Azure Bastion 简介与使用

    今天来谈一谈Azure上的堡垒机，堡垒机相信是不少客户都会使用的，国内不少云厂商其实都会提供一些堡垒机的服务给客户，相比之下，Global的云厂商这点上就要差一些，在国内基本上没有堡垒机的服务可以给客户使用，不过在Global，Azure仍是提供Bastion service给客户的，此次就来看下Azure Bastion

    首先来看下Azure Bastion的介绍，Azure Bastion主要提供如下服务

    •在 Azure 门户中直接使用 RDP 和 SSH 链接 ：能够经过单击无缝体验直接在 Azure 门户中进行 RDP 和 SSH 会话。

    •经过 SSL 和防火墙遍历进行 RDP/SSH 远程会话 ：Azure Bastion 使用基于 HTML5 的 Web 客户端，该客户端自动流式传输到本地设备，使你经过端口 443 上的 SSL 进行 RDP/SSH 会话，支持安全遍历公司防火墙。

    •Azure VM 无需公共 IP ：Azure Bastion 使用 VM 上的专用 IP 打开与 Azure 虚拟机的 RDP/SSH 链接。 虚拟机无需公共 IP。

    •轻松管理 NSG ：Azure Bastion 是 Azure 提供的平台 PaaS 服务，其内部进行了加固，以提供安全的 RDP/SSH 链接。 无需在 Azure Bastion 子网上应用任何 NSG。 因为 Azure Bastion 经过专用 IP 链接到虚拟机，因此可将 NSG 配置为仅容许来自 Azure Bastion 的 RDP/SSH。 这样消除了每次须要安全地链接到虚拟机时管理 NSG 的麻烦。

    •端口扫描防御 ：由于无需将虚拟机公开到公共 Internet，所以可防止 VM 受到虚拟网络外部的恶意用户的端口扫描。

    •防止零日漏洞。仅在一个位置强化： Azure Bastion 是平台 PaaS 服务。 因为它位于虚拟网络外围，所以你无需担忧如何强化虚拟网络中的每一个虚拟机。 Azure 平台经过使 Azure Bastion 保持强化且始终保持最新版本，防止零日漏洞。

    从功能上来看，Azure Bastion提供的其实并非不少，最起码和第三方的堡垒机相比，功能仍是差了些，不过它的优点也很明显，无需复杂的配置，能够很好的与云平台集成，这都是它的优点，至于用不用，那就是见仁见智了

    下边先来看一下Azure Bastion的架构，能够看到Azure Bastion的架构简单清晰，基本上不须要任何客户本身的配置

    下边就来试一下Bastion的部署和使用

    首先找到Bastion服务，而后新建一个Bastion

    从列表上能够看出来，其实支持Azure Bastion的region并非不少 

    

    Bastion须要一个至少27位的subnet，而且这个subnet的名字必须是AzureBastionSubnet，这个和其余服务很相似

   

    Bastion的部署很是简单，建立完成以后就能够直接使用了，以一台Linux的机器为例，要使用Azure Bastion链接到VM，你不须要任何RDP或者SSH客户端，链接时走的协议也不是RDP和SSH，而是经过HTTPS链接，在访问时仅仅须要登陆到Portal，而后直接connect便可

    能够看到在浏览器里就能够链接到VM，而后作咱们须要的操做了！   

    这点其实仍是比较方便的，被链接的VM也不须要有任何公网IP