Partager via

Déployer Bastion en privé uniquement (préversion)

  • Article

Cet article vous aide à déployer Bastion en privé uniquement. Les déploiements Bastion en privé uniquement verrouillent les charges de travail de bout en bout en créant un déploiement routable non-Internet de Bastion qui autorise uniquement l’accès aux adresses IP privées. Les déploiements Bastion en privé uniquement n’autorisent pas les connexions à l’hôte bastion via une adresse IP publique. En revanche, un déploiement Azure Bastion standard permet aux utilisateurs de se connecter à l’hôte bastion à l’aide d’une adresse IP publique.

Le diagramme suivant montre l’architecture d’un déploiement Bastion en privé uniquement. Un utilisateur connecté à Azure via le peering privé ExpressRoute peut se connecter en toute sécurité à Bastion à l’aide de l’adresse IP privée de l’hôte bastion. Bastion peut ensuite établir la connexion via une adresse IP privée à une machine virtuelle qui se trouve dans le même réseau virtuel que l’hôte bastion. Dans un déploiement Bastion en privé uniquement, Bastion n’autorise pas l’accès sortant en dehors du réseau virtuel.

Diagramme montrant l’architecture Azure Bastion.

Éléments à prendre en compte :

  • Bastion en privé uniquement est configuré au moment du déploiement et nécessite le niveau de référence SKU Premium.

  • Vous ne pouvez pas passer d’un déploiement Bastion standard à un déploiement en privé uniquement.

  • Pour déployer Bastion en privé uniquement sur un réseau virtuel qui dispose déjà d’un déploiement Bastion, supprimez d’abord Bastion de votre réseau virtuel, puis déployez Bastion sur le réseau virtuel en privé uniquement. Vous n’avez pas besoin de supprimer et de recréer le sous-réseau AzureBastionSubnet.

  • Si vous souhaitez créer une connectivité privée de bout en bout, connectez-vous à l’aide du client natif au lieu de vous connecter via le portail Azure.

  • Si vous utilisez ExpressRoute ou un VPN, activez Connexion basée sur IP sur la ressource Bastion lorsque vous déployez votre hôte bastion.

Prérequis

Les étapes de cet article supposent que vous avez les prérequis suivants :

  • Un abonnement Azure. Si vous n’en avez pas, créez un compte gratuit avant de commencer.
  • Un réseau virtuel qui n’a pas de déploiement Azure Bastion.

Exemples de valeurs

Lors de la création de cette configuration, vous pouvez utiliser les exemples de valeurs suivants ou les remplacer par vos propres valeurs.

Valeurs de base du réseau virtuel et de la machine virtuelle

Nom Valeur
Groupe de ressources TestRG1
Région USA Est
Réseau virtuel VNet1
Espace d’adressage 10.1.0.0/16
Nom du sous-réseau 1 : FrontEnd 10.1.0.0/24
Nom du sous-réseau 2 : AzureBastionSubnet 10.1.1.0/26

Valeurs Bastion

Nom Valeur
Nom VNet1-bastion
Tier/SKU Premium
Nombre d'instances (mise à l'échelle de l'hôte) 2 ou plus
Affectation Statique

Déployer Bastion en privé uniquement

Cette section vous aide à déployer Bastion en privé uniquement sur votre réseau virtuel.

Important

Le tarif horaire commence à partir du moment où Bastion est déployé, quelle que soit l’utilisation des données sortantes. Pour plus d’informations, consultez Tarifications et Références SKU. Si vous déployez Bastion dans le cadre d’un tutoriel ou d’un test, nous vous recommandons de supprimer cette ressource après l’avoir utilisée.

  1. Connectez-vous au portail Azure et accédez à votre réseau virtuel. Si vous n’en avez pas déjà un, vous pouvez créer un réseau virtuel. Si vous créez un réseau virtuel pour cet exercice, vous pouvez créer le sous-réseau AzureBastionSubnet (à partir de l’étape suivante) en même temps que vous créez votre réseau virtuel.

  2. Créez le sous-réseau sur lequel vos ressources Bastion seront déployées. Dans le volet gauche, sélectionnez Sous-réseaux -> +Sous-réseau pour ajouter AzureBastionSubnet.

    • Le sous-réseau doit être /26 ou plus grand (par exemple, /26, /25, ou /24) pour prendre en charge les fonctionnalités disponibles avec le niveau de référence SKU Premium.
    • Le sous-réseau doit être nommé AzureBastionSubnet.

  3. Sélectionnez Enregistrer en bas du volet pour enregistrer vos valeurs.

  4. Ensuite, dans la page de votre réseau virtuel, sélectionnez Bastion dans le volet gauche.

  5. Dans la page Bastion, développez Options de déploiement dédiées (si cette section apparaît). Sélectionnez le bouton Configurer manuellement. Si vous ne sélectionnez pas ce bouton, vous ne pouvez pas voir les paramètres requis pour déployer Bastion en privé uniquement.

    Capture d’écran des options de déploiement dédiées pour Azure Bastion et du bouton pour la configuration manuelle.

  6. Dans le volet Créer un Azure Bastion, configurez les paramètres de votre hôte bastion. Les valeurs des Détails du projet sont renseignés avec les valeurs de votre réseau virtuel.

    Sous Détails de l'instance, configurez ces valeurs :

    Capture d’écran des détails de l’instance Azure Bastion.

    • Nom : Le nom que vous souhaitez utiliser pour votre ressource Bastion.

    • Région : région publique Azure dans laquelle est créée la ressource. Choisissez la région où réside votre réseau virtuel.

    • Niveau : Vous devez sélectionner Premium pour un déploiement en privé uniquement.

    • Nombre d’instances : Paramètre de mise à l’échelle de l’hôte. Vous configurez la mise à l'échelle de l'hôte par incréments d'unités d'échelle. Utilisez le curseur ou entrez un nombre pour configurer le nombre d'instances souhaité. Pour plus d’informations, consultez Mise à l’échelle des instances et des hôtes et tarification d’Azure Bastion.

  7. Pour les paramètres Configurer des réseaux virtuels, sélectionnez votre réseau virtuel dans la liste déroulante. Si votre réseau virtuel ne figure pas dans la liste déroulante, assurez-vous d'avoir sélectionné la valeur Région correcte à l'étape précédente.

  8. Le sous-réseau AzureBastionSubnet est automatiquement renseigné si vous l’avez déjà créé dans les étapes précédentes.

  9. La section Configurer l’adresse IP est l’endroit où vous spécifiez qu’il s’agit d’un déploiement en privé uniquement. Vous devez sélectionner Adresse IP privée dans les options.

    Lorsque vous sélectionnez une adresse IP privée, les paramètres de l’adresse IP publique sont automatiquement supprimés de l’écran de configuration.

    Capture d’écran des paramètres de configuration de l’adresse IP Azure Bastion.

  10. Si vous envisagez d’utiliser ExpressRoute ou un VPN avec Bastion en privé uniquement, accédez à l’onglet Options avancées . Sélectionnez Connexion basée sur IP.

  11. Quand vous avez terminé de spécifier les paramètres, sélectionnez Vérifier + créer. Cette étape valide les valeurs.

  12. Une fois les valeurs validées, vous pouvez déployer Bastion. Sélectionnez Créer.

  13. Un message montre que votre déploiement est en cours. Le statut apparaît sur cette page au fur et à mesure de la création des ressources. Il faut environ 10 minutes pour que la ressource Bastion soit créée et déployée.

Étapes suivantes

Pour plus d’informations sur les paramètres de configuration, consultez Paramètres de configuration Azure Bastion et le FAQ sur Azure Bastion.