今天來談一談Azure上的堡壘機,堡壘機相信是很多客戶都會使用的,國內很多雲廠商其實都會提供一些堡壘機的服務給客戶,相比之下,Global的雲廠商這點上就要差一些,在國內基本上沒有堡壘機的服務能夠給客戶使用,不過在Global,Azure還是提供Bastion service給客戶的,這次就來看下Azure Bastion
首先來看下Azure Bastion的介紹,Azure Bastion主要提供以下服務
•在 Azure 門戶中直接使用 RDP 和 SSH 連接 :可以通過單擊無縫體驗直接在 Azure 門戶中進行 RDP 和 SSH 會話。
•通過 SSL 和防火牆遍歷進行 RDP/SSH 遠程會話 :Azure Bastion 使用基於 HTML5 的 Web 客戶端,該客戶端自動流式傳輸到本地設備,使你通過端口 443 上的 SSL 進行 RDP/SSH 會話,支持安全遍歷公司防火牆。
•Azure VM 無需公共 IP :Azure Bastion 使用 VM 上的專用 IP 打開與 Azure 虛擬機的 RDP/SSH 連接。 虛擬機無需公共 IP。
•輕鬆管理 NSG :Azure Bastion 是 Azure 提供的平臺 PaaS 服務,其內部進行了加固,以提供安全的 RDP/SSH 連接。 無需在 Azure Bastion 子網上應用任何 NSG。 由於 Azure Bastion 通過專用 IP 連接到虛擬機,所以可將 NSG 配置爲僅允許來自 Azure Bastion 的 RDP/SSH。 這樣消除了每次需要安全地連接到虛擬機時管理 NSG 的麻煩。
•端口掃描防護 :因爲無需將虛擬機公開到公共 Internet,因此可防止 VM 受到虛擬網絡外部的惡意用戶的端口掃描。
•防止零日漏洞。僅在一個位置強化: Azure Bastion 是平臺 PaaS 服務。 由於它位於虛擬網絡外圍,因此你無需擔心如何強化虛擬網絡中的每個虛擬機。 Azure 平臺通過使 Azure Bastion 保持強化且始終保持最新版本,防止零日漏洞。
從功能上來看,Azure Bastion提供的其實並不是很多,最起碼和第三方的堡壘機相比,功能還是差了些,不過它的優勢也很明顯,無需複雜的配置,可以很好的與雲平臺集成,這都是它的優勢,至於用不用,那就是見仁見智了
下邊先來看一下Azure Bastion的架構,可以看到Azure Bastion的架構簡單清晰,基本上不需要任何客戶自己的配置
下邊就來試一下Bastion的部署和使用
首先找到Bastion服務,然後新建一個Bastion
從列表上可以看出來,其實支持Azure Bastion的region並不是很多
Bastion需要一個至少27位的subnet,並且這個subnet的名字必須是AzureBastionSubnet,這個和其他服務很類似
Bastion的部署非常簡單,創建完成之後就可以直接使用了,以一臺Linux的機器爲例,要使用Azure Bastion連接到VM,你不需要任何RDP或者SSH客戶端,連接時走的協議也不是RDP和SSH,而是通過HTTPS連接,在訪問時僅僅需要登錄到Portal,然後直接connect即可
可以看到在瀏覽器裏就可以連接到VM,然後做我們需要的操作了! 
這點其實還是比較方便的,被連接的VM也不需要有任何公網IP