Azure Bastion 簡介與使用

    今天來談一談Azure上的堡壘機，堡壘機相信是不少客戶都會使用的，國內不少雲廠商其實都會提供一些堡壘機的服務給客戶，相比之下，Global的雲廠商這點上就要差一些，在國內基本上沒有堡壘機的服務可以給客戶使用，不過在Global，Azure仍是提供Bastion service給客戶的，此次就來看下Azure Bastion

    首先來看下Azure Bastion的介紹，Azure Bastion主要提供如下服務

    •在 Azure 門戶中直接使用 RDP 和 SSH 鏈接 ：能夠經過單擊無縫體驗直接在 Azure 門戶中進行 RDP 和 SSH 會話。

    •經過 SSL 和防火牆遍歷進行 RDP/SSH 遠程會話 ：Azure Bastion 使用基於 HTML5 的 Web 客戶端，該客戶端自動流式傳輸到本地設備，使你經過端口 443 上的 SSL 進行 RDP/SSH 會話，支持安全遍歷公司防火牆。

    •Azure VM 無需公共 IP ：Azure Bastion 使用 VM 上的專用 IP 打開與 Azure 虛擬機的 RDP/SSH 鏈接。 虛擬機無需公共 IP。

    •輕鬆管理 NSG ：Azure Bastion 是 Azure 提供的平臺 PaaS 服務，其內部進行了加固，以提供安全的 RDP/SSH 鏈接。 無需在 Azure Bastion 子網上應用任何 NSG。 因爲 Azure Bastion 經過專用 IP 鏈接到虛擬機，因此可將 NSG 配置爲僅容許來自 Azure Bastion 的 RDP/SSH。 這樣消除了每次須要安全地鏈接到虛擬機時管理 NSG 的麻煩。

    •端口掃描防禦 ：由於無需將虛擬機公開到公共 Internet，所以可防止 VM 受到虛擬網絡外部的惡意用戶的端口掃描。

    •防止零日漏洞。僅在一個位置強化： Azure Bastion 是平臺 PaaS 服務。 因爲它位於虛擬網絡外圍，所以你無需擔憂如何強化虛擬網絡中的每一個虛擬機。 Azure 平臺經過使 Azure Bastion 保持強化且始終保持最新版本，防止零日漏洞。

    從功能上來看，Azure Bastion提供的其實並非不少，最起碼和第三方的堡壘機相比，功能仍是差了些，不過它的優點也很明顯，無需複雜的配置，能夠很好的與雲平臺集成，這都是它的優點，至於用不用，那就是見仁見智了

    下邊先來看一下Azure Bastion的架構，能夠看到Azure Bastion的架構簡單清晰，基本上不須要任何客戶本身的配置

    下邊就來試一下Bastion的部署和使用

    首先找到Bastion服務，而後新建一個Bastion

    從列表上能夠看出來，其實支持Azure Bastion的region並非不少 

    

    Bastion須要一個至少27位的subnet，而且這個subnet的名字必須是AzureBastionSubnet，這個和其餘服務很相似

   

    Bastion的部署很是簡單，建立完成以後就能夠直接使用了，以一臺Linux的機器爲例，要使用Azure Bastion鏈接到VM，你不須要任何RDP或者SSH客戶端，鏈接時走的協議也不是RDP和SSH，而是經過HTTPS鏈接，在訪問時僅僅須要登陸到Portal，而後直接connect便可

    能夠看到在瀏覽器裏就能夠鏈接到VM，而後作咱們須要的操做了！   

    這點其實仍是比較方便的，被鏈接的VM也不須要有任何公網IP