À quoi fait référence Azure Bastion Subnet ?
Élément | Description |
Technologie | Service PaaS managé pour accès RDP/SSH sécurisé aux VM Azure via le navigateur |
Fonction principale | Fournir un accès sécurisé sans exposer les VM à Internet public |
Sous-réseau dédié | Nécessite un sous-réseau nommé AzureBastionSubnet dans le VNet cible |
Taille du sous-réseau | Doit être au minimum /26 ou plus grand (/25, /24, etc.) |
Isolation | Le sous-réseau ne doit contenir aucune autre ressource |
Scalabilité | La taille du sous-réseau conditionne le nombre d’instances Bastion possibles (mise à l’échelle) |
Gestion des NSG | Pas obligatoire, mais possible avec règles spécifiques si besoin de contrôle granulaire |
Utilisation | Accès à toutes les VM du VNet (ou réseaux pairés) sans IP publique sur les VM |
Prérequis techniques et compétences
Prérequis technique | Détail |
Abonnement Azure | Obligatoire |
Un réseau virtuel (VNet) | Déjà existant ou à créer |
Sous-réseau dédié | Nom : AzureBastionSubnet, taille /26 ou plus grand |
VM cible | Présente dans le VNet |
Rôles Azure | Lecteur (Reader) sur la VM, la carte réseau (NIC) et la ressource Bastion |
Ports VM | 3389 (Windows), 22 (Linux) |
Groupe de ressources | Bastion et le subnet doivent être dans le même groupe |
Aucune autre ressource dans subnet | Le subnet AzureBastionSubnet doit être réservé à Bastion |
Compétence requise | Détail |
———————————— | —————————————————————————————- |
Administration Azure | Savoir gérer réseaux, VM, ressources, rôles RBAC |
Notions de sécurité réseau | Comprendre la segmentation, les NSG, le principe du moindre privilège |
Utilisation du portail Azure | Navigation, création de ressources, gestion des paramètres avancés |
Scripts PowerShell/Azure CLI | (Optionnel) Pour déploiements automatisés ou avancés |
Niveau de difficulté
Étape / Compétence | Difficulté | Commentaire |
Création du sous-réseau dédié | ★☆☆☆☆ | Simple via portail, attention au nom et à la taille du subnet |
Déploiement du Bastion | ★★☆☆☆ | Quelques paramètres à renseigner, guidé dans le portail |
Configuration des accès/roles | ★★☆☆☆ | RBAC à bien vérifier |
Mise à l’échelle et tuning | ★★★☆☆ | Compréhension des besoins, gestion des instances |
Automatisation (CLI/PowerShell) | ★★★★☆ | Demande des compétences scripting et compréhension des options |
Sécurité avancée (NSG, logs, etc) | ★★★☆☆ | Requiert des notions en sécurité réseau Azure |
Ce guide explique comment déployer un hôte Azure Bastion dédié sur votre réseau virtuel via le portail Azure, en choisissant la référence SKU (Standard ou Essentiel) et les paramètres adaptés à vos besoins. Azure Bastion permet de se connecter en toute sécurité à vos machines virtuelles (VM) via SSH ou RDP, sans nécessiter d’adresse IP publique sur les VM.
Étapes principales du tutoriel
1. Prérequis
Un abonnement Azure actif.
Un réseau virtuel existant.
Au moins une machine virtuelle déployée dans ce réseau.
Les droits suffisants sur la VM et sa carte réseau.
Ouverture des ports nécessaires (RDP 3389 pour Windows, SSH 22 pour Linux).
2. Déploiement d’Azure Bastion
Accédez à votre réseau virtuel dans le portail Azure.
Sélectionnez l’option Bastion puis Configurer manuellement pour choisir la référence SKU et ajuster le nombre d’instances (mise à l’échelle possible avec SKU Standard).
Créez ou sélectionnez le sous-réseau dédié AzureBastionSubnet (/26 minimum).
Créez ou associez une adresse IP publique (SKU Standard) à la ressource Bastion.
Validez et lancez le déploiement (environ 10 minutes).
3. Connexion à une machine virtuelle
Depuis le portail, ouvrez la VM cible et choisissez Connecter > Bastion.
Selon la SKU, différentes options de connexion et protocoles sont disponibles.
Authentifiez-vous et ouvrez la session dans un nouvel onglet du navigateur via le service Bastion (port 443).
4. Suppression de l’adresse IP publique d’une VM
Une fois Bastion en place, l’IP publique de la VM n’est plus nécessaire.
Dissociez puis supprimez l’adresse IP publique de la VM via le portail Azure.
5. Nettoyage des ressources
Une fois les tests ou l’utilisation terminés, supprimez le groupe de ressources pour éviter des coûts inutiles.
Points clés à retenir
Sécurité accrue : Bastion évite d’exposer les VM à Internet.
Simplicité : Accès direct via le portail, sans configuration spéciale sur les VM.
Flexibilité : Choix du SKU, mise à l’échelle, zones de disponibilité.
Coût : La facturation commence dès le déploiement de Bastion, même sans trafic sortant.
Pour aller plus loin
Le tutoriel invite à explorer les fonctionnalités avancées de Bastion, comme la connexion à des groupes identiques, l’utilisation d’un client natif, ou la gestion de la sortie audio distante.
En résumé : Ce tutoriel vous guide pas à pas pour déployer Azure Bastion, connecter vos VM de façon sécurisée, et optimiser la configuration réseau dans Azure.
