你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Bastion 部署为仅专用
本文可帮助你将 Bastion 部署为仅专用部署。 仅专用 Bastion 部署将通过创建仅允许专用 IP 地址访问的非 Internet 可路由 Bastion 部署来锁定端到端工作负载。 仅专用 Bastion 部署不允许通过公共 IP 地址连接到堡垒主机。 相比之下,常规 Azure Bastion 部署允许用户使用公共 IP 地址连接到堡垒主机。
下图显示了 Bastion 仅限专用部署体系结构。 通过 ExpressRoute 专用对等互连连接到 Azure 的用户可以使用堡垒主机的专用 IP 地址安全地连接到 Bastion。 然后,Bastion 可以通过专用 IP 地址连接到与堡垒主机位于同一虚拟网络中的虚拟机。 在仅专用 Bastion 部署中,Bastion 不允许在虚拟网络之外进行出站访问。
需要注意的事项:
仅专用 Bastion 将在部署时进行配置,并且需要高级 SKU 层。
常规 Bastion 部署无法更改为仅专用部署。
若要将仅专用 Bastion 部署到已具有 Bastion 部署的虚拟网络,请先从该虚拟网络中移除 Bastion,然后再重新在虚拟网络中部署仅专用 Bastion。 你无需删除并重新创建 AzureBastionSubnet。
如果要创建端到端专用连接,请使用本机客户端进行连接,而不是通过 Azure 门户进行连接。
如果客户端计算机是本地计算机和非 Azure 计算机,则需要部署 ExpressRoute 或 VPN,并在 Bastion 资源上启用基于 IP 的连接
先决条件
本文中的步骤假定你具备以下先决条件:
示例值
创建此配置时,可以使用以下示例值,也可以将其替换为自己的值。
基本虚拟网络和虚拟机值
名称 | 值 |
---|---|
资源组 | TestRG1 |
区域 | 美国东部 |
虚拟网络 | VNet1 |
地址空间 | 10.1.0.0/16 |
子网 1 名称:FrontEnd | 10.1.0.0/24 |
子网 2 名称:AzureBastionSubnet | 10.1.1.0/26 |
Bastion 值
名称 | 值 |
---|---|
Name | VNet1-bastion |
层/SKU | 高级 |
实例计数(主机缩放) | 2 或更高版本 |
转让 | 静态 |
部署仅专用 Bastion
本部分可帮助你将 Bastion 作为仅专用类型部署到虚拟网络。
重要
小时定价从部署 Bastion 的时刻开始计算,而无论出站数据使用情况如何。 有关详细信息,请参阅定价和 SKU。 如果要将 Bastion 部署为教程或测试的一部分,建议在使用完此资源后将其删除。
登录到 Azure 门户并转到虚拟网络。 如果还没有虚拟网络,可以创建虚拟网络。 如果要为此练习创建一个虚拟网络,可以在创建虚拟网络的同时创建 AzureBastionSubnet(下一步)。
创建要用于部署 Bastion 资源的子网。 在左窗格中,选择“子网”->“+子网”,以添加 AzureBastionSubnet。
- 子网必须为 /26 或更大(例如,/26、/25 或 /24),才能适应高级 SKU 层提供的功能。
- 子网命名必须为 AzureBastionSubnet。
选择页面底部的“保存”以保存值。
接下来,在虚拟网络页面上,从左窗格中选择“Bastion”。
在“Bastion”页面上,展开“专用部署选项”(如果出现该部分)。 选择“手动配置”按钮。 如果未选择此按钮,则看不到将 Bastion 部署为专用部署所需的设置。
在“创建 Bastion”页上,配置堡垒主机的设置。 “项目详细信息”的值填充自虚拟网络值。
在“实例详细信息”下,配置以下值:
名称:要用于 Bastion 资源的名称。
区域:将在其中创建资源的 Azure 公共区域。 选择虚拟网络所在的区域。
层级:必须为专用部署选择“高级”。
实例计数:主机缩放设置。 以缩放单位增量配置主机缩放。 使用滑块或输入数字来配置想要的实例计数。 有关详细信息,请参阅实例和主机缩放和 Azure Bastion 定价。
对于“配置虚拟网络”设置,请从下拉列表中选择你的虚拟网络。 如果虚拟网络不在下拉列表中,请确保在上一步中选择了正确的“区域”值。
如果已在前面的步骤中创建 AzureBastionSubnet,则会自动填充“AzureBastionSubnet”。
在“配置 IP 地址”部分,你可以指定这是仅专用部署。 你必须从显示的选项中选择“专用 IP 地址”。
选择“专用 IP 地址”后,系统会自动从配置屏幕中移除“公共 IP 地址”设置。
如果打算将 ExpressRoute 或 VPN 与仅专用 Bastion 配合使用,请转到“高级”选项卡。选择“基于 IP 的连接”。
完成指定设置后,选择“查看 + 创建”。 此步骤验证值。
值通过验证后,可以部署 Bastion。 选择创建。
会有一条消息显示你的部署正在进行中。 创建资源后,此页面上将显示状态。 创建和部署 Bastion 资源大约需要 10 分钟的时间。
后续步骤
有关配置设置的详细信息,请参阅 Azure Bastion 配置设置和 Azure Bastion 常见问题解答。