通过基于 IP 的连接,可以使用指定的专用 IP 地址通过 ExpressRoute 上的 Azure Bastion 或 VPN 站点到站点连接来连接到本地、非 Azure 和 Azure 虚拟机。 本文中的步骤介绍如何配置 Bastion 部署,然后使用基于 IP 的连接连接到本地资源。 有关 Azure Bastion 的详细信息,请参阅概述。
注意
此配置需要 Azure Bastion 的标准 SKU 层或更高层。 若要升级,请参阅升级 SKU。
限制
基于 IP 的连接不适用于通过 VPN 的强制隧道,或者在 ExpressRoute 线路上播发默认路由时。 Azure Bastion 需要访问 Internet 并强制隧道,否则默认路由播发将导致流量黑洞。
RDP 连接不支持 Microsoft Entra 身份验证。 通过本机客户端,支持 Microsoft Entra 身份验证用于 SSH 连接。
通过本机客户端连接到 VM 时,当前不支持自定义端口和协议。
Bastion 子网不支持 UDR,包括基于 IP 的连接。
先决条件
在开始这些步骤之前,请验证是否已设置以下环境:
已部署 Bastion 的 VNet。
- 确保已将 Bastion 部署到虚拟网络。 在虚拟网络中预配和部署 Bastion 服务后,便可以使用它连接到部署在可从 Bastion 访问的虚拟网络中的任何 VM。
- 若要部署 Bastion,请参阅 快速入门:使用默认设置和标准 SKU 部署 Bastion。
任何可访问虚拟网络中的虚拟机。 这是您将要连接的虚拟机。
配置 Bastion
登录 Azure 门户。
在 Azure 门户中,转到你的 Bastion 部署。
基于 IP 的连接需要标准 SKU 层或更高层。 在“配置”页上,对于“层”,请验证层是否设置为标准 SKU 或更高版本。 如果层设为基本 SKU,请从下拉列表中选择一个更高的 SKU。
若要启用基于 IP 的连接,请选择“基于 IP 的连接”。
选择“应用”,以应用更改。 Bastion 配置需要几分钟才能完成。
连接到 VM - Azure 门户
若要使用指定的专用 IP 地址连接到 VM,请从 Bastion 连接到 VM,而不是直接从 VM 页进行连接。 在 Bastion 页面上,选择“连接”打开连接页面。
在 Bastion “连接”页上,对于“IP 地址”,请输入目标 VM 的专用 IP 地址。
将连接设置调整为所需的协议和端口。
在用户名和密码中输入凭据。
选择“链接”以连接到你的虚拟机。
连接到 VM - 本地客户端
你可以使用本地客户端通过指定的 IP 地址,通过 SSH、RDP 或隧道连接到多个 VM。 若要详细了解如何配置本机客户端支持,请参阅配置 Bastion 本机客户端支持。
注意
此功能目前不支持 Microsoft Entra 身份验证或自定义端口和协议。
使用以下命令作为示例:
RDP:
az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>
SSH:
az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"
隧道:
az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"
后续步骤
有关其他信息,请参阅 Bastion 常见问题解答。