Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel hilft Ihnen bei der Bereitstellung von Bastion als rein private Bereitstellung. Rein private Bastion-Bereitstellungen sperren Workloads End-to-End, indem eine nicht über das Internet routingfähige Bereitstellung von Bastion erstellt wird, die rein privaten IP-Adresszugriff zulässt. Rein private Bastion-Bereitstellungen erlauben keine Verbindungen mit dem Bastionhost über die öffentliche IP-Adresse. Im Gegensatz dazu ermöglicht eine reguläre Azure Bastion-Bereitstellung Benutzern die Verbindung mit dem Bastionhost mithilfe einer öffentlichen IP-Adresse.
Das folgende Diagramm zeigt die dedizierte Azure Bastion dedizierte private Bereitstellungsarchitektur. Bastion wird im virtuellen Netzwerk bereitgestellt. Ein Benutzer, der über das private ExpressRoute-Peering mit Azure verbunden ist, kann mithilfe der privaten IP-Adresse des Bastionhosts sicher eine Verbindung mit Bastion herstellen. Bastion kann dann die Verbindung über private IP-Adresse zu einem virtuellen Computer herstellen, der sich innerhalb desselben virtuellen Netzwerks wie der Bastion-Host oder in einem peered virtual network befindet. In einer rein privaten Bastion-Bereitstellung lässt Bastion keinen ausgehenden Zugriff außerhalb des virtuellen Netzwerks zu.
Zu berücksichtigende Punkte:
Rein privates Bastion ist zum Zeitpunkt der Bereitstellung konfiguriert und erfordert den SKU-Tarif „Premium“.
Sie können nicht von einer regulären Bastion-Bereitstellung zu einer rein privaten Bereitstellung wechseln.
Um Bastion rein privat in einem virtuellen Netzwerk bereitzustellen, das bereits über eine Bastion-Bereitstellung verfügt, entfernen Sie zuerst Bastion aus Ihrem virtuellen Netzwerk, und stellen Sie Bastion dann als rein privat im virtuellen Netzwerk bereit. Sie müssen das AzureBastionSubnet nicht löschen und neu erstellen.
Wenn Sie eine private End-to-End-Konnektivität erstellen möchten, stellen Sie eine Verbindung über den nativen Client statt über das Azure-Portal her.
Wenn Ihr Clientcomputer lokal und nicht azure ist, müssen Sie eine ExpressRoute oder EIN VPN bereitstellen und die IP-basierte Verbindung auf der Bastion-Ressource aktivieren.
Stellen Sie sicher, dass Ihre Netzwerksicherheitsregeln den Zugriff auf Port 443 für eingehenden virtuellen Netzwerkdatenverkehr zum AzureBastionSubnet nicht blockieren.
Prerequisites
Bei den Schritten in diesem Artikel wird davon ausgegangen, dass Sie über die folgenden Voraussetzungen verfügen:
- Ein Azure-Abonnement. Wenn Sie noch kein Konto haben, erstellen Sie ein kostenloses Konto , bevor Sie beginnen.
- Ein virtuelles Netzwerk , das keine Azure Bastion-Bereitstellung hat.
Beispielwerte
Sie können beim Erstellen dieser Konfiguration die folgenden Beispielwerte verwenden oder Ihre eigenen Werte einsetzen.
Grundlegende Werte für virtuelle Netzwerke und virtuelle Computer
| Name | Value |
|---|---|
| Ressourcengruppe | TestRG1 |
| Region | USA, Osten |
| Virtuelles Netzwerk | VNet1 |
| Adressbereich | 10.1.0.0/16 |
| Name von Subnetz 1: FrontEnd | 10.1.0.0/24 |
| Name des Subnetzes 2: AzureBastionSubnet | 10.1.1.0/26 |
Bastionswerte
| Name | Value |
|---|---|
| Name | VNet1-bastion |
| Tier/SKU | Premium |
| Anzahl der Instanzen (Hostskalierung) | 2 oder höher |
| Assignment | Static |
Bereitstellen von rein-privatem Bastion
In diesem Abschnitt erfahren Sie, wie Sie Bastion als rein privat in Ihrem virtuellen Netzwerk bereitstellen.
Important
Die Stundenpreise gelten ab dem Zeitpunkt der Bereitstellung von Bastion, unabhängig von der Nutzung ausgehender Daten. Weitere Informationen finden Sie unter Preise und SKUs. Wenn Sie Bastion im Rahmen eines Tutorials oder Tests bereitstellen, empfiehlt es sich, diese Ressource zu löschen, sobald Sie sie nicht mehr benötigen.
Melden Sie sich beim Azure-Portal an, und wechseln Sie zu Ihrem virtuellen Netzwerk. Falls Sie noch über keins verfügen, können Sie ein virtuelles Netzwerk erstellen. Wenn Sie ein virtuelles Netzwerk für diese Übung erstellen, können Sie das AzureBastionSubnet (aus dem nächsten Schritt) zum selben Zeitpunkt erstellen, zu dem Sie Ihr virtuelles Netzwerk erstellen.
Erstellen Sie das Subnetz, in dem Ihre Bastion-Ressourcen bereitgestellt werden. Wählen Sie im linken Bereich Subnetze -> +Subnetz aus, um das AzureBastionSubnet hinzuzufügen.
- Das Subnetz muss /26 oder größer sein (z. B. /26, /25 oder /24), um features aufzunehmen, die mit der Premium-SKU-Stufe verfügbar sind.
- Das Subnetz muss den Namen AzureBastionSubnet haben.
Wählen Sie unten im Bereich "Speichern" aus, um Ihre Werte zu speichern.
Wählen Sie als Nächstes auf Der Seite "Virtuelles Netzwerk" im linken Bereich Bastion aus.
Erweitern Sie auf der Bastion-Seite dedizierte Bereitstellungsoptionen (sofern dieser Abschnitt angezeigt wird). Wählen Sie die Schaltfläche " Manuell konfigurieren " aus. Wenn Sie diese Schaltfläche nicht auswählen, werden die erforderlichen Einstellungen nicht angezeigt, um Bastion als rein privat bereitzustellen.
Konfigurieren Sie auf der Seite Bastion-Instanz erstellen die Einstellungen für Ihren Bastionhost. Die Project-Detailwerte werden aus Ihren virtuellen Netzwerkwerten aufgefüllt.
Konfigurieren Sie unter "Instanzdetails" die folgenden Werte:
Name: Der Name, den Sie für Ihre Bastion-Ressource verwenden möchten.
Region: Die öffentliche Azure-Region, in der die Ressource erstellt wird. Wählen Sie die Region aus, in der sich Ihr virtuelles Netzwerk befindet.
Stufe: Sie müssen Premium für eine nur private Bereitstellung auswählen.
Instanzanzahl: Die Einstellung für die Hostskalierung. Sie konfigurieren die Hostskalierung in Inkrementen von Skalierungseinheiten. Verwenden Sie den Schieberegler, oder geben Sie eine Zahl ein, um die gewünschte Instanzanzahl zu konfigurieren. Weitere Informationen finden Sie unter Instanzen und Hostskalierung und Azure Bastion – Preise.
Wählen Sie für die Einstellungen zum Konfigurieren virtueller Netzwerke Ihr virtuelles Netzwerk aus der Dropdownliste aus. Wenn Sich Ihr virtuelles Netzwerk nicht in der Dropdownliste befindet, stellen Sie sicher, dass Sie im vorherigen Schritt den richtigen Wert "Region " ausgewählt haben.
Das AzureBastionSubnet wird automatisch aufgefüllt, wenn Sie es bereits in den vorherigen Schritten erstellt haben.
Im Abschnitt IP-Adresse konfigurieren geben Sie an, dass es sich um eine rein private Bereitstellung handelt. Sie müssen Private IP-Adresse aus den Optionen auswählen.
Wenn Sie „Private IP-Adresse“ auswählen, werden die Einstellungen für die öffentliche IP-Adresse automatisch vom Konfigurationsbildschirm entfernt.
Wenn Sie Beabsichtigen, ExpressRoute oder VPN mit nur privatem Bastion zu verwenden, wechseln Sie zur Registerkarte "Erweitert ". Wählen Sie ipbasierte Verbindung aus.
Wählen Sie nach Angabe der Einstellungen die Option Überprüfen + erstellen aus. In diesem Schritt werden die Werte überprüft.
Nachdem die Werte überprüft wurden, können Sie Bastion bereitstellen. Wählen Sie "Erstellen" aus.
Eine Meldung wird angezeigt, die besagt, dass Ihre Bereitstellung in Bearbeitung ist. Der Status wird auf dieser Seite bei Erstellung der Ressourcen angezeigt. Die Erstellung und Bereitstellung der Bastion-Ressource dauert etwa 10 Minuten.
Nächste Schritte
Weitere Informationen zu Konfigurationseinstellungen finden Sie unter Azure Bastion-Konfigurationseinstellungen und Häufig gestellte Fragen zu Azure Bastion.