分享方式:

將 Bastion 部署為僅限私人 (預覽)

  • 文章

本文可協助您將 Bastion 部署為僅限私人部署。 僅限私人的 Bastion 部署會建立僅允許私人 IP 位址存取的 Bastion 非網際網路可路由部署,以鎖定端對端工作負載。 僅限私人的 Bastion 部署不允許透過公用 IP 位址連線到堡壘主機。 相反地,一般 Azure Bastion 部署可讓使用者使用公用 IP 位址連線到堡壘主機。

下圖顯示 Bastion 僅限私人的部署架構。 透過 ExpressRoute 私人對等互連連線到 Azure 的使用者,可使用堡壘主機的私人 IP 位址安全地連線到 Bastion。 Bastion 接著可透過私人 IP 位址連線到與堡壘主機位於相同虛擬網路內的虛擬機器。 在僅限私人的 Bastion 部署中,Bastion 不允許虛擬網路外部的輸出存取。

顯示 Azure Bastion 架構的圖表。

要考慮的項目:

  • 僅限私人的 Bastion 會在部署時進行設定,而且需要進階 SKU 層。

  • 您無法從一般 Bastion 部署變更為僅限私人的部署。

  • 若要將僅限私人的 Bastion 部署至已具有 Bastion 部署的虛擬網路,請先從您的虛擬網路中移除 Bastion,然後以僅限私人形式將 Bastion 部署回虛擬網路。 您不需要刪除並重新建立 AzureBastionSubnet。

  • 如果您想要建立端對端私人連線,請使用原生用戶端進行連線,而不是透過 Azure 入口網站連線。

  • 如果您的用戶端電腦是內部部署且非 Azure,您必須在 Bastion 資源上部署 ExpressRoute 或 VPN,並啟用 IP 型連線

必要條件

本文中的步驟假設您有下列必要條件:

範例值

在建立此設定時,您可以使用下列範例值,也可以替換為自己的值。

基本虛擬網路和虛擬機器值

名稱
資源群組 TestRG1
區域 美國東部
虛擬網路 VNet1
位址空間 10.1.0.0/16
子網路 1 名稱:FrontEnd 10.1.0.0/24
子網路 2 名稱:AzureBastionSubnet 10.1.1.0/26

Bastion 值

名稱 數值
名稱 VNet1-bastion
階層/SKU 高級
執行個體計數 (主機規模調整) 2 或更大的值
指派 靜態

部署僅限私人的 Bastion

本節可協助您將 Bastion 以僅限私人的模式部署到虛擬網路。

重要

無論輸出資料使用量為何,每小時價格都是從部署 Bastion 的那一刻開始計費。 如需詳細資訊,請參閱價格SKU。 如果您要在教學課程或測試期間部署 Bastion,建議您在使用完畢後刪除此資源。

  1. 登入 Azure 入口網站,並移至您的虛擬網路。 如果您還沒有虛擬網路,則可以建立虛擬網路。 如果您要為這個練習建立虛擬網路,則可以在建立虛擬網路的同時建立 AzureBastionSubnet (透過下一個步驟)。

  2. 建立要作為 Bastion 資源部署目的地的子網路。 在左窗格中,選取 [子網路] -> [+子網路] 以新增「AzureBastionSubnet」

    • 子網路必須是 /26 或更大 (例如,/26/25/24),才能容納進階 SKU 層所提供的功能。
    • 子網路必須命名為 AzureBastionSubnet

  3. 選取窗格底部的 [儲存] 以儲存您的值。

  4. 接下來,在您的虛擬網路頁面上,從左窗格中選取 [Bastion]

  5. 在 [Bastion] 頁面上,展開 [專用部署選項] (如果該區段出現的話)。 選取 [手動設定] 按鈕。 如果您未選取此按鈕,則看不到要將 Bastion 部署為僅限私人所需的設定。

    顯示 Azure Bastion 專用部署選項以及手動設定按鈕的螢幕擷取畫面。

  6. 在 [建立 Bastion] 窗格上,進行堡壘主機的設定。 [專案詳細資料] 值會從您的虛擬網路值填入。

    在 [執行個體詳細資料] 底下,設定這些值:

    Azure Bastion 執行個體詳細資料的螢幕擷取畫面。

    • 名稱:用於堡壘資源的名稱。

    • 區域:將在其中建立資源的 Azure 公用區域。 選擇虛擬網路所在的區域。

    • 階層:針對僅限私人部署,您必須選取 [進階]

    • 執行個體計數:主機的縮放設定。 您會以縮放單位增量設定主機規模調整。 使用滑杆或輸入數字來設定您想要的執行個體計數。 如需詳細資訊,請參閱執行個體和主機規模調整Bastion 價格

  7. 針對 [設定虛擬網路] 設定,從下拉式清單中選取您的虛擬網路。 如果您在挑選清單中沒看到虛擬網路,請確定您已在上一步中選取正確的區域值。

  8. 如果您已在先前的步驟中建立「AzureBastionSubnet」,則會自動填入 AzureBastionSubnet。

  9. [設定 IP 位址] 區段可供您指定這是僅限私人部署。 您必須從選項中選取 [私人 IP 位址]

    當您選取 [私人 IP 位址] 時,設定畫面中會自動移除 [公用 IP 位址] 設定。

    Azure Bastion IP 位址組態設定的螢幕擷取畫面。

  10. 如果您打算使用 ExpressRoute 或 VPN 搭配僅限私人 Bastion,請移至 [進階] 索引標籤。選取 [IP 型連線]

  11. 當您完成設定的指定後,請選取 [檢閱 + 建立]。 這個步驟會驗證這些值。

  12. 值通過驗證之後,您就可以部署 Bastion。 選取 建立

  13. 會有訊息指出部署正在進行中。 資源建立時,狀態會出現在此頁面上。 建立和部署 Bastion 資源約需要 10 分鐘的時間。

下一步

如需組態設定的詳細資訊,請參閱 Azure Bastion 組態設定 (部分機器翻譯) 和 Azure Bastion 常見問題集 (部分機器翻譯)。