Distribuera Bastion som privat (förhandsversion)

Artikel
05/30/2024

Den här artikeln hjälper dig att distribuera Bastion som en privat distribution. Privata Bastion-distributioner låser arbetsbelastningar från slutpunkt till slutpunkt genom att skapa en distribution som inte kan dirigeras via Internet av Bastion som endast tillåter åtkomst till privata IP-adresser. Endast privata Bastion-distributioner tillåter inte anslutningar till bastionsvärden via offentlig IP-adress. En vanlig Azure Bastion-distribution gör det däremot möjligt för användare att ansluta till skyddsvärden med hjälp av en offentlig IP-adress.

Följande diagram visar bastionens privata distributionsarkitektur. En användare som är ansluten till Azure via privat ExpressRoute-peering kan på ett säkert sätt ansluta till Bastion med hjälp av skyddsvärdens privata IP-adress. Bastion kan sedan upprätta anslutningen via en privat IP-adress till en virtuell dator som finns i samma virtuella nätverk som bastionsvärden. I en privat Bastion-distribution tillåter Bastion inte utgående åtkomst utanför det virtuella nätverket.

Saker att tänka på:

Bastion endast privat konfigureras vid tidpunkten för distributionen och kräver Premium SKU-nivån.
Du kan inte ändra från en vanlig Bastion-distribution till en privat distribution.
Om du vill distribuera Bastion endast privat till ett virtuellt nätverk som redan har en Bastion-distribution tar du först bort Bastion från det virtuella nätverket och distribuerar sedan Bastion tillbaka till det virtuella nätverket som privat. Du behöver inte ta bort och återskapa AzureBastionSubnet.
Om du vill skapa en privat anslutning från slutpunkt till slutpunkt ansluter du med den interna klienten i stället för att ansluta via Azure-portalen.
Om klientdatorn är lokal och inte Azure måste du distribuera en ExpressRoute eller VPN och aktivera IP-baserad anslutning på Bastion-resursen

Förutsättningar

Stegen i den här artikeln förutsätter att du har följande förutsättningar:

En Azure-prenumeration Om du inte har ett konto kan du skapa ett kostnadsfritt konto innan du börjar.
Ett virtuellt nätverk som inte har Azure Bastion-distribution.

Exempelvärden

Du kan använda följande exempelvärden när du skapar den här konfigurationen, eller så kan du ersätta dina egna.

Grundläggande värden för virtuella nätverk och virtuella datorer

Name	Värde
Resursgrupp	TestRG1
Region	USA, östra
Virtuellt nätverk	VNet1
Adressutrymme	10.1.0.0/16
Undernät 1 namn: FrontEnd	10.1.0.0/24
Namn på undernät 2: AzureBastionSubnet	10.1.1.0/26

Bastion-värden

Name	Värde
Namn	VNet1-bastion
Nivå/SKU	Premium
Antal instanser (värdskalning)	2 eller senare
Överlåtelse	Statiskt

Distribuera Endast privat Bastion

Det här avsnittet hjälper dig att distribuera Bastion som privat till ditt virtuella nätverk.

Viktigt!

Priserna per timme börjar från det ögonblick då Bastion distribueras, oavsett utgående dataanvändning. Mer information finns i Priser och SKU:er. Om du distribuerar Bastion som en del av en självstudie eller ett test rekommenderar vi att du tar bort den här resursen när du har använt den.

Logga in på Azure-portalen och gå till ditt virtuella nätverk. Om du inte redan har ett kan du skapa ett virtuellt nätverk. Om du skapar ett virtuellt nätverk för den här övningen kan du skapa AzureBastionSubnet (från nästa steg) samtidigt som du skapar det virtuella nätverket.
Skapa det undernät som dina Bastion-resurser ska distribueras till. I den vänstra rutan väljer du Undernät –> +Undernät för att lägga till AzureBastionSubnet.
- Undernätet måste vara /26 eller större (till exempel /26, /25 eller /24) för att rymma funktioner som är tillgängliga med Premium SKU-nivån.
- Undernätet måste ha namnet AzureBastionSubnet.
Välj Spara längst ned i fönstret för att spara dina värden.
Välj Sedan Bastion i det vänstra fönstret på sidan för det virtuella nätverket.
På sidan Bastion expanderar du Dedikerade distributionsalternativ (om det avsnittet visas). Välj knappen Konfigurera manuellt. Om du inte väljer den här knappen kan du inte se nödvändiga inställningar för att distribuera Bastion som endast privat.
I fönstret Skapa en bastion konfigurerar du inställningarna för skyddsvärden. Värdena för projektinformation fylls i från dina värden för det virtuella nätverket.

Under Instansinformation konfigurerar du följande värden:
- Namn: Det namn som du vill använda för din Bastion-resurs.
- Region: Den offentliga Azure-region där resursen ska skapas. Välj den region där det virtuella nätverket finns.
- Nivå: Du måste välja Premium för en privat distribution.
- Antal instanser: Inställningen för värdskalning. Du konfigurerar värdskalning i ökningar av skalningsenheter. Använd skjutreglaget eller ange ett tal för att konfigurera det antal instanser som du vill använda. Mer information finns i Instanser och värdskalning och Prissättning för Azure Bastion.
För Konfigurera inställningar för virtuella nätverk väljer du ditt virtuella nätverk i listrutan. Om det virtuella nätverket inte finns i listrutan kontrollerar du att du har valt rätt regionvärde i föregående steg.
AzureBastionSubnet fylls i automatiskt om du redan har skapat det i de tidigare stegen.
I avsnittet Konfigurera IP-adress anger du att det här är en privat distribution. Du måste välja Privat IP-adress från alternativen.

När du väljer Privat IP-adress tas inställningarna för offentliga IP-adresser bort automatiskt från konfigurationsskärmen.
Om du planerar att använda ExpressRoute eller VPN med Endast privat Bastion går du till fliken Avancerat . Välj IP-baserad anslutning.
När du har angett inställningarna väljer du Granska + Skapa. Det här steget validerar värdena.
När värdena har godkänts kan du distribuera Bastion. Välj Skapa.
Ett meddelande visar att distributionen pågår. Statusen visas på den här sidan när resurserna skapas. Det tar cirka 10 minuter innan Bastion-resursen skapas och distribueras.

Nästa steg

Mer information om konfigurationsinställningar finns i Konfigurationsinställningar för Azure Bastion och Vanliga frågor och svar om Azure Bastion.

Dela via