你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

虚拟网络对等互连和 Azure Bastion

Azure Bastion 和虚拟网络对等互连可以一起使用。 配置虚拟网络对等互连后,无需在每个对等互连的 VNet(虚拟网络)中部署 Azure Bastion。 这就意味着,如果在一个虚拟网络中配置了 Azure Bastion 主机,则可使用该主机连接到在对等互连的虚拟网络中部署的虚拟机 (VM),而无需部署其他堡垒主机。 有关虚拟网络对等互连的详细信息,请参阅关于虚拟网络对等互连

Azure Bastion 使用以下类型的对等互连:

  • 虚拟网络对等互连: 连接同一 Azure 区域中的虚拟网络。
  • 全局虚拟网络对等互连: 跨 Azure 区域连接虚拟网络。

注意

不支持在虚拟 WAN 中心内部署 Azure Bastion。 可以在辐射 VNet 中部署 Azure Bastion,并使用基于 IP 的连接功能通过虚拟 WAN 中心连接到跨不同 VNet 部署的虚拟机。

体系结构

配置虚拟网络对等互连后,可以在中心辐射型拓扑或全网格型拓扑中部署 Azure Bastion。 Azure Bastion 部署是按虚拟网络进行的,而不是按订阅/帐户或虚拟机进行的。

在虚拟网络中预配 Azure Bastion 服务后,同一虚拟网络以及对等互连的虚拟网络中所有的虚拟机均可获得 RDP/SSH 体验。 这意味着可以将 Bastion 部署合并到单个虚拟网络,并且仍可访问在对等虚拟网络中部署的虚拟机,从而集中管理整个部署。

设计和体系结构图

此图显示了中心辐射型模型中 Azure Bastion 部署的体系结构。 在此图中,可以看到以下配置:

  • 堡垒主机部署在集中式中心虚拟网络中。
  • 已部署集中式网络安全组 (NSG)。
  • Azure VM 无需公共 IP。

部署概述

  1. 验证是否已配置虚拟网络以及虚拟网络中的虚拟机
  2. 配置虚拟网络对等互连
  3. 在其中一个 VNet 中配置堡垒
  4. 验证权限
  5. 通过 Azure Bastion 连接到虚拟机。 若要通过 Azure Bastion,必须对已登录的订阅具有正确的权限。

验证权限

使用此体系结构时验证以下权限:

  • 确保你对目标 VM 和对等虚拟网络都有“读取”访问权限。
  • 在“YourSubscription | IAM”中检查权限,验证你是否有对以下资源的读取权限:
    • 虚拟机上的读者角色。
    • NIC 上的读者角色(使用虚拟机的专用 IP)。
    • Azure Bastion 资源上的读者角色。
    • 目标虚拟机虚拟网络上的读者角色。

Bastion VNet 对等互连常见问题解答

关于常见问题解答,请参阅 Bastion 虚拟网络对等互连常见问题解答

后续步骤

阅读 Bastion 常见问题解答