Condividi tramite

Peering di rete virtuale e Azure Bastion

  • Articolo

Azure Bastion e Rete virtuale peering possono essere usati insieme. Quando Rete virtuale peering è configurato, non è necessario distribuire Azure Bastion in ogni rete virtuale con peering. Ciò significa che se si dispone di un host Azure Bastion configurato in una rete virtuale (VNet), può essere usato per connettersi alle macchine virtuali distribuite in una rete virtuale con peering senza distribuire un host bastion aggiuntivo. Per altre informazioni sul peering reti virtuali, vedere Informazioni sul peering di rete virtuale.

Azure Bastion funziona con i seguenti tipi di peering:

  • Peering di reti virtuali: connette reti virtuali all'interno della stessa area di Azure.
  • Peering di rete virtuale globale: Connessione ing di reti virtuali tra aree di Azure.

Nota

La distribuzione di Azure Bastion in un hub rete WAN virtuale non è supportata. È possibile distribuire Azure Bastion in una rete virtuale spoke e usare la funzionalità di connessione basata su IP per connettersi alle macchine virtuali distribuite in una rete virtuale diversa tramite l'hub rete WAN virtuale.

Architettura

Quando è configurato il peering reti virtuali, Azure Bastion può essere distribuito in topologie hub-spoke o full-mesh. La distribuzione di Azure Bastion viene effettuata per rete virtuale e non per sottoscrizione/account o macchina virtuale.

Dopo aver effettuato il provisioning del servizio Azure Bastion nella rete virtuale, l'esperienza RDP/SSH è disponibile per tutte le macchine virtuali nella stessa rete virtuale e reti virtuali con peering. Ciò significa che è possibile consolidare la distribuzione bastion in una singola rete virtuale e comunque raggiungere le macchine virtuali distribuite in una rete virtuale con peering, centralizzando la distribuzione complessiva.

Diagramma di progettazione e architettura

Il diagramma mostra l'architettura di una distribuzione di Azure Bastion in un modello hub-spoke. Nel diagramma è possibile visualizzare la configurazione seguente:

  • L'host bastion viene distribuito nella rete virtuale hub centralizzata.
  • Il gruppo di sicurezza di rete centralizzato (NSG) viene distribuito.
  • Non è necessario un indirizzo IP pubblico nella macchina virtuale di Azure.

Cenni preliminari sulla distribuzione

  1. Verificare di aver configurato reti virtuali e macchine virtuali all'interno delle reti virtuali.
  2. Configurare il peering reti virtuali.
  3. Configurare Bastion in una delle reti virtuali.
  4. Verificare le autorizzazioni.
  5. Connessione a una macchina virtuale tramite Azure Bastion. Per connettersi tramite Azure Bastion, è necessario disporre delle autorizzazioni corrette per la sottoscrizione a cui si è connessi.

Per verificare le autorizzazioni

Verificare le autorizzazioni seguenti quando si usa questa architettura:

  • Assicurarsi di avere accesso in lettura sia alla macchina virtuale di destinazione che alla rete virtuale con peering.
  • Controllare le autorizzazioni in YourSubscription | IAM e verificare di avere accesso in lettura alle risorse seguenti:
    • Ruolo Lettore nella macchina virtuale.
    • Ruolo Lettore nella scheda di interfaccia di rete con l'indirizzo IP privato della macchina virtuale.
    • Ruolo Lettore nella risorsa Azure Bastion.
    • Ruolo lettore nelle reti virtuali delle macchine virtuali di destinazione.

Domande frequenti sul peering reti virtuali bastion

Per domande frequenti, vedere Le domande frequenti sul peering reti virtuali Bastion.

Passaggi successivi

Leggere le domande frequenti su Bastion.