Appairage de réseaux virtuels et Azure Bastion

  • Article

Azure Bastion et l’appairage de réseaux virtuels peuvent être utilisés ensemble. Lorsque l’appairage de réseaux virtuels est configuré, vous ne devez pas déployer Azure Bastion dans chaque réseau virtuel appairé. Cela signifie que, si vous avez un hôte Azure Bastion configuré dans un réseau virtuel, il permettre de se connecter aux machines virtuelles déployées dans un réseau virtuel appairé sans déployer d’hôte bastion supplémentaire. Pour plus d’informations sur l’appairage de réseaux virtuels, voir À propos de l’appairage de réseaux virtuels.

Azure Bastion fonctionne avec les types d’appairages suivants :

  • Peering de réseaux virtuels : connecte des réseaux virtuels au sein d’une même région Azure.
  • Appairage global de réseaux virtuels : connecte des réseaux virtuels entre les différentes régions Azure.

Notes

Le déploiement d’Azure Bastion dans un hub Virtual WAN n’est pas pris en charge. Vous pouvez déployer Azure Bastion dans un réseau virtuel spoke et utiliser la fonctionnalité de connexion basée sur IP pour vous connecter aux machines virtuelles déployées sur un autre réseau virtuel via le hub Virtual WAN.

Architecture

Lorsque l’appairage de réseaux virtuels est configuré, Azure Bastion peut être déployé dans des topologies hub-and-spoke ou de maille pleine. Le déploiement Azure Bastion est effectué par réseau virtuel et non par abonnement/compte ou machine virtuelle.

Une fois que vous avez approvisionné le service Azure Bastion dans votre réseau virtuel, l’expérience RDP/SSH est disponible pour toutes vos machines virtuelles sur le même réseau virtuel et les réseaux virtuels appairés. Cela signifie que vous pouvez consolider le déploiement de Bastion sur un réseau virtuel unique et toujours atteindre des machines virtuelles déployées dans un réseau virtuel appairé, centralisant ainsi le déploiement global.

Diagramme illustrant la conception et l’architecture

Ce schéma représente l’architecture d’un déploiement Azure Bastion dans un modèle hub-and-spoke. Dans ce schéma, vous pouvez voir la configuration suivante :

  • L’hôte bastion est déployé dans le réseau virtuel du hub centralisé.
  • Le groupe de sécurité réseau (NSG) centralisé est déployé.
  • Aucune adresse IP publique n’est requise sur la machine virtuelle Azure.

Vue d’ensemble du déploiement

  1. Vérifiez que vous avez configuré les réseaux virtuelset les machines virtuelles au sein des réseaux virtuels.
  2. Configurez VNET Peering.
  3. Configurez Bastion dans l’un des réseaux virtuels.
  4. Vérifiez les autorisations.
  5. Se connecter à une machine virtuelle à l’aide d’Azure Bastion Pour vous connecter par le biais d’Azure bastion, vous devez disposer des autorisations appropriées pour l’abonnement auquel vous êtes connecté.

Pour vérifier les autorisations

Vérifiez les autorisations suivantes lors de l’utilisation de cette architecture :

  • Vérifiez que vous disposez d’un accès en lecture à la machine virtuelle cible et au réseau virtuel appairé.
  • Vérifier vos autorisations dans YourSubscription | IAM et vérifiez que vous disposez d’un accès en lecture aux ressources suivantes :
    • Rôle de lecteur sur la machine virtuelle.
    • Rôle de lecteur sur la carte réseau avec adresse IP privée de la machine virtuelle.
    • Rôle de lecteur sur la ressource Azure Bastion.
    • Rôle lecteur sur les réseaux virtuels des machines virtuelles cibles.

Forum aux questions sur le peering de machines virtuelles Bastion

Pour accéder aux questions fréquentes, consultez la FAQ Bastion (section sur l’appairage de réseau virtuel).

Étapes suivantes

Lisez les questions fréquentes sur Bastion.