虚拟网络对等互连和 Azure Bastion
Azure Bastion 和虚拟网络对等互连可以一起使用。 配置虚拟网络对等互连后,无需在每个对等互连的 VNet 中部署 Azure Bastion。 这就意味着,如果在一个虚拟网络 (VNet) 中配置了 Azure Bastion 主机,则可使用该主机连接到在对等互连的 VNet 中部署的 VM,而无需部署其他堡垒主机。 有关 VNet 对等互连的详细信息,请参阅关于虚拟网络对等互连。
Azure Bastion 使用以下类型的对等互连:
虚拟网络对等互连: 连接同一 Azure 区域中的虚拟网络。
全局虚拟网络对等互连: 跨 Azure 区域连接虚拟网络。
注意
不支持在虚拟 WAN 中心内部署 Azure Bastion。 可以在辐射 VNet 中部署 Azure Bastion,并使用基于 IP 的连接功能通过虚拟 WAN 中心连接到跨不同 VNet 部署的虚拟机。
体系结构
配置 VNet 对等互连后,可以在中心辐射型拓扑或全网格型拓扑中部署 Azure Bastion。 Azure Bastion 部署是按虚拟网络进行的,而不是按订阅/帐户或虚拟机进行的。
在虚拟网络中预配 Azure Bastion 服务后,同一 VNet 和对等互连的 VNet 中所有的 VM 均可获得 RDP/SSH 体验。 这就意味着,可以将 Bastion 部署合并到一个 VNet,而仍然可以访问对等互连的 VNet 中部署的 VM,集中进行总体部署。
此图显示了中心辐射型模型中 Azure Bastion 部署的体系结构。 在此图中,可以看到以下配置:
- 堡垒主机部署在集中式中心虚拟网络中。
- 已部署集中式网络安全组 (NSG)。
- Azure VM 无需公共 IP。
部署概述
- 验证是否已配置 VNet 和 VNet 中的虚拟机。
- 配置 VNet 对等互连。
- 在其中一个 VNet 中配置堡垒。
- 验证权限。
- 通过 Azure Bastion 连接到 VM。 若要通过 Azure Bastion 连接,必须拥有登录订阅的正确权限。
验证权限
使用此体系结构时验证以下权限:
- 确保对目标 VM 和对等 VNet 都有“读取”访问权限。
- 在“YourSubscription | IAM”中检查权限,验证你是否有对以下资源的读取权限:
- 虚拟机上的读者角色。
- NIC 上的读者角色(使用虚拟机的专用 IP)。
- Azure Bastion 资源上的读者角色。
- 目标虚拟机虚拟网络上的读者角色。
Bastion VNet 对等互连常见问题解答
关于常见问题解答,请参阅 Bastion VNet 对等互连常见问题解答。
后续步骤
阅读 Bastion 常见问题解答。