共用方式為

將 Bastion 部署為僅限私人的 (預覽)

  • 發行項

本文可協助您將 Bastion 部署為僅限私人部署。 私人專用 Bastion 部署會建立僅允許私人 IP 位址存取的 Bastion 非因特網路由部署,以鎖定端對端工作負載。 僅限私人的 Bastion 部署不允許透過公用 IP 位址連線到防禦主機。 相反地,一般 Azure Bastion 部署可讓使用者使用公用 IP 位址連線到防禦主機。

下圖顯示 Bastion 僅限私人部署架構。 透過 ExpressRoute 私人對等互連連線到 Azure 的使用者,可以使用防禦主機的私人 IP 位址安全地連線到 Bastion。 Bastion 接著可以透過私人IP位址連線到與防禦主機位於相同虛擬網路內的虛擬機。 在僅限私人的 Bastion 部署中,Bastion 不允許虛擬網路外部的輸出存取。

顯示 Azure Bastion 架構的圖表。

要考慮的專案:

  • 僅限私人的 Bastion 會在部署時設定,而且需要 進階版 SKU 層。

  • 您無法從一般 Bastion 部署變更為僅限私人部署。

  • 若要將僅限私人的 Bastion 部署至已部署 Bastion 的虛擬網路,請先從您的虛擬網路中移除 Bastion,然後將 Bastion 部署回虛擬網路作為僅限私人。 您不需要刪除並重新建立 AzureBastionSubnet。

  • 如果您想要建立端對端私人連線,請使用原生用戶端進行連線,而不是透過 Azure 入口網站 進行連線。

  • 如果您使用 ExpressRoute 或 VPN,當您部署防禦主機時,請在 Bastion 資源上啟用 IP 型 連線。

必要條件

本文中的步驟假設您有下列必要條件:

範例值

在建立此設定時,您可以使用下列範例值,也可以替換為自己的值。

基本虛擬網路和虛擬機值

名稱
資源群組 TestRG1
區域 美國東部
虛擬網路 VNet1
位址空間 10.1.0.0/16
子網路 1 名稱:FrontEnd 10.1.0.0/24
子網 2 名稱:AzureBastionSubnet 10.1.1.0/26

Bastion 值

名稱 數值
名稱 VNet1-bastion
階層/SKU 高級
執行個體計數 (主機規模調整) 2 或更新
指派 靜態

部署僅限私人的 Bastion

本節可協助您將 Bastion 部署為僅限私人的虛擬網路。

重要

無論輸出資料使用量為何,每小時價格都是從部署 Bastion 的那一刻開始計費。 如需詳細資訊,請參閱價格SKU。 如果您要在教學課程或測試期間部署 Bastion,建議您在使用完畢後刪除此資源。

  1. 登入 Azure 入口網站 並移至您的虛擬網路。 如果您還沒有虛擬網路,您可以 建立虛擬網路。 如果您要建立此練習的虛擬網路,您可以同時建立虛擬網路的 AzureBastionSubnet(下一個步驟)。

  2. 建立將部署 Bastion 資源的子網。 在左窗格中,選取 [子網 -> +子網 ] 以新增 AzureBastionSubnet

    • 子網必須是 /26 或更大(例如 /26/25/24),以容納 進階版 SKU 層可用的功能。
    • 子網必須命名為 AzureBastionSubnet

  3. 選取窗格底部的 [儲存] 以儲存您的值。

  4. 接下來,在您的虛擬網路頁面上,從左窗格中選取 [Bastion ]。

  5. [Bastion ] 頁面上,展開 [專用部署選項 ] (如果該區段出現的話)。 選取 [ 手動設定] 按鈕。 如果您未選取此按鈕,則看不到將 Bastion 部署為僅限私人的必要設定。

    顯示 Azure Bastion 專用部署選項的螢幕快照,以及手動設定的按鈕。

  6. 在 [建立 Bastion] 窗格上,進行堡壘主機的設定。 [項目詳細數據] 值會從您的虛擬網路值填入。

    在 [執行個體詳細資料] 底下,設定這些值:

    Azure Bastion 實例詳細數據的螢幕快照。

    • 名稱:用於堡壘資源的名稱。

    • 區域:將在其中建立資源的 Azure 公用區域。 選擇虛擬網路所在的區域。

    • 階層:您必須針對僅限私人部署選取 進階版

    • 實例計數:主機調整的設定。 您會以縮放單位增量設定主機規模調整。 使用滑杆或輸入數字來設定您想要的執行個體計數。 如需詳細資訊,請參閱執行個體和主機規模調整Bastion 價格

  7. 針對 [ 設定虛擬網络 設定],從下拉式清單中選取您的虛擬網路。 如果您在挑選清單中沒看到虛擬網路,請確定您已在上一步中選取正確的區域值。

  8. 如果您已在先前的步驟中建立 AzureBastionSubnet,AzureBastionSubnet 會自動填入。

  9. [ 設定 IP 位址 ] 區段是您指定這是僅限私人部署的位置。 您必須從選項中選取 [私人IP 位址 ]。

    當您選取 [私人IP位址] 時,[公用IP位址設定] 會自動從組態畫面中移除。

    Azure Bastion IP 位址組態設定的螢幕快照。

  10. 如果您打算使用 ExpressRoute 或 VPN 搭配僅限私人的 Bastion,請移至 [ 進階 ] 索引標籤。選取 以 IP 為基礎的連線

  11. 當您完成設定的指定後,請選取 [檢閱 + 建立]。 這個步驟會驗證這些值。

  12. 值通過驗證之後,您就可以部署 Bastion。 選取 建立

  13. 訊息顯示您的部署正在進行中。 資源建立時,狀態會出現在此頁面上。 建立和部署 Bastion 資源約需要 10 分鐘的時間。

下一步

如需組態設定的詳細資訊,請參閱 Azure Bastion 組態設定Azure Bastion 常見問題