Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł pomaga wdrożyć usługę Bastion jako wdrożenie tylko prywatne. Prywatne wdrożenia usługi Bastion zabezpieczają obciążenia od początku do końca, tworząc wdrożenie usługi Bastion, które nie jest routowalne w Internecie i pozwala tylko na dostęp do prywatnych adresów IP. Wdrożenia usługi Bastion tylko dla prywatnych nie zezwalają na połączenia z hostem bastionu za pośrednictwem publicznego adresu IP. Z kolei regularne wdrażanie usługi Azure Bastion umożliwia użytkownikom łączenie się z hostem bastionu przy użyciu publicznego adresu IP.
Na poniższym diagramie przedstawiono architekturę dedykowanego wdrożenia prywatnego usługi Azure Bastion. Usługa Bastion jest wdrażana w sieci wirtualnej. Użytkownik połączony z platformą Azure za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute może bezpiecznie nawiązać połączenie z usługą Bastion, korzystając z prywatnego adresu IP hosta bastionu. Usługa Bastion może następnie nawiązać połączenie za pośrednictwem prywatnego adresu IP do maszyny wirtualnej znajdującej się w tej samej sieci wirtualnej, co host bastionowy lub w sieci wirtualnej połączonej równorzędnie. W przypadku wdrożenia usługi Bastion wyłącznie prywatnego, usługa Bastion nie zezwala na dostęp wychodzący poza sieć wirtualną.
Elementy do rozważenia:
Tylko prywatna wersja Bastion jest konfigurowana w momencie wdrażania i wymaga poziomu SKU Premium.
Nie można zmienić zwykłego wdrożenia usługi Bastion na wdrożenie tylko prywatne.
Aby wdrożyć usługę Bastion tylko prywatną w sieci wirtualnej, która ma już wdrożenie usługi Bastion, najpierw usuń usługę Bastion z sieci wirtualnej, a następnie wdróż usługę Bastion z powrotem do sieci wirtualnej jako tylko prywatna. Nie musisz usuwać i ponownie utworzyć podsieci AzureBastionSubnet.
Jeśli chcesz utworzyć kompleksową łączność prywatną, połącz się przy użyciu klienta natywnego zamiast łączyć się za pośrednictwem witryny Azure Portal.
Jeśli maszyna kliencka znajduje się na lokalnym serwerze i nie jest częścią platformy Azure, musisz wdrożyć usługę ExpressRoute lub sieć VPN oraz włączyć połączenie oparte na adresach IP w zasobie usługi Bastion.
Upewnij się, że reguły zabezpieczeń sieci nie blokują dostępu portu 443 do podsieci AzureBastionSubnet dla przychodzącego ruchu sieci wirtualnej.
Prerequisites
W krokach opisanych w tym artykule przyjęto założenie, że masz następujące wymagania wstępne:
- Subskrypcja Azure. Jeśli go nie masz, przed rozpoczęciem utwórz bezpłatne konto .
- Sieć wirtualna, która nie ma wdrożenia usługi Azure Bastion.
Przykładowe wartości
Poniższe przykładowe wartości można użyć podczas tworzenia tej konfiguracji lub możesz zastąpić własną.
Podstawowe wartości sieci wirtualnej i maszyny wirtualnej
| Name | Value |
|---|---|
| Grupa zasobów | TestRG1 |
| Region | Wschodnie stany USA |
| Sieć wirtualna | VNet1 |
| Przestrzeń adresowa | 10.1.0.0/16 |
| Nazwa podsieci 1: FrontEnd | 10.1.0.0/24 |
| Nazwa podsieci 2: AzureBastionSubnet | 10.1.1.0/26 |
Wartości bastionu
| Name | Value |
|---|---|
| Name | VNet1-bastion |
| Tier/SKU | Premium |
| Liczba wystąpień (skalowanie hostów) | 2 lub większe |
| Assignment | Static |
Wdrażanie usługi Bastion tylko w trybie prywatnym
Ta sekcja pomaga wdrożyć usługę Bastion jako tylko prywatną w sieci wirtualnej.
Important
Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego.
Zaloguj się do witryny Azure Portal i przejdź do sieci wirtualnej. Jeśli jeszcze go nie masz, możesz utworzyć sieć wirtualną. Jeśli tworzysz sieć wirtualną na potrzeby tego ćwiczenia, możesz utworzyć podsieć AzureBastionSubnet (z następnego kroku) w tym samym czasie co tworzenie sieci wirtualnej.
Utwórz podsieć, do której zostaną wdrożone zasoby usługi Bastion. W okienku po lewej stronie wybierz pozycję Podsieci —> +Podsieć , aby dodać podsieć AzureBastionSubnet.
- Podsieć musi mieć /26 lub być większa (na przykład /26, /25 lub /24), aby umożliwić skorzystanie z funkcji dostępnych w warstwie SKU Premium.
- Podsieć musi mieć nazwę AzureBastionSubnet.
Wybierz pozycję Zapisz w dolnej części okienka, aby zapisać wartości.
Następnie na stronie sieci wirtualnej wybierz pozycję Bastion w okienku po lewej stronie.
Na stronie Bastion rozwiń węzeł Opcje wdrożenia dedykowanego (jeśli zostanie wyświetlona ta sekcja). Wybierz przycisk Konfiguruj ręcznie . Jeśli nie wybierzesz tego przycisku, nie będziesz mógł zobaczyć wymaganych ustawień do wdrożenia usługi Bastion jako tylko prywatnej.
W okienku Tworzenie usługi Bastion skonfiguruj ustawienia hosta bastionu. Wartości szczegółów projektu są wypełniane z wartości sieci wirtualnej.
W obszarze Szczegóły wystąpienia skonfiguruj następujące wartości:
Nazwa: nazwa, której chcesz użyć dla zasobu usługi Bastion.
Region: publiczny region świadczenia usługi Azure, w którym zostanie utworzony zasób. Wybierz region, w którym znajduje się sieć wirtualna.
Warstwa: musisz wybrać warstwę Premium dla wdrożenia tylko prywatnego.
Liczba wystąpień: ustawienie skalowania hostów. Konfigurujesz skalowanie hostów z wykorzystaniem przyrostów jednostek skali. Użyj suwaka lub wprowadź liczbę, aby skonfigurować żądaną liczbę wystąpień. Aby uzyskać więcej informacji, zobacz Wystąpienia i skalowanie hostów oraz cennik usługi Azure Bastion.
W obszarze Konfigurowanie ustawień sieci wirtualnych wybierz sieć wirtualną z listy rozwijanej. Jeśli sieć wirtualna nie znajduje się na liście rozwijanej, upewnij się, że w poprzednim kroku wybrano poprawną wartość Region .
Podsieć AzureBastionSubnet zostanie automatycznie wypełniona, jeśli została już utworzona we wcześniejszych krokach.
Sekcja Konfigurowanie adresu IP to miejsce, w którym określasz, że jest to wdrożenie tylko prywatne. Z opcji musisz wybrać pozycję Prywatny adres IP.
Po wybraniu opcji Prywatny adres IP ustawienia publicznego adresu IP zostaną automatycznie usunięte z ekranu konfiguracji.
Jeśli planujesz używać usługi ExpressRoute lub sieci VPN z usługą Bastion tylko prywatnie, przejdź do karty Zaawansowane . Wybierz pozycję Połączenie oparte na adresach IP.
Po zakończeniu określania ustawień wybierz pozycję Przejrzyj i utwórz. Ten krok weryfikuje wartości.
Po zakończeniu walidacji wartości można wdrożyć usługę Bastion. Wybierz Utwórz.
Komunikat pokazuje, że wdrożenie jest w toku. Stan jest wyświetlany na tej stronie podczas tworzenia zasobów. Utworzenie i wdrożenie zasobu usługi Bastion trwa około 10 minut.
Dalsze kroki
Aby uzyskać więcej informacji na temat ustawień konfiguracji, zobacz Azure Bastion configuration settings (Ustawienia konfiguracji usługi Azure Bastion) i Azure Bastion FAQ (Często zadawane pytania dotyczące usługi Azure Bastion).