微软云服务器：利用Azure Bastion（堡垒机）免公网IP、免RDP/SSH端口安全登录虚拟机

在企业公有云的日常运维中，有一个堪称“皇帝的新衣”式的安全重灾区：虚拟机远程登录。

很多刚把业务搬上微软云（Azure）的朋友，为了图省事，往往会直接给虚拟机挂一个公网 IP，然后在网络安全组（NSG）里大开绿灯，把 Windows 的 RDP（3389端口） 或者 Linux 的 SSH（22端口） 直接暴露给全世界。

这种做法在黑客和自动化扫描脚本眼里，无异于在公网上裸奔。你只需要登录 Linux 虚拟机的后台看一下日志，就会震撼地发现，每分每秒都有来自全球各地的未知 IP，在用成千上万种字典组合疯狂暴力破解你的 root 密码。只要你团队里某个员工图方便设了个弱密码，整台服务器、乃至整个企业云端内网的沦陷，只是时间问题。

传统的安全做法是搭一个 VPN，或者自己用一台虚拟机硬啃配置、搭一个开源的跳板机（堡垒机）。但自己搭的堡垒机同样需要公网 IP，你不仅要天天给它打操作系统补丁，还要担心它本身会不会变成黑客眼里的“单点突破口”。

在微软的云原生安全生态里，有一个专为彻底终结“公网暴露焦虑”而生的降维打击武器，叫做 Azure Bastion（堡垒机）。

它的核心逻辑非常霸道且纯粹：让你的虚拟机彻底告别公网 IP，甚至在云端防线（NSG）上把 22 和 3389 端口全部封死。员工只需要拉开浏览器，就能在网页里无密、高防、丝滑地登录进内网。

今天我们拒绝任何官方概念说教，直接从硬核的实战切入，手把手带你用大厂级的标准，在 10 分钟内配置好 AVD 级别的安全堡垒机通道。

第一阶段：深度拆解，Azure Bastion 的“隐形斗篷世界模型”

在去控制台点鼠标之前，你必须在脑子里建立起 Azure Bastion 底层的物理运行模型。为什么它能做到“免公网 IP、免端口暴露”？

整个安全通信链路是由三个阵地交织组成的：

[ 用户浏览器 ] --( HTTPS / 443 端口 )--> [ Azure Bastion (PaaS) ] --( 内网 RDP/SSH )--> [ 纯内网虚拟机 (无公网IP) ]

1. 绝对合规的前端防线（HTTPS / 443）：Bastion 是一个完全托管的 PaaS 服务。员工在登录时，不需要在本地电脑安装任何 RDP（远程桌面连接）客户端或 Putty/Xshell 等工具。你只需要登录 Azure 门户网站，点击连接，所有的远程画面和操作指令，都会被打包封装在标准的 HTTPS（443 端口）流量里，直接在你的浏览器标签页里渲染呈现。 任何企业内网的严苛防火墙，都不会拦截 443 网页流量。
2. 绝对隔离的专属阵地（AzureBastionSubnet）：Bastion 不会和你的业务虚拟机挤在同一个子网里。它要求在你的虚拟网络（VNet）里，划出一块独立、专属、名字死死焊死、任何人不准借宿的独立子网。Bastion 坐镇在这块阵地里，扮演最强看门大爷。
3. 纯内网的安全插管（Private IP Link）：当大爷验证了你的 Azure 账号身份合法后，它会通过微软云内部的骨干网，用内网私有 IP 去敲你虚拟机的门。因此，你的虚拟机可以彻底斩断与外网的一切物理联系，0 公网 IP、0 外部端口开放，稳如泰山。

第二阶段：实战演练——10 分钟平地起高楼，焊死安全通道

请确保你已经在 Azure 上拥有了一个虚拟网络（VNet），并且里面跑着一台完全没有挂载公网 IP 的 Linux 或 Windows 虚拟机。接下来，我们开启战役。

进入 Azure 门户网站（Portal），搜索并进入 “Bastions” 页面。

步骤 1：开辟 Bastion 专属的“禁飞区”（子网划分）

在创建 Bastion 之前，我们必须先去虚拟网络里给看门大爷切出他的独立办公室，否则后续创建会直接报错失败。

1. 进入你的虚拟网络（VNet）页面，点击左侧菜单的 “Subnets”（子网）。
2. 点击顶部的 “+ Subnet”。
3. 注入灵魂的一步：子网的名称（Name）必须、强行、一字不差地填写为：AzureBastionSubnet。这是微软底层自动化脚本识别的唯一暗号，错一个字母都不行。
4. 地址范围（Address range）：划分一个 /26 或 /27 的小网段即可（例如 10.0.1.0/26），点击保存。

步骤 2：创建 Bastion 托管服务

回到 Bastions 页面，点击顶部的 “+ Create”：

1. 基本配置：选择好你的资源组，给堡垒机起名叫 bst-core-prod，地域选择和你虚拟机完全一致的地域（如 East Asia 香港）。
2. Tier（层级）：开发测试选 “Developer”（最省钱，完全托管）；商业生产推荐选 “Basic” 或 “Standard”（支持动态缩放和文件传输）。
3. 虚拟网络：精准选中你刚才划分了子网的那个 VNet。系统会自动检测并绑定我们刚建好的 AzureBastionSubnet。
4. 公网 IP：Bastion 服务本身需要一个公开的入口来接收来自全球员工的浏览器 HTTPS 请求。新建一个标准的公网 IP，起名叫 pip-bst-prod。

点击创建。微软的无服务器编排引擎会在后台全自动为你打磨这个高防网关，通常需要 5 分钟左右落盘。

第三阶段：奇迹时刻——体验纯网页端的“黑客帝国式安全登录”

当 Bastion 的状态亮起绿色的 Succeeded 时，最震撼的体验来了。双手离开你本地的远程桌面软件，准备肉身通关。

1. 进入你那台没有公网 IP、完全处于内网隔离状态的虚拟机详情页（如 vm-linux-prod）。
2. 点击顶部的 “Connect”（连接） 大按钮，在下拉菜单里，毫不犹豫选择 “Connect via Bastion”。

[ 虚拟机详情页 ] -> [ 点击 Connect ] -> [ 选择 Bastion 通道 ]

1. 页面会瞬间切换成一个极其干净的登录面板。输入你这台 Linux 的系统账号（如 root）和密码（或上传你的 SSH 私钥文件）。
2. 最震撼的画面发生：点击 “Connect” 的瞬间，你的浏览器会自动弹出一个全新的标签页。在这个网页内部，黑乎乎、反应速度极快的 Linux 终端命令行（或者 Windows 的华丽桌面）直接百分之百完美渲染出来！

你在网页里敲入 ifconfig，看着清一色的 10.0.x.x 纯内网 IP，本地电脑没有开启任何 VPN，没有配置任何复杂的端口映射，一切平滑得不可思议。

第四阶段：大厂级高防架构下的避坑血泪史

这套方案配置完，你企业内部的虚拟机资产已经等于塞进了保险箱。但要在严苛的商业高并发、审计战场里活下来，作为首席安全官（CISO），你必须在合拢电脑前，顺手焊死以下两个容易被忽视的隐形大坑：

1. 致命的“NSG 防火墙反向锁死”惨剧

很多刚上手 Bastion 的网管，在看到网页登录成功后，兴奋不已。为了追求绝对的安全，他们会来到虚拟机的 网络安全组（NSG） 里，大刀阔斧地新建了一条拒绝策略：“禁止一切入站流量（Deny All Inbound）”。

• 灾难发生：这条策略一保存，你会发现网页端的 Bastion 瞬间断联，再也登不进去了。
• 原因拆解：很多人误以为 Bastion 既然是微软官方服务，就能无视网络安全组（NSG）。其实不然！Bastion 本质上也是通过内网 IP（在 AzureBastionSubnet 范围里）去连接虚拟机的。如果你直接简单粗暴地封锁了虚拟机的 22/3389 端口，就会把看门大爷一脚关在门外。
• 大厂标准避坑配置：在虚拟机的 NSG 入站规则里，严禁对公网（Internet）开放 22 和 3389。但你必须新建一条高优先级规则：源（Source）选择“Service Tag”，标签名精准选中 AzureBastionSubnet；端口允许 22 和 3389 放行。 这样，除了大爷能推门进来，公网上任何牛鬼蛇神敲门都会被瞬间物理拦截。

2. 警惕“跨 VNet 瞎指挥”的财务白嫖陷阱

很多公司在云端不止建了一个虚拟网络（VNet），可能测试环境一个 VNet，生产环境一个 VNet。很多新手为了图省事，会给每一个 VNet 都生生买一个全新的 Azure Bastion 实例。

• 内幕曝光：Azure Bastion 是按小时和实例算钱的。如果你开了好几个堡垒机，月底那张高昂的账单能直接让财务跟老板告状。
• 架构师降本增效加固规范：全网只需建一个堡垒机（Hub-Spoke 架构）。你只需要在最核心的 Hub-VNet 里建一个高配的 Bastion 堡垒机。其他的子 VNet（如测试、预发环境），只需要通过 虚拟网络对等互联（VNet Peering），和核心的 Hub-VNet 连通。在登录其他 VNet 的虚拟机时，Bastion 能够极其聪明地跨越 Peering 管道，直接隔空连过去，实现“单机守全网”。控盘精准，把每一枚硬币都用在刀刃上。

总结

利用 Azure Bastion 快速搭建企业级高防虚拟机登录通道，核心的工业级精髓简化为十六个字：暗号对齐，免去公网，网页渲染，内网锁死。

你彻底告别了过去天天去盯暴力破解日志、提心吊胆怕虚拟机弱密码漏洞、深夜人肉爬起来升级跳板机操作系统的原始苦海。把所有最核心的远程连接控制面，完全托管给微软百亿美金打造的 Web 级网络安全网关。坐在电脑前，拉开浏览器优雅办公，前方任凭黑客如何扫描探测，你整座云端帝国的核心服务器都将稳如泰山。