共用方式為

虛擬網路對等互連和 Azure Bastion

  • 發行項

Azure Bastion 和 虛擬網絡 對等互連可以一起使用。 設定 虛擬網絡 對等互連時,您不需要在每個對等互連 VNet (虛擬網路) 中部署 Azure Bastion。 這表示如果您在一個虛擬網路中設定了 Azure Bastion 主機,它可以用來連線到在對等互連虛擬網路中部署的虛擬機(VM),而不需要部署額外的防禦主機。 如需虛擬網路對等互連的詳細資訊,請參閱 關於虛擬網路對等互連

Azure Bastion 適用於下列類型的對等互連:

  • 虛擬網路對等互連:在相同的 Azure 區域內連線虛擬網路。
  • 全域虛擬網路對等互連:跨 Azure 區域連線虛擬網路。

注意

不支援在虛擬 WAN 中樞部署 Bastion。 您可以在輪輻 VNet 中部署 Azure Bastion,並使用 IP 型連線功能,透過虛擬 WAN 中樞連線到跨不同 VNet 部署的虛擬機器。

架構

設定虛擬網路對等互連時,Azure Bastion 可以部署在中樞輪輻或完整網格拓撲中。 Azure Bastion 部署依虛擬網路來進行,而非以訂用帳戶/帳戶或虛擬機器為依據。

在虛擬網路中布建 Azure Bastion 服務之後,RDP/SSH 體驗就可供相同虛擬網路和對等互連虛擬網路中的所有虛擬機使用。 這表示您可以將 Bastion 部署合併到單一虛擬網路,但仍可連線到在對等互連虛擬網路中部署的虛擬機,以集中整體部署。

設計和架構圖表

此圖顯示中樞和輪輻模型中 Azure Bastion 部署的架構。 在圖表中,您可以看到下列設定:

  • 堡壘主機部署在集中式中樞虛擬網路中。
  • 已部署集中式網路安全性群組 (NSG)。
  • Azure VM 上不需要公用 IP。

部署概觀

  1. 確認您已設定虛擬網路,以及虛擬網路內的虛擬機
  2. 設定虛擬網路對等互連
  3. 在其中一個 VNet 中設定 Bastion
  4. 確認權限
  5. 透過 Azure Bastion 連線到虛擬機 。 若要透過 Azure Bastion 連線,您必須擁有您登入之訂用帳戶的正確許可權。

確認權限

使用此架構時,請確認下列權限:

  • 請確定您具有 目標 VM 和對等互連虛擬網路的讀取 許可權。
  • 在 [您的訂用帳戶 | IAM] 中檢查您的全縣,並確認您具有下列資源的讀取權限:
    • 虛擬機器上的讀取者角色。
    • 虛擬機器的私人 IP 位址與 NIC 上的讀取者角色。
    • Azure Bastion 資源上的讀者角色。
    • 目標虛擬機器虛擬網路上的讀取者角色。

Bastion VNet 對等互連常見問題集

如需常見問題,請參閱 Bastion 虛擬網路對等互連 常見問題

下一步

閱讀 Bastion 常見問題集