最好的Azure學習站點:Azure文檔中心 / Microsoft Learning
使用VNet Peering增強Azure Bastion的實用性
Azure Bastion是微軟爲Azure虛擬機用戶提供的一項PaaS版本的堡壘機服務。使用它可以通過安全的方式通過管理端口(RDP/SSH)訪問Azure虛擬機,而無需爲虛擬機配置公網IP。
Azure Bastion部署在虛擬網絡中,也就是說它可以爲其所在虛擬網絡中所有子網內的虛擬機提供堡壘機服務。若用戶有多個虛擬網絡,則需要在每個虛擬網絡中都部署一個Bastion主機,從而實現虛擬機的安全性。那麼是否有一種方式可以通過一個虛擬網絡中的Bastion主機來對多個虛擬網絡中的虛擬機進行保護呢?答案肯定是有的。
可以將Azure Bastion和VNet Peering結合使用。配置好VNet Peering以後,則無需在每個對等互聯的VNet中均部署Bastion主機。也就是說,如果在一個虛擬網絡中部署Bastion主機,則它可用於連接到再對等互聯VNet中部署的虛擬機,對等互聯VNet中無需部署其他的Bastion主機。
可以在如下類型的對等互聯中使用Azure Bastion解決方案:
虛擬網絡對等互聯:同一Azure區域中的虛擬網絡之間進行對等互聯
全局虛擬網絡對等互聯:跨Azure區域間的虛擬網絡進行對等互聯
可以將堡壘部署整合到單個虛擬網絡,並仍可訪問部署在對等互連虛擬網絡中的VM,同時集中整個部署,這不僅對於實施Hub Spoke網絡架構來說有着很大的便利性,還可以減少用戶部署Bastion服務的數量,從而節約成本。更過信息大家可以參考如下連接:
https://docs.microsoft.com/en-us/azure/bastion/vnet-peering?WT.mc_id=AZ-MVP-5002232
資源準備
說了這麼多,接下來就一起看下如何使用虛擬網絡對等互聯增強Bastion服務。本地實驗將繼續上次的實驗環境,在上次的實驗環境中已經在Japan East區域部署好了虛擬機和Bastion,具體如下圖所示:
接下來會在East Asia區域部署虛擬網絡和虛擬機:
配置虛擬網絡對等互聯
配置Japan East區域的虛擬網絡和East Asia區域的虛擬網絡對等互聯:
虛擬網絡對等的配置方式在此就不和大家介紹了,感興趣的同學可以參考如下連接:
測試VM連接
打開部署在East Asia區域的虛擬機,點擊“connect”—“Bastion”:
可以看到當前使用的是之前部署在Japan East區域的Bastion主機,輸入用戶名密碼,點擊連接:
連接成功,如下圖所示:
到這裏關於如何使用VNet Peering增強Azure Bastion的實用性的方法也就給大家介紹完了。通過上述方法可以使Bastion服務更有用且更便宜。