Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья поможет вам развернуть Bastion как развертывание, доступное только для частного использования. Развертывания бастиона только для частного доступа защищают рабочие процессы от конца до конца, создавая развертывание, не имеющее маршрутизации через Интернет, которое позволяет получить доступ только к частным IP-адресам. Развертывания бастиона, предназначенные только для частных сетей, не разрешают подключения к серверу бастиона через публичный IP-адрес. В отличие от этого, обычное развертывание Azure Bastion позволяет пользователям подключаться к узлу бастиона с помощью общедоступного IP-адреса.
На следующей схеме показана архитектура выделенного закрытого развертывания Azure Bastion. Бастион развернут в виртуальной сети. Пользователь, подключенный к Azure через частный пиринг ExpressRoute, может безопасно подключиться к Бастиону с помощью частного IP-адреса узла бастиона. Бастион может установить соединение через частный IP-адрес с виртуальной машиной, которая находится в той же виртуальной сети, что и бастионный хост, или в одноранговой виртуальной сети. В развертывании бастиона только для частных пользователей Бастион не разрешает исходящий доступ за пределами виртуальной сети.
Элементы, которые следует учитывать:
Бастион исключительно частного использования настраивается во время развертывания и требует SKU уровня "Премиум".
Вы не можете перейти с обычного развертывания Bastion на развертывание исключительно для личного использования.
Чтобы развернуть частный бастион в виртуальной сети, в которой уже развернут бастион, сначала удалите Бастион из виртуальной сети, а затем разверните его обратно как частный. Вам не нужно удалять и повторно создавать azureBastionSubnet.
Если вы хотите создать сквозное частное подключение, подключитесь с помощью собственного клиента вместо подключения через портал Azure.
Если клиентский компьютер находится в локальной среде и не в Azure, необходимо развернуть ExpressRoute или VPN и включить подключение на базе IP на ресурсе Бастиона.
Убедитесь, что правила безопасности сети не блокируют доступ через порт 443 к AzureBastionSubnet для входящего Virtual Network трафика.
Prerequisites
Действия, описанные в этой статье, предполагают наличие следующих предварительных требований:
- Подписка Azure. Если у вас еще нет аккаунта, создайте бесплатную учетную запись, прежде чем начать.
- Сеть виртуальная, которая не имеет развертывания Azure Bastion.
Примеры значений
При создании этой конфигурации вы можете применить приведенные ниже примеры значений или заменить их собственными.
Базовые значения виртуальной сети и виртуальных машин
| Name | Value |
|---|---|
| Группа ресурсов | TestRG1 |
| Регион | Восточная часть США |
| Виртуальная сеть | Виртуальная сеть1 |
| Адресное пространство | 10.1.0.0/16. |
| Имя подсети 1: FrontEnd | 10.1.0.0/24. |
| Имя подсети 2: AzureBastionSubnet | 10.1.1.0/26 |
Значения бастиона
| Name | Value |
|---|---|
| Имя | VNet1-bastion |
| Артикул | Премиум |
| Количество экземпляров (масштабирование сервера) | 2 или больше |
| Задание | Статический |
Развертывание частного бастиона
В этом разделе показано, как развернуть Бастион в режиме только для виртуальной сети.
Important
Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.
Войдите на портал Azure и перейдите в виртуальную сеть. Если у вас еще нет, можно создать виртуальную сеть. Если вы создаете виртуальную сеть для этого упражнения, вы можете создать AzureBastionSubnet (на следующем шаге) одновременно с созданием виртуальной сети.
Создайте подсеть, в которую будут развернуты ресурсы Бастиона. В области слева выберите подсети —> +Подсеть , чтобы добавить AzureBastionSubnet.
- Подсеть должна быть /26 или больше (например, /26, /25 или /24) для размещения функций, доступных с номером SKU уровня "Премиум".
- Подсеть должна называться AzureBastionSubnet.
Нажмите кнопку "Сохранить " в нижней части области, чтобы сохранить значения.
Затем на странице виртуальной сети выберите Бастион в левой области.
На странице Бастиона раскройте специальные параметры развертывания (если данный раздел доступен). Нажмите кнопку "Настроить вручную ". Если вы не выберете эту кнопку, вы не сможете увидеть необходимые настройки для развертывания Bastion только в приватном режиме.
На панели "Создание бастиона" настройте параметры для узла бастиона. Значения сведений о проекте заполняются значениями виртуальной сети.
В разделе "Детали экземпляра" настройте следующие значения:
Имя: имя, которое вы хотите использовать для ресурса Бастиона.
Region: общедоступный регион Azure, в котором будет создан ресурс. Выберите регион, в котором находится виртуальная сеть.
Уровень. Для развертывания только для частного доступа необходимо выбрать premium .
Число экземпляров: параметр масштабирования узла. Вы настраиваете масштабирование хоста шагами единиц масштабируемости. Используйте ползунок или введите число, чтобы настроить нужное число экземпляров. Дополнительные сведения см. в разделах Экземпляры и масштабирование узлов и цены на сервис Azure Bastion.
Для настройки параметров виртуальных сетей выберите виртуальную сеть из раскрывающегося списка. Если виртуальная сеть отсутствует в раскрывающемся списке, убедитесь, что выбрано правильное значение региона на предыдущем шаге.
AzureBastionSubnet автоматически заполняется, если вы уже создали его на предыдущих шагах.
В разделе "Настройка IP-адреса " указывается, что это закрытое развертывание. В параметрах необходимо выбрать частный IP-адрес .
При выборе частного IP-адреса параметры общедоступного IP-адреса автоматически удаляются с экрана конфигурации.
Если вы планируете использовать ExpressRoute или VPN с бастионом только для частного использования, перейдите на вкладку "Дополнительно ". Выберите подключение на основе IP-адресов.
Завершив настройку параметров, выберите Просмотреть и создать. Этот шаг проверяет значения.
После прохождения проверки значений можно развернуть Бастион. Нажмите кнопку "Создать".
Сообщение показывает, что развертывание выполняется. Состояние отображается на этой странице при создании ресурсов. Для создания и развертывания ресурса Бастиона потребуется около 10 минут.
Дальнейшие шаги
Дополнительные сведения о параметрах конфигурации см. в разделе Azure Bastion параметры конфигурации и часто задаваемые вопросы о Azure Bastion.