Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как развернуть Бастион в качестве закрытого развертывания. Развертывания бастиона только для частных пользователей блокируют сквозные рабочие нагрузки, создавая развертывание бастиона, отличное от Интернета, которое позволяет получить доступ только к частному IP-адресу. Развертывания бастиона только для частных служб не разрешают подключения к узлу бастиона через общедоступный IP-адрес. В отличие от этого, обычное развертывание Бастиона Azure позволяет пользователям подключаться к узлу бастиона с помощью общедоступного IP-адреса.
На следующей схеме показана архитектура выделенного закрытого развертывания бастиона Azure. Бастион развертывается в виртуальной сети. Пользователь, подключенный к Azure через частный пиринг ExpressRoute, может безопасно подключиться к Бастиону с помощью частного IP-адреса узла бастиона. Бастион может установить соединение через частный IP-адрес с виртуальной машиной, которая находится в той же виртуальной сети, что и бастионный хост, или в одноранговой виртуальной сети. В развертывании бастиона только для частных пользователей Бастион не разрешает исходящий доступ за пределами виртуальной сети.
Элементы, которые следует учитывать:
Бастион только для частного использования настраивается во время развертывания и требует уровня SKU уровня "Премиум".
Вы не можете измениться с обычного развертывания Бастиона на частное развертывание.
Чтобы развернуть бастион только для частной сети в виртуальной сети, которая уже имеет развертывание Бастиона, сначала удалите Бастион из виртуальной сети, а затем разверните Бастион обратно в виртуальную сеть как только частную. Вам не нужно удалять и повторно создавать azureBastionSubnet.
Если вы хотите создать сквозное частное подключение, подключитесь с помощью собственного клиента вместо подключения через портал Azure.
Если ваш клиентский компьютер находится в локальной среде и не в Azure, необходимо развернуть ExpressRoute или VPN и включить подключение на основе IP-адресов на ресурсе Бастиона.
Убедитесь, что правила безопасности сети не блокируют доступ через порт 443 к AzureBastionSubnet для входящего трафика виртуальной сети.
Prerequisites
Действия, описанные в этой статье, предполагают наличие следующих предварительных требований:
- Подписка Azure. Если у вас нет учетной записи, создайте бесплатную учетную запись перед началом работы.
- Виртуальная сеть без развертывания Бастиона Azure.
Примеры значений
При создании этой конфигурации вы можете применить приведенные ниже примеры значений или заменить их собственными.
Базовые значения виртуальной сети и виртуальных машин
| Name | Value |
|---|---|
| Группа ресурсов | TestRG1 |
| Region | Восточная часть США |
| Виртуальная сеть | VNet1 |
| Адресное пространство | 10.1.0.0/16 |
| Имя подсети 1: FrontEnd | 10.1.0.0/24 |
| Имя подсети 2: AzureBastionSubnet | 10.1.1.0/26 |
Значения бастиона
| Name | Value |
|---|---|
| Name | VNet1-bastion |
| Tier/SKU | Premium |
| Число экземпляров (масштабирование узла) | 2 или больше |
| Assignment | Static |
Развертывание бастиона только для частного использования
В этом разделе показано, как развернуть Бастион только в виртуальной сети.
Important
Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.
Войдите на портал Azure и перейдите в виртуальную сеть. Если у вас еще нет, можно создать виртуальную сеть. Если вы создаете виртуальную сеть для этого упражнения, вы можете создать AzureBastionSubnet (на следующем шаге) одновременно с созданием виртуальной сети.
Создайте подсеть, в которую будут развернуты ресурсы Бастиона. В области слева выберите подсети —> +Подсеть , чтобы добавить AzureBastionSubnet.
- Подсеть должна быть /26 или больше (например, /26, /25 или /24) для размещения функций, доступных на уровне SKU уровня "Премиум".
- Подсеть должна называться AzureBastionSubnet.
Нажмите кнопку "Сохранить " в нижней части области, чтобы сохранить значения.
Затем на странице виртуальной сети выберите Бастион в левой области.
На странице Бастиона раскройте специальные параметры развертывания (если данный раздел доступен). Нажмите кнопку "Настроить вручную ". Если вы не выберете эту кнопку, вы не увидите необходимые параметры для развертывания Бастиона как только приватного.
На панели "Создание бастиона" настройте параметры для узла бастиона. Значения сведений о проекте заполняются значениями виртуальной сети.
В разделе "Детали экземпляра" настройте следующие значения:
Имя: имя, которое вы хотите использовать для ресурса Бастиона.
Регион: общедоступный регион Azure, в котором будет создан ресурс. Выберите регион, в котором находится виртуальная сеть.
Уровень. Для развертывания только для частного доступа необходимо выбрать premium .
Число экземпляров: параметр масштабирования узла. Вы настраиваете масштабирование узлов в единицах масштабирования. Используйте ползунок или введите число, чтобы настроить нужное число экземпляров. Дополнительные сведения см. в разделе "Экземпляры" и "Масштабирование узлов" и цены на бастион Azure.
Для настройки параметров виртуальных сетей выберите виртуальную сеть из раскрывающегося списка. Если виртуальная сеть отсутствует в раскрывающемся списке, убедитесь, что выбрано правильное значение региона на предыдущем шаге.
AzureBastionSubnet автоматически заполняется, если вы уже создали его на предыдущих шагах.
В разделе "Настройка IP-адреса " указывается, что это закрытое развертывание. В параметрах необходимо выбрать частный IP-адрес .
При выборе частного IP-адреса параметры общедоступного IP-адреса автоматически удаляются с экрана конфигурации.
Если вы планируете использовать ExpressRoute или VPN с бастионом только для частного использования, перейдите на вкладку "Дополнительно ". Выберите подключение на основе IP-адресов.
Завершив настройку параметров, выберите Просмотреть и создать. Этот шаг проверяет значения.
После прохождения проверки значений можно развернуть Бастион. Нажмите кнопку "Создать".
В сообщении показано, что развертывание выполняется. Состояние отображается на этой странице при создании ресурсов. Для создания и развертывания ресурса Бастиона потребуется около 10 минут.
Дальнейшие шаги
Дополнительные сведения о параметрах конфигурации см. в разделе "Параметры конфигурации Бастиона Azure" и часто задаваемые вопросы о бастионе Azure.