Развертывание бастиона как только для частного (предварительная версия)

В этой статье показано, как развернуть Бастион в качестве закрытого развертывания. Развертывания бастиона только для частных пользователей блокируют сквозные рабочие нагрузки, создавая развертывание бастиона, отличное от Интернета, которое позволяет получить доступ только к частному IP-адресу. Развертывания бастиона только для частных служб не разрешают подключения к узлу бастиона через общедоступный IP-адрес. В отличие от этого, обычное развертывание Бастиона Azure позволяет пользователям подключаться к узлу бастиона с помощью общедоступного IP-адреса.

На следующей схеме показана архитектура развертывания только для бастиона. Пользователь, подключенный к Azure через частный пиринг ExpressRoute, может безопасно подключиться к Бастиону с помощью частного IP-адреса узла бастиона. Бастион может сделать подключение через частный IP-адрес к виртуальной машине, которая находится в той же виртуальной сети, что и узел бастиона. В развертывании бастиона только для частных пользователей Бастион не разрешает исходящий доступ за пределами виртуальной сети.

Схема, демонстрирующая архитектуру Бастиона Azure

Элементы, которые следует учитывать:

  • Бастион только для частного использования настраивается во время развертывания и требует уровня SKU уровня "Премиум".

  • Вы не можете измениться с обычного развертывания Бастиона на частное развертывание.

  • Чтобы развернуть бастион только для частной сети в виртуальной сети, которая уже имеет развертывание Бастиона, сначала удалите Бастион из виртуальной сети, а затем разверните Бастион обратно в виртуальную сеть как только частную. Вам не нужно удалять и повторно создавать azureBastionSubnet.

  • Если вы хотите создать сквозное частное подключение, подключитесь с помощью собственного клиента вместо подключения через портал Azure.

  • Если ваш клиентский компьютер находится в локальной среде и не в Azure, необходимо развернуть ExpressRoute или VPN и включить ПОДКЛЮЧЕНИЕ на основе IP-адресов на ресурсе Бастиона.

Необходимые компоненты

Действия, описанные в этой статье, предполагают наличие следующих предварительных требований:

  • Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начать работу.
  • Виртуальная сеть , которая не имеет развертывания Бастиона Azure.

Пример значений

При создании этой конфигурации вы можете применить приведенные ниже примеры значений или заменить их собственными.

Базовые значения виртуальной сети и виртуальных машин

Имя. Значение
Группа ресурсов TestRG1
Регион Восточная часть США
Виртуальная сеть Виртуальная сеть1
Адресное пространство 10.1.0.0/16.
Имя подсети 1: FrontEnd 10.1.0.0/24.
Имя подсети 2: AzureBastionSubnet 10.1.1.0/26

Значения бастиона

Имя. Значение
Имя VNet1-бастион
Уровень или номер SKU Премиум
Число экземпляров (масштабирование узла) 2 или больше
Передача прав и обязанностей статически.

Развертывание бастиона только для частного использования

В этом разделе показано, как развернуть Бастион только в виртуальной сети.

Внимание

Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

  1. Войдите в портал Azure и перейдите в виртуальную сеть. Если у вас еще нет, можно создать виртуальную сеть. Если вы создаете виртуальную сеть для этого упражнения, вы можете создать AzureBastionSubnet (на следующем шаге) одновременно с созданием виртуальной сети.

  2. Создайте подсеть, в которую будут развернуты ресурсы Бастиона. В области слева выберите подсети —> +Подсеть , чтобы добавить AzureBastionSubnet.

    • Подсеть должна быть /26 или больше (например, /26, /25 или /24) для размещения функций, доступных на уровне SKU уровня "Премиум".
    • Используйте для подсети имя AzureBastionSubnet.
  3. Нажмите кнопку "Сохранить " в нижней части области, чтобы сохранить значения.

  4. Затем на странице виртуальной сети выберите Бастион в левой области.

  5. На странице Бастиона разверните выделенные параметры развертывания (если этот раздел появится). Нажмите кнопку "Настроить вручную ". Если вы не выберете эту кнопку, вы не увидите необходимые параметры для развертывания Бастиона как только приватного.

    Снимок экрана: выделенные параметры развертывания для Бастиона Azure и кнопка для настройки вручную.

  6. На панели "Создание бастиона" настройте параметры для узла бастиона. Значения сведений о проекте заполняются значениями виртуальной сети.

    В разделе "Сведения об экземпляре" настройте следующие значения:

    Снимок экрана: сведения о экземпляре Бастиона Azure.

    • Имя: имя, которое вы хотите использовать для ресурса Бастиона.

    • Регион. Общедоступный регион Azure, в котором будет создан ресурс. Выберите регион, в котором находится виртуальная сеть.

    • Уровень. Для развертывания только для частного доступа необходимо выбрать premium .

    • Число экземпляров: параметр масштабирования узла. Вы настраиваете масштабирование узлов в единицах масштабирования. Используйте ползунок или введите число, чтобы настроить нужное число экземпляров. Дополнительные сведения см. в разделе "Экземпляры" и "Масштабирование узлов" и цены на бастион Azure.

  7. Для настройки параметров виртуальных сетей выберите виртуальную сеть из раскрывающегося списка. Если виртуальная сеть отсутствует в раскрывающемся списке, убедитесь, что выбрано правильное значение региона на предыдущем шаге.

  8. AzureBastionSubnet автоматически заполняется, если вы уже создали его на предыдущих шагах.

  9. В разделе "Настройка IP-адреса " указывается, что это закрытое развертывание. В параметрах необходимо выбрать частный IP-адрес .

    При выборе частного IP-адреса параметры общедоступного IP-адреса автоматически удаляются с экрана конфигурации.

    Снимок экрана: параметры конфигурации IP-адреса Бастиона Azure.

  10. Если вы планируете использовать ExpressRoute или VPN с бастионом только для частного доступа, перейдите на вкладку "Дополнительно ". Выберите подключение на основе IP-адресов.

  11. Завершив настройку параметров, выберите Просмотреть и создать. Этот шаг проверяет значения.

  12. После прохождения проверки значений можно развернуть Бастион. Нажмите кнопку создания.

  13. В сообщении показано, что развертывание выполняется. Состояние отображается на этой странице при создании ресурсов. Для создания и развертывания ресурса Бастиона потребуется около 10 минут.

Следующие шаги

Дополнительные сведения о параметрах конфигурации см. в разделе "Параметры конфигурации Бастиона Azure" и часто задаваемые вопросы о бастионе Azure.