VNet-peering en Azure Bastion

  • Artikel

Azure Bastion en VNet-peering kunnen samen worden gebruikt. Wanneer VNet-peering is geconfigureerd, hoeft u Azure Bastion niet in elk gekoppeld VNet te implementeren. Dit betekent dat als u een Azure Bastion-host hebt geconfigureerd in één virtueel netwerk (VNet), deze kan worden gebruikt om verbinding te maken met VM's die zijn geïmplementeerd in een gekoppeld VNet zonder een extra bastionhost te implementeren. Zie Over peering van virtuele netwerken voor meer informatie over VNet-peering.

Azure Bastion werkt met de volgende typen peering:

  • Peering van virtuele netwerken: Virtuele netwerken verbinden binnen dezelfde Azure-regio.
  • Wereldwijde peering van virtuele netwerken: Virtuele netwerken verbinden tussen Azure-regio's.

Notitie

Het implementeren van Azure Bastion binnen een Virtual WAN-hub wordt niet ondersteund. U kunt Azure Bastion implementeren in een spoke-VNet en de op IP gebaseerde verbindingsfunctie gebruiken om via de Virtual WAN hub verbinding te maken met virtuele machines die zijn geïmplementeerd in een ander VNet.

Architectuur

Wanneer VNet-peering is geconfigureerd, kan Azure Bastion worden geïmplementeerd in hub-and-spoke- of full-mesh-topologieën. De Azure Bastion-implementatie vindt plaats per virtueel netwerk, niet per abonnement/account of virtuele machine.

Zodra u de Azure Bastion-service in uw virtuele netwerk hebt ingericht, is de RDP/SSH-ervaring beschikbaar voor al uw VM's in hetzelfde VNet en gekoppelde VNets. Dit betekent dat u bastionimplementatie kunt consolideren naar één VNet en nog steeds VM's kunt bereiken die zijn geïmplementeerd in een gekoppeld VNet, waardoor de algehele implementatie wordt gecentraliseerd.

Diagram van ontwerp en architectuur

Het diagram toont de architectuur van een Azure Bastion-implementatie in een hub-and-spoke-model. In het diagram ziet u de volgende configuratie:

  • De bastionhost wordt geïmplementeerd in het gecentraliseerde virtuele hubnetwerk.
  • Gecentraliseerde netwerkbeveiligingsgroep (NSG) wordt geïmplementeerd.
  • Een openbaar IP-adres is niet vereist op de Azure-VM.

Implementatieoverzicht

  1. Controleer of u VNets en virtuele machines in de VNets hebt geconfigureerd.
  2. VNet-peering configureren.
  3. Configureer Bastion in een van de VNets.
  4. Machtigingen controleren.
  5. Verbinding maken met een VIRTUELE machine via Azure Bastion. Als u verbinding wilt maken via Azure Bastion, moet u de juiste machtigingen hebben voor het abonnement waarbij u bent aangemeld.

Machtigingen controleren

Controleer de volgende machtigingen wanneer u met deze architectuur werkt:

  • Zorg ervoor dat u leestoegang hebt tot zowel de doel-VM als het gekoppelde VNet.
  • Controleer uw machtigingen in YourSubscription | IAM en controleer of u leestoegang hebt tot de volgende resources:
    • De lezerrol op de virtuele machine.
    • De lezerrol op de NIC met het privé-IP-adres van de virtuele machine.
    • De rol van Lezer in de Azure Bastion-resource.
    • De rol lezer op de virtuele netwerken van de virtuele doelmachines.

Veelgestelde vragen over Bastion VNet-peering

Zie veelgestelde vragen over Bastion VNet-peering voor veelgestelde vragen.

Volgende stappen

Lees de veelgestelde vragen over Bastion.