Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln hjälper dig att distribuera Bastion som enbart privat distribution. Privata Bastion-distributioner låser arbetsbelastningar från början till slut genom att skapa en Bastion-distribution som inte är internet-routbar och endast tillåter åtkomst via privata IP-adresser. Endast privata Bastion-distributioner tillåter inte anslutningar till bastionsvärden via offentlig IP-adress. En vanlig Azure Bastion-distribution gör det tvärtom möjligt för användare att ansluta till bastionvärden med hjälp av en offentlig IP-adress.
Följande diagram visar den dedikerade privata distributionsarkitekturen i Azure Bastion. Bastion distribueras till det virtuella nätverket. En användare som är ansluten till Azure via ExpressRoute för privat peering kan säkert ansluta till Bastion med hjälp av bastionvärdens privata IP-adress. Bastion kan sedan upprätta anslutningen via en privat IP-adress till en virtuell dator som finns i samma virtuella nätverk som bastionsvärden eller i ett peer-kopplat virtuellt nätverk. I en privat Bastion-distribution tillåter Bastion inte utgående åtkomst utanför det virtuella nätverket.
Saker att tänka på:
Enbart privat bastion konfigureras vid tidpunkten för distributionen och kräver Premium SKU-nivån.
Du kan inte ändra från en vanlig Bastion-distribution till en enbart privat distribution.
Om du vill distribuera Bastion endast privat till ett virtuellt nätverk som redan har en Bastion-distribution tar du först bort Bastion från det virtuella nätverket och distribuerar sedan Bastion tillbaka till det virtuella nätverket som privat. Du behöver inte ta bort och återskapa AzureBastionSubnet.
Om du vill skapa en privat anslutning från slutpunkt till slutpunkt ansluter du med den interna klienten i stället för att ansluta via Azure-portalen.
Om klientdatorn är lokal och inte Azure måste du distribuera en ExpressRoute eller VPN och aktivera IP-baserad anslutning på Bastion-resursen .
Se till att dina nätverkssäkerhetsregler inte blockerar port 443-åtkomst till AzureBastionSubnet för inkommande virtuell nätverkstrafik.
Prerequisites
Stegen i den här artikeln förutsätter att du har följande förutsättningar:
- Ett Azure-abonnemang. Om du inte har något skapar du ett kostnadsfritt konto innan du börjar.
- Ett virtuellt nätverk som inte har Azure Bastion-distribution.
Exempelvärden
Du kan använda följande exempelvärden när du skapar den här konfigurationen, eller så kan du ersätta dina egna.
Grundläggande värden för virtuella nätverk och virtuella datorer
| Name | Value |
|---|---|
| resursgrupp | TestRG1 |
| Region | Östra USA |
| Virtuellt nätverk | VNet1 |
| Adressutrymme | 10.1.0.0/16 |
| Namnet på undernät 1: FrontEnd | 10.1.0.0/24 |
| Namn på undernät 2: AzureBastionSubnet | 10.1.1.0/26 |
Bastion-värden
| Name | Value |
|---|---|
| Name | VNet1-bastion |
| Tier/SKU | Premium |
| Instansantal (hostskalning) | 2 eller senare |
| Assignment | Static |
Distribuera Bastion endast privat
Det här avsnittet hjälper dig att distribuera Bastion som privat till ditt virtuella nätverk.
Important
Timprissättningen startar när Bastion aktiveras, oavsett utgående dataanvändning. Mer information finns i Priser och SKU:er. Om du implementerar Bastion som en del av en handledning eller test, rekommenderar vi att du raderar denna resurs efter att du har använt den klart.
Logga in på Azure-portalen och gå till ditt virtuella nätverk. Om du inte redan har ett kan du skapa ett virtuellt nätverk. Om du skapar ett virtuellt nätverk för den här övningen kan du skapa AzureBastionSubnet (från nästa steg) samtidigt som du skapar det virtuella nätverket.
Skapa det undernät som dina Bastion-resurser ska distribueras till. I den vänstra rutan väljer du Undernät –> +Undernät för att lägga till AzureBastionSubnet.
- Undernätet måste vara /26 eller större (till exempel /26, /25 eller /24) för att rymma funktioner som är tillgängliga med Premium SKU-nivån.
- Undernätet måste ha namnet AzureBastionSubnet.
Välj Spara längst ned i fönstret för att spara dina värden.
Välj Sedan Bastion i det vänstra fönstret på sidan för det virtuella nätverket.
På sidan Bastion expanderar du Dedikerade distributionsalternativ (om det avsnittet visas). Välj knappen Konfigurera manuellt . Om du inte väljer den här knappen kan du inte se nödvändiga inställningar för att distribuera Bastion som endast privat.
På panelen Skapa en bastion konfigurerar du inställningarna för din bastionvärd. Värdena för projektinformation fylls i från dina värden för det virtuella nätverket.
Under Instansinformation konfigurerar du följande värden:
Namn: Det namn som du vill använda för din Bastion-resurs.
Region: Den offentliga Azure-region där resursen ska skapas. Välj den region där det virtuella nätverket finns.
Nivå: Du måste välja Premium för en privat distribution.
Antal instanser: Inställningen för värdskalning. Du konfigurerar skalning av värdarna i steg om skalningsenheter. Använd skjutreglaget eller ange ett tal för att konfigurera det antal instanser som du vill använda. Mer information finns i Instanser och värdskalning och Prissättning för Azure Bastion.
För Konfigurera inställningar för virtuella nätverk väljer du ditt virtuella nätverk i listrutan. Om det virtuella nätverket inte finns i listrutan kontrollerar du att du har valt rätt regionvärde i föregående steg.
AzureBastionSubnet fylls i automatiskt om du redan har skapat det i de tidigare stegen.
I avsnittet Konfigurera IP-adress anger du att det här är en privat distribution. Du måste välja Privat IP-adress från alternativen.
När du väljer Privat IP-adress tas inställningarna för offentliga IP-adresser bort automatiskt från konfigurationsskärmen.
Om du planerar att använda ExpressRoute eller VPN med Endast privat Bastion går du till fliken Avancerat . Välj IP-baserad anslutning.
När du har angett inställningarna väljer du Granska + Skapa. Det här steget validerar värdena.
När värdena har godkänts kan du distribuera Bastion. Välj Skapa.
Ett meddelande visar att distributionen pågår. Statusen visas på den här sidan när resurserna skapas. Det tar cirka 10 minuter innan Bastion-resursen skapas och distribueras.
Nästa steg
Mer information om konfigurationsinställningar finns i Konfigurationsinställningar för Azure Bastion och Vanliga frågor och svar om Azure Bastion.