虚拟网络对等互连和 Azure Bastion

Azure Bastion 和虚拟网络对等互连可以一起使用。 配置虚拟网络对等互连后,无需在每个对等互连的 VNet 中部署 Azure Bastion。 这就意味着,如果在一个虚拟网络 (VNet) 中配置了 Azure Bastion 主机,则可使用该主机连接到在对等互连的 VNet 中部署的 VM,而无需部署其他堡垒主机。 有关 VNet 对等互连的详细信息,请参阅关于虚拟网络对等互连

Azure Bastion 使用以下类型的对等互连:

  • 虚拟网络对等互连: 连接同一 Azure 区域中的虚拟网络。

  • 全局虚拟网络对等互连: 跨 Azure 区域连接虚拟网络。

    注意

    不支持在虚拟 WAN 中心内部署 Azure Bastion。 可以在辐射 VNet 中部署 Azure Bastion,并使用基于 IP 的连接功能通过虚拟 WAN 中心连接到跨不同 VNet 部署的虚拟机。

体系结构

配置 VNet 对等互连后,可以在中心辐射型拓扑或全网格型拓扑中部署 Azure Bastion。 Azure Bastion 部署是按虚拟网络进行的,而不是按订阅/帐户或虚拟机进行的。

在虚拟网络中预配 Azure Bastion 服务后,同一 VNet 和对等互连的 VNet 中所有的 VM 均可获得 RDP/SSH 体验。 这就意味着,可以将 Bastion 部署合并到一个 VNet,而仍然可以访问对等互连的 VNet 中部署的 VM,集中进行总体部署。

设计和体系结构图

此图显示了中心辐射型模型中 Azure Bastion 部署的体系结构。 在此图中,可以看到以下配置:

  • 堡垒主机部署在集中式中心虚拟网络中。
  • 已部署集中式网络安全组 (NSG)。
  • Azure VM 无需公共 IP。

部署概述

  1. 验证是否已配置 VNet 和 VNet 中的虚拟机
  2. 配置 VNet 对等互连
  3. 在其中一个 VNet 中配置堡垒
  4. 验证权限
  5. 通过 Azure Bastion 连接到 VM。 若要通过 Azure Bastion 连接,必须拥有登录订阅的正确权限。

验证权限

使用此体系结构时验证以下权限:

  • 确保对目标 VM 和对等 VNet 都有“读取”访问权限。
  • 在“YourSubscription | IAM”中检查权限,验证你是否有对以下资源的读取权限:
    • 虚拟机上的读者角色。
    • NIC 上的读者角色(使用虚拟机的专用 IP)。
    • Azure Bastion 资源上的读者角色。
    • 目标虚拟机虚拟网络上的读者角色。

Bastion VNet 对等互连常见问题解答

关于常见问题解答,请参阅 Bastion VNet 对等互连常见问题解答

后续步骤

阅读 Bastion 常见问题解答