VNet-peering och Azure Bastion

  • Artikel

Azure Bastion- och VNet-peering kan användas tillsammans. När VNet-peering har konfigurerats behöver du inte distribuera Azure Bastion i varje peer-kopplat virtuellt nätverk. Det innebär att om du har en Azure Bastion-värd konfigurerad i ett virtuellt nätverk (VNet) kan den användas för att ansluta till virtuella datorer som distribuerats i ett peer-kopplat virtuellt nätverk utan att distribuera ytterligare en skyddsvärd. Mer information om VNet-peering finns i Om peering för virtuella nätverk.

Azure Bastion fungerar med följande typer av peering:

  • Peering för virtuella nätverk: Ansluta virtuella nätverk i samma Azure-region.
  • Global peering för virtuella nätverk: Ansluta virtuella nätverk mellan Azure-regioner.

Anteckning

Det går inte att distribuera Azure Bastion i en Virtual WAN hubb. Du kan distribuera Azure Bastion i ett eker-VNet och använda den IP-baserade anslutningsfunktionen för att ansluta till virtuella datorer som distribuerats över ett annat virtuellt nätverk via Virtual WAN hubb.

Arkitektur

När VNet-peering har konfigurerats kan Azure Bastion distribueras i hub-and-spoke- eller full mesh-topologier. Azure Bastion-distributionen sker per virtuellt nätverk, inte per prenumeration/konto eller virtuell dator.

När du har etablerat Azure Bastion-tjänsten i ditt virtuella nätverk är RDP/SSH-upplevelsen tillgänglig för alla dina virtuella datorer i samma virtuella nätverk och peerkopplade virtuella nätverk. Det innebär att du kan konsolidera Bastion-distributionen till ett enda virtuellt nätverk och fortfarande nå virtuella datorer som distribuerats i ett peer-kopplat virtuellt nätverk, vilket centraliserar den övergripande distributionen.

Design- och arkitekturdiagram

Diagrammet visar arkitekturen för en Azure Bastion-distribution i en hub-and-spoke-modell. I diagrammet visas följande konfiguration:

  • Bastion-värden distribueras i det centrala virtuella hubbnätverket.
  • Centraliserad nätverkssäkerhetsgrupp (NSG) distribueras.
  • En offentlig IP-adress krävs inte på den virtuella Azure-datorn.

Distributionsöversikt

  1. Kontrollera att du har konfigurerat virtuella nätverk och virtuella datorer i de virtuella nätverken.
  2. Konfigurera VNet-peering.
  3. Konfigurera Bastion i ett av de virtuella nätverken.
  4. Verifiera behörigheter.
  5. Ansluta till en virtuell dator via Azure Bastion. För att kunna ansluta via Azure Bastion måste du ha rätt behörigheter för den prenumeration som du är inloggad på.

Kontrollera behörigheter

Kontrollera följande behörigheter när du arbetar med den här arkitekturen:

  • Kontrollera att du har läsåtkomst till både den virtuella måldatorn och det peerkopplade virtuella nätverket.
  • Kontrollera dina behörigheter i YourSubscription | IAM och kontrollera att du har läsbehörighet till följande resurser:
    • Läsarroll på den virtuella datorn.
    • Läsarroll på nätverkskortet med den virtuella datorns privata IP-adress.
    • Läsarroll på Azure Bastion-resursen.
    • Läsarroll i de virtuella måldatorernas virtuella nätverk.

Vanliga frågor och svar om Bastion VNet-peering

Vanliga frågor och svar finns i Vanliga frågor och svar om Bastion VNet-peering.

Nästa steg

Läs vanliga frågor och svar om Bastion.