Azure Bastion

Mooncake 可用性

如图所示，Azure Bastion 在中国北2和中国东2可用。

什么是 Azure Bastion

Azure 堡垒机是一种可以让你用浏览器或者Azure门户网站来连接虚拟机的服务。Azure Bastion 全托管的PaaS服务，在虚拟网络内部进行使用。
Azure 堡垒机直接通过TLS，从Azure门户网站提供安全无缝的RDP/SSH连接。当用Azure 堡垒机进行连接登录时，虚拟机不需要公共IP地址，也不需要代理，也不需要专门的客户端软件。
堡垒机可以给Linux和Windows提供安全的链接。

架构

Azure 堡垒机的部署是基于每一个虚拟网络的，而不是基于订阅或者账户，也不是基于虚拟机。也就是说，如果Azure 堡垒机安装再你的虚拟网络上，虚拟网络里面的所有虚拟机都可以受到堡垒机的保护。

RDP SSH是链接虚拟机的基本链接方式，但是直接讲RDP SSH暴露再互联网上会有很大的隐患，这是因为RDP和SSH端口的漏洞导致的。

所以，就会安装堡垒机，也可以叫跳板机Jump-server放在面向互联网的边缘网络上，来防范攻击。

如图所示，

• 堡垒机主机安装在Vnet上
• 用户通过HTML5浏览器连接到Azure门户，在连接到堡垒机
• 用户可以选择想要链接的虚拟机
• 只需要简单一点，就可以连接上RDP SSH会话
• 这样Azure虚拟机就不需要公共IP地址

特点

1. 虚拟机不需要公网IP地址
2. 不支持IPv6
3. 不需要RDP或SSH客户端，直接通过浏览器进入虚机
4. Azure虚拟机不需要安装任何的Agent
5. Azure Bastion支持的并发RDP/SSH会话有限
6. 在RDP会话中，目前只支持文本的复制黏贴功能，不支持文件复制
7. 浏览器：Windows系统下支持Edge和Chrome，Mac系统下支持Chrome
8. 收费模式：按时间收费/按出站数据量收费