Déployer Bastion en tant que privé uniquement
Cet article vous aide à déployer Bastion en privé uniquement. Les déploiements Bastion en privé uniquement verrouillent les charges de travail de bout en bout en créant un déploiement routable non-Internet de Bastion qui autorise uniquement l’accès aux adresses IP privées. Les déploiements Bastion en privé uniquement n’autorisent pas les connexions à l’hôte bastion via une adresse IP publique. En revanche, un déploiement Azure Bastion standard permet aux utilisateurs de se connecter à l’hôte bastion à l’aide d’une adresse IP publique.
Le diagramme suivant montre l’architecture d’un déploiement Bastion en privé uniquement. Un utilisateur connecté à Azure via le peering privé ExpressRoute peut se connecter en toute sécurité à Bastion à l’aide de l’adresse IP privée de l’hôte bastion. Bastion peut ensuite établir la connexion via une adresse IP privée à une machine virtuelle qui se trouve dans le même réseau virtuel que l’hôte bastion. Dans un déploiement Bastion en privé uniquement, Bastion n’autorise pas l’accès sortant en dehors du réseau virtuel.
Éléments à prendre en compte :
Bastion en privé uniquement est configuré au moment du déploiement et nécessite le niveau de référence SKU Premium.
Vous ne pouvez pas passer d’un déploiement Bastion standard à un déploiement en privé uniquement.
Pour déployer Bastion en privé uniquement sur un réseau virtuel qui dispose déjà d’un déploiement Bastion, supprimez d’abord Bastion de votre réseau virtuel, puis déployez Bastion sur le réseau virtuel en privé uniquement. Vous n’avez pas besoin de supprimer et de recréer le sous-réseau AzureBastionSubnet.
Si vous souhaitez créer une connectivité privée de bout en bout, connectez-vous à l’aide du client natif au lieu de vous connecter via le portail Azure.
Si votre ordinateur client est local et non-Azure, vous devez déployer une connexion ExpressRoute ou VPN et activer connexion IP sur la ressource Bastion
Prérequis
Les étapes de cet article supposent que vous avez les prérequis suivants :
- Un abonnement Azure. Si vous n’en avez pas, créez un compte gratuit avant de commencer.
- Un réseau virtuel qui n’a pas de déploiement Azure Bastion.
Exemples de valeurs
Lors de la création de cette configuration, vous pouvez utiliser les exemples de valeurs suivants ou les remplacer par vos propres valeurs.
Valeurs de base du réseau virtuel et de la machine virtuelle
Nom | Valeur |
---|---|
Groupe de ressources | TestRG1 |
Région | USA Est |
Réseau virtuel | VNet1 |
Espace d’adressage | 10.1.0.0/16 |
Nom du sous-réseau 1 : FrontEnd | 10.1.0.0/24 |
Nom du sous-réseau 2 : AzureBastionSubnet | 10.1.1.0/26 |
Valeurs Bastion
Nom | Valeur |
---|---|
Nom | VNet1-bastion |
Tier/SKU | Premium |
Nombre d'instances (mise à l'échelle de l'hôte) | 2 ou plus |
Affectation | Statique |
Déployer Bastion en privé uniquement
Cette section vous aide à déployer Bastion en privé uniquement sur votre réseau virtuel.
Important
Le tarif horaire commence à partir du moment où Bastion est déployé, quelle que soit l’utilisation des données sortantes. Pour plus d’informations, consultez Tarifications et Références SKU. Si vous déployez Bastion dans le cadre d’un tutoriel ou d’un test, nous vous recommandons de supprimer cette ressource après l’avoir utilisée.
Connectez-vous au portail Azure et accédez à votre réseau virtuel. Si vous n’en avez pas déjà un, vous pouvez créer un réseau virtuel. Si vous créez un réseau virtuel pour cet exercice, vous pouvez créer le sous-réseau AzureBastionSubnet (à partir de l’étape suivante) en même temps que vous créez votre réseau virtuel.
Créez le sous-réseau sur lequel vos ressources Bastion seront déployées. Dans le volet gauche, sélectionnez Sous-réseaux -> +Sous-réseau pour ajouter AzureBastionSubnet.
- Le sous-réseau doit être /26 ou plus grand (par exemple, /26, /25, ou /24) pour prendre en charge les fonctionnalités disponibles avec le niveau de référence SKU Premium.
- Le sous-réseau doit être nommé AzureBastionSubnet.
Sélectionnez Enregistrer en bas du volet pour enregistrer vos valeurs.
Ensuite, dans la page de votre réseau virtuel, sélectionnez Bastion dans le volet gauche.
Dans la page Bastion, développez Options de déploiement dédiées (si cette section apparaît). Sélectionnez le bouton Configurer manuellement. Si vous ne sélectionnez pas ce bouton, vous ne pouvez pas voir les paramètres requis pour déployer Bastion en privé uniquement.
Dans le volet Créer un Azure Bastion, configurez les paramètres de votre hôte bastion. Les valeurs des Détails du projet sont renseignés avec les valeurs de votre réseau virtuel.
Sous Détails de l'instance, configurez ces valeurs :
Nom : Le nom que vous souhaitez utiliser pour votre ressource Bastion.
Région : région publique Azure dans laquelle est créée la ressource. Choisissez la région où réside votre réseau virtuel.
Niveau : Vous devez sélectionner Premium pour un déploiement en privé uniquement.
Nombre d’instances : Paramètre de mise à l’échelle de l’hôte. Vous configurez la mise à l'échelle de l'hôte par incréments d'unités d'échelle. Utilisez le curseur ou entrez un nombre pour configurer le nombre d'instances souhaité. Pour plus d’informations, consultez Mise à l’échelle des instances et des hôtes et tarification d’Azure Bastion.
Pour les paramètres Configurer des réseaux virtuels, sélectionnez votre réseau virtuel dans la liste déroulante. Si votre réseau virtuel ne figure pas dans la liste déroulante, assurez-vous d'avoir sélectionné la valeur Région correcte à l'étape précédente.
Le sous-réseau AzureBastionSubnet est automatiquement renseigné si vous l’avez déjà créé dans les étapes précédentes.
La section Configurer l’adresse IP est l’endroit où vous spécifiez qu’il s’agit d’un déploiement en privé uniquement. Vous devez sélectionner Adresse IP privée dans les options.
Lorsque vous sélectionnez une adresse IP privée, les paramètres de l’adresse IP publique sont automatiquement supprimés de l’écran de configuration.
Si vous envisagez d’utiliser ExpressRoute ou un VPN avec Bastion en privé uniquement, accédez à l’onglet Options avancées . Sélectionnez Connexion basée sur IP.
Quand vous avez terminé de spécifier les paramètres, sélectionnez Vérifier + créer. Cette étape valide les valeurs.
Une fois les valeurs validées, vous pouvez déployer Bastion. Sélectionnez Créer.
Un message montre que votre déploiement est en cours. Le statut apparaît sur cette page au fur et à mesure de la création des ressources. Il faut environ 10 minutes pour que la ressource Bastion soit créée et déployée.
Étapes suivantes
Pour plus d’informations sur les paramètres de configuration, consultez Paramètres de configuration Azure Bastion et le FAQ sur Azure Bastion.