Dela via


Peering för virtuella nätverk och Azure Bastion

Azure Bastion- och Virtual Network-peering kan användas tillsammans. När peering för virtuellt nätverk har konfigurerats behöver du inte distribuera Azure Bastion i varje peer-kopplat virtuellt nätverk. Det innebär att om du har en Azure Bastion-värd konfigurerad i ett virtuellt nätverk (VNet) kan den användas för att ansluta till virtuella datorer som distribuerats i ett peer-kopplat virtuellt nätverk utan att distribuera ytterligare en skyddsvärd. Mer information om VNet-peering finns i Om peering för virtuella nätverk.

Azure Bastion fungerar med följande typer av peering:

  • Peering för virtuella nätverk: Ansluter virtuella nätverk i samma Azure-region.
  • Global peering för virtuella nätverk: Ansluta virtuella nätverk mellan Azure-regioner.

Kommentar

Det går inte att distribuera Azure Bastion i en Virtual WAN-hubb. Du kan distribuera Azure Bastion i ett eker-VNet och använda den IP-baserade anslutningsfunktionen för att ansluta till virtuella datorer som distribuerats i ett annat VNet via virtual WAN-hubben.

Arkitektur

När VNet-peering har konfigurerats kan Azure Bastion distribueras i topologier med nav och eker eller full mesh. Azure Bastion-distributionen är per virtuellt nätverk, inte per prenumeration/konto eller virtuell dator.

När du har etablerat Azure Bastion-tjänsten i ditt virtuella nätverk är RDP/SSH-upplevelsen tillgänglig för alla dina virtuella datorer i samma virtuella nätverk och peerkopplade virtuella nätverk. Det innebär att du kan konsolidera Bastion-distributionen till ett enda virtuellt nätverk och fortfarande nå virtuella datorer som distribuerats i ett peer-kopplat virtuellt nätverk, vilket centraliserar den övergripande distributionen.

Design- och arkitekturdiagram

Diagrammet visar arkitekturen för en Azure Bastion-distribution i en hub-and-spoke-modell. I diagrammet kan du se följande konfiguration:

  • Bastion-värden distribueras i det centrala virtuella hubbnätverket.
  • Centraliserad nätverkssäkerhetsgrupp (NSG) distribueras.
  • En offentlig IP-adress krävs inte på den virtuella Azure-datorn.

Distributionsöversikt

  1. Kontrollera att du har konfigurerat virtuella nätverk och virtuella datorer i de virtuella nätverken.
  2. Konfigurera VNet-peering.
  3. Konfigurera Bastion i ett av de virtuella nätverken.
  4. Verifiera behörigheter.
  5. Anslut till en virtuell dator via Azure Bastion. För att kunna ansluta via Azure Bastion måste du ha rätt behörigheter för den prenumeration som du är inloggad på.

Kontrollera behörigheter

Kontrollera följande behörigheter när du arbetar med den här arkitekturen:

  • Kontrollera att du har läsåtkomst till både den virtuella måldatorn och det peerkopplade virtuella nätverket.
  • Kontrollera dina behörigheter i YourSubscription | IAM och kontrollera att du har läsbehörighet till följande resurser:
    • Läsarroll på den virtuella datorn.
    • Läsarroll på nätverkskortet med den virtuella datorns privata IP-adress.
    • Läsarroll på Azure Bastion-resursen.
    • Läsarroll i de virtuella nätverken för de virtuella måldatorerna.

Vanliga frågor och svar om Bastion VNet-peering

Vanliga frågor och svar finns i Vanliga frågor och svar om Bastion VNet-peering.

Nästa steg

Läs vanliga frågor och svar om Bastion.