程:建立閘道入口網站。
使用站對站連線
如果使用者已經連線到內部部署網路環境,並需要將連線延伸至 Azure,您可以使用站對站連線來連接內部部署與 Azure 的連線中樞。 如同 VPN 通道連線,站對站連線可讓您將連線延伸至 Azure 環境。 這麼做可讓連線到公司網路的使用者安全地連線到裝載在 Azure 租戶內虛擬網路上的服務。
建議的 Azure 原生連線方式是使用 ExpressRoute。 建議您在中樞輻射式架構中的中樞虛擬網路中設定 ExpressRoute 閘道。 如需設定 ExpressRoute 連線的詳細逐步指引,請參閱 教學課程:使用 Azure 入口網站建立和修改 ExpressRoute 線路的對等互連。