Wir haben Host-Windows-, Proxy-Linux- (dasselbe VNET, verschiedene Subnetze) und SFTP-Linux-Maschinen (verschiedene VNETs und Subnetze), auf denen SSH auf Port 815 aktiviert ist (SSH erfolgt über die für jede Maschine festgelegte Domäne). Nun haben wir eine Firewall implementiert (Neues VNET und AzureFirewallSubnet) und die VM-VNETs mit der Firewall verbunden (Peering). Die DNAT-Regel ist für SSH auf Port 815 aktiviert, aber über die Firewall können wir nur eine Verbindung zu einer Maschine herstellen, für die zuerst SSH aktiviert wurde (da wir für alle Maschinen denselben Port verwenden). Ich würde gerne wissen, ob es eine Möglichkeit gibt, per SSH auf die öffentlichen IPs der Maschinen zuzugreifen, sodass SSH nicht auf verschiedenen Ports oder auf andere Weise eingerichtet werden muss. Alle Hinweise sind sehr hilfreich, da ich ein absoluter Anfänger in Sachen Firewall und Netzwerke bin. Vielen Dank im Voraus.
NB: Die Infrastruktur wird vollständig mit Terraform erstellt.
Antwort1
Ich würde ein S2S-VPN einrichten und dem VPN in einer Firewall-Regel einen bestimmten IP-Bereich als Quelle für die verschiedenen VNets zulassen.
Eine weitere Möglichkeit besteht darin, eine Azure Bastion in den verschiedenen VNets zu platzieren, in denen Sie SSH-Zugriff benötigen. Azure Bastion ist ein verwalteter Dienst in Azure, der sicheres SSH über eine Art Jump-Host ermöglicht, dann aber von Microsoft verwaltet wird. Es macht öffentliche IP-Adressen oder eine VPN-Verbindung überflüssig, indem Sie über Remote Desktop Protocol (RDP) oder Secure Shell (SSH) direkt über das Azure-Portal eine Verbindung zu Ihren VMs herstellen können. Dies erhöht die Sicherheit, indem es die Exposition gegenüber dem öffentlichen Internet reduziert, und vereinfacht die Fernzugriffsverwaltung.