NSG Erişimi ve Azure Bastion
Azure Bastion, özellikle AzureBastionSubnet’e dağıtılır.
- Giriş (Ingress) Trafik:
- Genel internetten gelen Trafik Girişi: Azure Bastion, giriş trafiği için genel IP’de 443 numaralı bağlantı noktasının etkinleştirilmesini gerektiren bir genel IP oluşturacaktır. 3389/22 numaralı bağlantı noktasının AzureBastionSubnet üzerinde açılması GEREKMEZ.
- Azure Bastion kontrol düzleminden gelen Trafiği Girişi: Kontrol düzlemi bağlantısı için GatewayManager hizmet etiketinden 443 numaralı bağlantı noktasını gelen girişi etkinleştirin. Bu, kontrol düzleminin, yani Ağ Geçidi Yöneticisi’nin Azure Bastion ile konuşabilmesini sağlar.
- Çıkış (Egress) Trafik:
- Hedef VM’lere Yönelik Trafiği Yükseltin: Azure Bastion, özel IP üzerinden hedef VM’lere ulaşacaktır. NSG’lerin 3389 ve 22 numaralı bağlantı noktaları için diğer hedef VM alt ağlarına çıkış trafiğine izin vermesi gerekir.
- Azure’daki diğer ortak uç noktalara giden Trafiği Yükseltme: Azure Bastion’ın Azure’daki çeşitli genel uç noktalara bağlanabilmesi gerekir (örneğin, tanılama günlüklerini ve ölçüm günlüklerini depolamak için). Bu nedenle, Azure Bastion’un AzureCloud hizmet etiketine 443’e çıkması gerekir.
- Hedef VM Alt Ağı: Bu, RDP / SSH yapmak istediğiniz hedef sanal makineyi içeren alt ağdır.
- Azure Bastion’dan Giriş Trafiği: Azure Bastion, özel IP üzerinden hedef VM’e ulaşacaktır. Özel IP üzerinden RDP / SSH bağlantı noktalarının (sırasıyla 3389/22 bağlantı noktaları) hedef VM tarafında açılması gerekir. En iyi uygulama olarak, yalnızca Bastion’ın bu bağlantı noktalarını hedef VM alt ağınızdaki hedef VM’lerde açabilmesine izin vermek için Azure Bastion Alt Ağ IP adresi aralığını bu kurala ekleyebilirsiniz.
AzureBastionSubnet’e bir NSG oluşturup uygularsanız, NSG’nize aşağıdaki kuralları eklediğinizden emin olun. Bu kuralları eklemezseniz, NSG oluşturma / güncelleme başarısız olur:
- Kontrol düzlemi bağlantısı: GatewayManager’dan 443’te gelen
- Tanı günlüğü ve diğerleri: 443’te AzureCloud’a giden. Bu hizmet etiketindeki bölgesel etiketler henüz desteklenmiyor.
- Hedef VM: VirtualNetwork’e 3389 ve 22 için giden