Delen via


Bastion implementeren als alleen-privé

Dit artikel helpt u bij het implementeren van Bastion als een implementatie met alleen privétoegang. Privé-only Bastion-implementaties vergrendelen workloads end-to-end door een niet-internetrouteerbare implementatie van Bastion te maken die alleen toegang tot privé-IP-adressen toestaat. Bastion-implementaties met alleen privétoegang staan geen verbindingen met de bastionhost toe via een openbaar IP-adres. Met een reguliere Azure Bastion-implementatie kunnen gebruikers echter verbinding maken met de bastionhost met behulp van een openbaar IP-adres.

In het volgende diagram ziet u de implementatiearchitectuur alleen-privé van Bastion. Een gebruiker die is verbonden met Azure via Privépeering via ExpressRoute, kan veilig verbinding maken met Bastion met behulp van het privé-IP-adres van de bastionhost. Bastion kan vervolgens de verbinding maken via een privé-IP-adres naar een virtuele machine die zich binnen hetzelfde virtuele netwerk bevindt als de bastionhost. In een privé-only Bastion-implementatie staat Bastion geen uitgaande toegang buiten het virtuele netwerk toe.

Diagram met Azure Bastion-architectuur.

Te overwegen items:

  • Bastion met alleen privétoegang wordt geconfigureerd op het moment van implementatie en vereist de Premium SKU-laag.

  • U kunt niet wijzigen van een reguliere Bastion-implementatie in een alleen-privé-implementatie.

  • Als u Bastion alleen-privé wilt implementeren in een virtueel netwerk dat al een Bastion-implementatie heeft, verwijdert u Eerst Bastion uit uw virtuele netwerk en implementeert u Bastion vervolgens als alleen-privénetwerk. U hoeft het AzureBastionSubnet niet te verwijderen en opnieuw te maken.

  • Als u end-to-end privéconnectiviteit wilt maken, maakt u verbinding met behulp van de systeemeigen client in plaats van verbinding te maken via Azure Portal.

  • Als uw clientcomputer on-premises en niet-Azure is, moet u een ExpressRoute- of VPN-verbinding implementeren en een IP-verbinding inschakelen op basis van IP op de Bastion-resource

Vereisten

Bij de stappen in dit artikel wordt ervan uitgegaan dat u over de volgende vereisten beschikt:

Voorbeeldwaarden

U kunt de volgende voorbeeldwaarden gebruiken bij het maken van deze configuratie, maar u kunt ze ook vervangen door uw eigen waarden.

Basiswaarden voor virtueel netwerk en virtuele machines

Naam Weergegeven als
Resourcegroep TestRG1
Regio VS - oost
Virtueel netwerk VNet1
Adresruimte 10.1.0.0/16
Naam van subnet 1: FrontEnd 10.1.0.0/24
Naam van subnet 2: AzureBastionSubnet 10.1.1.0/26

Bastion-waarden

Naam Weergegeven als
Naam VNet1-bastion
Laag/SKU Premium
Aantal exemplaren (hostschalen) 2 of hoger
Toewijzing Static

Bastion alleen-privé implementeren

In deze sectie kunt u Bastion implementeren als alleen-privé in uw virtuele netwerk.

Belangrijk

De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

  1. Meld u aan bij Azure Portal en ga naar uw virtuele netwerk. Als u er nog geen hebt, kunt u een virtueel netwerk maken. Als u een virtueel netwerk voor deze oefening maakt, kunt u het AzureBastionSubnet (uit de volgende stap) maken op hetzelfde moment dat u uw virtuele netwerk maakt.

  2. Maak het subnet waarnaar uw Bastion-resources worden geïmplementeerd. Selecteer in het linkerdeelvenster Subnetten -> +Subnet om het AzureBastionSubnet toe te voegen.

    • Het subnet moet /26 of groter zijn (bijvoorbeeld /26, /25 of /24) voor functies die beschikbaar zijn in de Premium-SKU-laag.
    • Het subnet moet AzureBastionSubnet heten.
  3. Selecteer Opslaan onderaan het deelvenster om uw waarden op te slaan.

  4. Selecteer vervolgens Bastion in het linkerdeelvenster op de pagina van het virtuele netwerk.

  5. Vouw op de pagina Bastion de opties voor toegewezen implementatie uit (als deze sectie wordt weergegeven). Selecteer de knop Handmatig configureren. Als u deze knop niet selecteert, kunt u de vereiste instellingen voor het implementeren van Bastion niet zien als alleen-privé.

    Schermopname van toegewezen implementatieopties voor Azure Bastion en de knop voor handmatige configuratie.

  6. Configureer in het deelvenster Een Bastion maken de instellingen voor uw bastionhost. De projectgegevenswaarden worden ingevuld op basis van de waarden van uw virtuele netwerk.

    Configureer deze waarden onder Instantiedetails:

    Schermopname van de details van het Azure Bastion-exemplaar.

    • Naam: de naam die u wilt gebruiken voor uw Bastion-resource.

    • Regio: De openbare Azure-regio waarin de resource wordt gemaakt. Kies de regio waarin uw virtuele netwerk zich bevindt.

    • Laag: U moet Premium selecteren voor een alleen-privé-implementatie.

    • Aantal exemplaren: de instelling voor het schalen van de host. U configureert het schalen van de host in schaaleenheidsverhogingen. Gebruik de schuifregelaar of voer een getal in om het gewenste aantal exemplaren te configureren. Zie Instanties en hostschalen en Prijzen voor Azure Bastion voor meer informatie.

  7. Voor Instellingen voor virtuele netwerken configureren selecteert u uw virtuele netwerk in de vervolgkeuzelijst. Als uw virtuele netwerk zich niet in de vervolgkeuzelijst bevindt, controleert u of u in de vorige stap de juiste regiowaarde hebt geselecteerd.

  8. Het AzureBastionSubnet wordt automatisch ingevuld als u het al in de vorige stappen hebt gemaakt.

  9. In de sectie IP-adres configureren geeft u op dat dit een alleen-privé-implementatie is. U moet privé-IP-adres selecteren in de opties.

    Wanneer u privé-IP-adres selecteert, worden de instellingen van het openbare IP-adres automatisch verwijderd uit het configuratiescherm.

    Schermopname van de configuratie-instellingen voor IP-adressen van Azure Bastion.

  10. Als u ExpressRoute of VPN wilt gebruiken met Bastion alleen privé, gaat u naar het tabblad Geavanceerd . Selecteer een ip-verbinding.

  11. Wanneer u klaar bent met het opgeven van de instellingen, selecteert u Controleren en maken. Met deze stap worden de waarden gevalideerd.

  12. Nadat de waarden zijn gevalideerd, kunt u Bastion implementeren. Selecteer Maken.

  13. Een bericht laat zien dat uw implementatie wordt verwerkt. De status wordt weergegeven op deze pagina wanneer de resources worden gemaakt. Het duurt ongeveer 10 minuten voordat de Bastion-resource is gemaakt en geïmplementeerd.

Volgende stappen

Zie azure Bastion-configuratie-instellingen en de veelgestelde vragen over Azure Bastion voor meer informatie over configuratie-instellingen.