Azure Bastion

Satt opp Azure Bastion for sikker VM-tilkobling via nettleseren — uten å eksponere RDP mot internett. Etterpå ble den fjernet igjen for å spare kostnader.

FullførtAZ-104 / SC-300Nettverk · Sikkerhet

Hva jeg gjorde

Oppsett og tilkobling

Bastion krever et dedikert subnett som må hete nøyaktig AzureBastionSubnet og være minimum /26. Det kan ikke deles med andre ressurser og kan ikke ha en NSG koblet til seg.

Når Bastion er oppe kobler du til VM-en direkte i nettleserfanen via Azure Portal over HTTPS — ingen lokal RDP-klient nødvendig, og VM-en trenger ikke en public IP. Det er Bastions public IP som mottar trafikken.

Bastion koster ca. NOK 130/dag selv når VM-en er stoppet. Slett Bastion-ressursen og tilhørende Public IP etter lab-økt. Public IP slettes ikke automatisk når Bastion slettes — den må fjernes manuelt.

Praktisk vurdering

Bastion er det riktige valget i produksjon og i situasjoner der sikkerheten skal være høy. For daglig lab-bruk er direkte RDP raskere og billigere — de to er ikke gjensidig utelukkende. I lab beholder jeg begge muligheter og bruker Bastion når jeg øver på det spesifikt.

Bastion kan opprettes og slettes på rundt 10 minutter. Det er ikke nødvendig å la den stå oppe mellom øktene.

Ting å huske

Gikk galt

Azure Policy blokkerte opprettelsen fordi ressursene manglet environment-tag. Enkelt å fikse, men illustrerer at Policy-håndhevelse treffer alle ressurser — inkludert infrastrukturressurser som Bastion-subnettet.

Gikk galt

Edge blokkerte popup da Bastion åpnet RDP-sesjonen i nytt vindu. Tillat popups fra portal.azure.com i nettleseren.

Husk

Subnettnavnet AzureBastionSubnet er case-sensitiv. Skriver du feil vil Bastion-opprettelsen feile med en lite hjelpsom feilmelding.

Microsoft-dokumentasjon

🔐

Azure Bastion oversikt

Microsoft Learn — AZ-104

🚀

Quickstart — Bastion

Microsoft Learn — AZ-104