Mon test d’Azure Bastion

Alors oui, c’est une fonctionnalité dont nous parlions peu mais qui va simplifier beaucoup la vie quotidienne.

L’annonce de la public preview est récente, mais la fonction marche déjà très bien, sous peu que vous utilisiez le portail Azure Preview (https://aka.ms/BastionHost).

Le principe est très simple : vous avez des VMs connectée à des Vnet isolés du monde extérieur, et vous ne souhaitez pas ouvrir les ports d’administration (SSH/RDP) de ces VMs vers l’extérieur.

Habituellement, vous montiez une VM dédiée, qui elle était configurée pour accepter les connexions extérieures, avec une stack spécifique lui permettant de servir de relais vers les VMs protégées.

Bonjour la complexité :

  • D’administration d’une solution dédiée, et parfois bancale (si quelqu’un aime sshgw, qu’il se jette la première pierre!)
  • D’utilisation au quotidien. Dans certains cas un logiciel particulier permettait une connexion relativement simple, dans d’autres il fallait s’authentifier plusieurs fois et faire des tunnels SSH pour arriver à sa destination…

Et là, libération avec Azure Bastion. Démonstration!

Mettons que vous ayez déjà une VM déployée sur Azure. Lorsque vous utilisez le portail Azure pour vous y connecter, en principe, vous n’avez qu’à cliquer sur le petit bouton qui va bien. Dans mon cas une VM Linux :

Mais je triche, cette VM possède une IP publique ouverte sur l’extérieur.

Si je dissocie la VM et l’IP publique, c’est une autre paire de manches…

Mais il me reste la jolie option Bastion.

Comme je n’ai encore rien déployé, il me propose de le faire à ce moment-là :

Quelques questions à compléter, surtout en termes d’adressage :

Le déploiement ne prend que quelques minutes.

Une fois tout déployé, j’ai accès à l’option Bastion, je n’ai plus qu’à indiquer mon user/password, et hop, j’ai un nouvel onglet qui embarque ma connexion. Honnêtement, je n’ai rien vu de perceptible en termes de performance.

(oui les lecteurs attentifs auront noté un léger détail, ma démo a été faite en deux fois, avec une VM Linux au début, et Windows à la fin 🙂

En termes de management du bastion, pour le moment, les options sont peu nombreuses, en dehors des menus standards de log/IAM/tags etc.

Nul doute que cela viendra avec les avancées de la Preview, puis la sortie en GA

Quelques petites notes malgré tout pour le déploiement.

Pour le moment, celui-ci nécessite la présence d’un subnet en /27 minimum nommé AzureBastionSubnet pour fonctionner.

Et la liste des régions possibles pour la preview reste limitée :

  • West US
  • East US
  • West Europe
  • South Central US
  • Australia East
  • Japan East

Et la doc complète est là : https://docs.microsoft.com/en-us/azure/bastion/bastion-create-host-portal

Alors vous en pensez quoi? Vous le déployez tout de suite?