Udostępnij za pośrednictwem


Wdróż usługę Bastion jako tylko prywatną

Ten artykuł pomaga wdrożyć usługę Bastion jako wdrożenie tylko prywatne. Wdrożenia usługi Bastion tylko w trybie prywatnym blokują kompleksowe obciążenia, tworząc wdrożenie usługi Bastion bez routingu internetowego, które zezwala tylko na dostęp do prywatnych adresów IP. Wdrożenia usługi Bastion tylko dla prywatnych nie zezwalają na połączenia z hostem bastionu za pośrednictwem publicznego adresu IP. Z kolei regularne wdrażanie usługi Azure Bastion umożliwia użytkownikom łączenie się z hostem bastionu przy użyciu publicznego adresu IP.

Na poniższym diagramie przedstawiono architekturę wdrażania tylko prywatną usługi Bastion. Użytkownik połączony z platformą Azure za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute może bezpiecznie nawiązać połączenie z usługą Bastion przy użyciu prywatnego adresu IP hosta bastionu. Usługa Bastion może następnie nawiązać połączenie za pośrednictwem prywatnego adresu IP do maszyny wirtualnej znajdującej się w tej samej sieci wirtualnej co host bastionu. W przypadku wdrożenia usługi Bastion tylko prywatnie usługa Bastion nie zezwala na dostęp wychodzący poza siecią wirtualną.

Diagram przedstawiający architekturę usługi Azure Bastion.

Elementy do rozważenia:

  • Usługa Bastion tylko prywatna jest konfigurowana w momencie wdrażania i wymaga warstwy jednostki SKU Premium.

  • Nie można zmienić zwykłego wdrożenia usługi Bastion na wdrożenie tylko prywatne.

  • Aby wdrożyć usługę Bastion tylko prywatną w sieci wirtualnej, która ma już wdrożenie usługi Bastion, najpierw usuń usługę Bastion z sieci wirtualnej, a następnie wdróż usługę Bastion z powrotem do sieci wirtualnej jako tylko prywatna. Nie musisz usuwać i ponownie utworzyć podsieci AzureBastionSubnet.

  • Jeśli chcesz utworzyć kompleksową łączność prywatną, połącz się przy użyciu klienta natywnego zamiast łączyć się za pośrednictwem witryny Azure Portal.

  • Jeśli maszyna kliencka jest lokalna i nienależącą do platformy Azure, musisz wdrożyć usługę ExpressRoute lub sieć VPN i włączyć połączenie oparte na adresach IP w zasobie usługi Bastion

Wymagania wstępne

W krokach opisanych w tym artykule przyjęto założenie, że masz następujące wymagania wstępne:

Przykładowe wartości

Poniższe przykładowe wartości można użyć podczas tworzenia tej konfiguracji lub możesz zastąpić własną.

Podstawowe wartości sieci wirtualnej i maszyny wirtualnej

Nazwa/nazwisko Wartość
Grupa zasobów: TestRG1
Region Wschodnie stany USA
Sieć wirtualna Sieć wirtualna 1
Przestrzeń adresowa 10.1.0.0/16
Nazwa podsieci 1: FrontEnd 10.1.0.0/24
Nazwa podsieci 2: AzureBastionSubnet 10.1.1.0/26

Wartości bastionu

Nazwa/nazwisko Wartość
Nazwa/nazwisko VNet1-bastion
Warstwa/jednostka SKU Premium
Liczba wystąpień (skalowanie hostów) 2 lub większe
Przypisanie Static

Wdrażanie usługi Bastion tylko w trybie prywatnym

Ta sekcja pomaga wdrożyć usługę Bastion jako tylko prywatną w sieci wirtualnej.

Ważne

Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego.

  1. Zaloguj się do witryny Azure Portal i przejdź do sieci wirtualnej. Jeśli jeszcze go nie masz, możesz utworzyć sieć wirtualną. Jeśli tworzysz sieć wirtualną na potrzeby tego ćwiczenia, możesz utworzyć podsieć AzureBastionSubnet (z następnego kroku) w tym samym czasie tworzysz sieć wirtualną.

  2. Utwórz podsieć, do której zostaną wdrożone zasoby usługi Bastion. W okienku po lewej stronie wybierz pozycję Podsieci —> +Podsieć , aby dodać podsieć AzureBastionSubnet.

    • Podsieć musi być /26 lub większa (na przykład /26, /25 lub /24), aby uwzględnić funkcje dostępne w warstwie jednostki SKU Premium.
    • Podsieć musi mieć nazwę AzureBastionSubnet.
  3. Wybierz pozycję Zapisz w dolnej części okienka, aby zapisać wartości.

  4. Następnie na stronie sieci wirtualnej wybierz pozycję Bastion w okienku po lewej stronie.

  5. Na stronie Bastion rozwiń węzeł Opcje wdrożenia dedykowanego (jeśli zostanie wyświetlona ta sekcja). Wybierz przycisk Konfiguruj ręcznie. Jeśli nie wybierzesz tego przycisku, nie widzisz wymaganych ustawień do wdrożenia usługi Bastion jako tylko prywatny.

    Zrzut ekranu przedstawiający dedykowane opcje wdrażania dla usługi Azure Bastion i przycisk konfiguracji ręcznej.

  6. W okienku Tworzenie usługi Bastion skonfiguruj ustawienia hosta bastionu. Wartości szczegółów projektu są wypełniane z wartości sieci wirtualnej.

    W obszarze Szczegóły wystąpienia skonfiguruj następujące wartości:

    • Nazwa: nazwa, której chcesz użyć dla zasobu usługi Bastion.

    • Region: publiczny region świadczenia usługi Azure, w którym zostanie utworzony zasób. Wybierz region, w którym znajduje się sieć wirtualna.

    • Warstwa: musisz wybrać warstwę Premium dla wdrożenia tylko prywatnego.

    • Liczba wystąpień: ustawienie skalowania hostów. Skalowanie hostów jest konfigurowane w przyrostach jednostek skalowania. Użyj suwaka lub wprowadź liczbę, aby skonfigurować żądaną liczbę wystąpień. Aby uzyskać więcej informacji, zobacz Wystąpienia i skalowanie hostów oraz cennik usługi Azure Bastion.

  7. W obszarze Konfigurowanie ustawień sieci wirtualnych wybierz sieć wirtualną z listy rozwijanej. Jeśli sieć wirtualna nie znajduje się na liście rozwijanej, upewnij się, że w poprzednim kroku wybrano poprawną wartość Region .

  8. Podsieć AzureBastionSubnet zostanie automatycznie wypełniona, jeśli została już utworzona we wcześniejszych krokach.

  9. Sekcja Konfigurowanie adresu IP to miejsce, w którym określasz, że jest to wdrożenie tylko prywatne. Z opcji musisz wybrać pozycję Prywatny adres IP.

    Po wybraniu opcji Prywatny adres IP ustawienia publicznego adresu IP zostaną automatycznie usunięte z ekranu konfiguracji.

    Zrzut ekranu przedstawiający ustawienia konfiguracji adresu IP usługi Azure Bastion.

  10. Jeśli planujesz używać usługi ExpressRoute lub sieci VPN z usługą Bastion tylko dla użytkownika prywatnego, przejdź do karty Zaawansowane . Wybierz pozycję Połączenie oparte na protokole IP.

  11. Po zakończeniu określania ustawień wybierz pozycję Przejrzyj i utwórz. Ten krok weryfikuje wartości.

  12. Po zakończeniu walidacji wartości można wdrożyć usługę Bastion. Wybierz pozycję Utwórz.

  13. Komunikat pokazuje, że wdrożenie jest w toku. Stan jest wyświetlany na tej stronie podczas tworzenia zasobów. Utworzenie i wdrożenie zasobu usługi Bastion trwa około 10 minut.

Następne kroki

Aby uzyskać więcej informacji na temat ustawień konfiguracji, zobacz Azure Bastion configuration settings (Ustawienia konfiguracji usługi Azure Bastion) i Azure Bastion FAQ (Często zadawane pytania dotyczące usługi Azure Bastion).