Azure’da sahip olduğunuz sanal makinalara yönetim amaçlo RDP yada SSH ile erişmemiz gerekdiğinde bir kaç seçeneğimiz bulunmaktadır:
Şirket içi (on-premises) network’ten erişim
Şirket içi network’ünüz ile Azure arasında network’sel bir bağlantı varsa (VPN , ExpressRoute) ve de gerekli erişim kuralla (Firewall\NSG) tanımlandıysa
Azure’daki sanal makinalarınıza şirket için network’ünüzde RDP yada SSH bağlantısı yapabilirsiniz. Covid19 sebebi ile büyük çoğunluğumuz evden çalıştığı bu günlerde tabiki önce şirket içi network’ünüze VPN bağlantısı yapmanız gerekecektir. Aynı durum destek aldığınız yada bir proje üzerinde birlikte çalıştığınız kişiler içinde aynı olacaktor.
Public IP üzerinden erişim
Ortamınızda Azure Firewall yada NVA bulunmuyorsa bağlanmak istediğiniz sanal makinaya public IP atayarak bu IP ile RDP yada SSH erişimi sağlayabilirsiniz. Bu yöntemde NSG üzerindeki kuralların sanal makinaya erişmek isteyen her kullanıcı için güncellenmesi ve takip edilmesi gerekir. Ayrıca bir sanal makinanın direk olarak public IP’ye sahip kötü niyetli kişiler için bir güvenlik açıgıdır.
Public IP’ye Sahip Jumpbox VM
Erişmeniz gereken tüm makinara public IP atamak yerine Jumpbox adı verilen tek bir makinaya public IP üzerinden eriştikten sonra diğer makinalara bu makina üzerinden RDP yada SSH yapabilirsiniz. Günün sonunda tek bir makina içinde olsa güncellemeniz ve takip etmeniz gereken bir çok NSG kuralı olacatır. Ayrıca yine güvenlik sebebi ile domain ortamında olmayan bu jumpbox makinası üzerindeki local kullanıcılarında yönetilmesi ayrı bir derttir.
Azure Firewall NAT Erişimi
Ortamınızda Azure Firewall yada diğer bir VNA güvenlik çözümü bulunmaktaya, Jumpbox makinasına public IP atamak yerine Azure Firewall üzerinde oluşturacağınız NAT ve Network kuralları ile Azure Firewall IP ‘sini kullanarak dilediğiniz makinaya erişebilirsiniz. Bu yöntemdede takip etmeniz ve gücellemeniz gereke NAT ve Network kuralları olacaktır.
Azure Bastion
Bastion Azure’da bulunan sanal makinalara Azure Portal üzerinden internet tarayıcısını kullanarak RDP/SSH bağlantılar yapabilmenizi sağlayan bir PaaS servisidir. Bastion kullanarak bağlanmak istediğiniz sanal makinanın public IP’ye yada özel bir yazılıma sahip olması gerekmez.
Avantajları:
- Azure portal üzerinden direk RDP ve SSH erişimi
- Sanal makinalarda Public IP ihtiyacını ortadan kaldırması
- Sanal makinalar üzerinde ekstra bir yapılandırmaya gerek olması
- NSG yada Firewall üzerinde kurallara ihtiyac yoktur
- Port taraması gibi yapılacak kötü niyetli aktivitelere karşı koruma sağlar
Ön gereksinimler
Bastion ‘un dağıtılacağı Virtual Network içerisinde AzureBastionSubnet adında min /26 Subnet, bu subnet host scaling için kullanılır.
Host Scaling
Azure Bastion yapılandırdığınızda; seçtiğiniz Virtual Network’ünüze Azure Bastion Host kurulur. Bu host aslında arka planca çalışan, instance adını verdiğimiz bir sanal makinadır. Bastion ile ilgili tüm işlemler bu makina üzerinde gerçekleşir. Basic SKU’da 2 iki, Standard SKU’da bu instance sayısı 50’ye kadar çıkabillir. Azure bastion dağıtmında min /26 subnet gereksinimin olması bu arka planda oluşturulacak bu instace’lerde kullanmak üzeredir.
Her instance aynı anda 10 RDP, 50 SSH bağlantı destekler. Ayrca bastion ile yaptınız işlemin instance makinasında ne kadar CPU harcadığınıza bağlı olarak bu sayı değişebilir. Standard SKU Bastion’da instance sayısı 50’ye kadar çıkartılabilir.
Custom Ports
Varsayılan olarak Bastion RDP için 3389, SSH için 22 portlarını kullanır. Eğer bu servisler için sanal makina üzerinde farklı portlar taımladıysanız, bağlantı sırasında bu özel portları kullanabilirsiniz.
SKU
Azure Bastion Basic ve Standard olmak üzere iki SKU’ya sahiptir. Detayları aşağıdaki tablodan inceleyebilirsiniz:
Özellik | Basic SKU | Standard SKU |
Peered Network’teki makinalara erişim | Desktekleniyor | Desktekleniyor |
Key vault üzerindeki key’leri kullanarak Linux VM’lere erişim | Desktekleniyor | Desktekleniyor |
Host scaling | – | Desktekleniyor |
Özel inbound port | – | Desktekleniyor |
SSH ile Linux makinalara erişim | Desktekleniyor | |
RDP ile Linux makinalara erişim | – | Desktekleniyor |
SSH ile Windows makinalara erişim | Desktekleniyor | Desktekleniyor |
RDP ile Windows makinalara erişim | – | Desktekleniyor |
Dosya Transferi | – | Desktekleniyor |
Fiyatlandırma
Azure Bastion saatlik compute ve giden trafik için ücretlendilir.
Basit SKU saatlik $0.19, Standard SKU saatlik $0.29’dir. Giden trafik ilk 5 GB ücretsiz sonraki 10 TB kadar olan veri için GB başına $0.087’dir.
Azure Bastion Yapılandırması
Azure Bastion yapılandırması için Azure Portal – Bastion yolunu takip edebilirsiniz.
Test ortamımdaki Bastion dağıtımım Basic SKU olduğundan 6-7 dk içerisinde tamamlanıyor. Basion ile dilediğiniz makinaya bağlanabilirsiniz.
Kullanıcı adı ve şifremizi yaptıktan sonra bağlantı sağlanıyor.
Görüşmek üzere.