VNET-Peering und Azure Bastion

  • Artikel

Azure Bastion kann zusammen mit VNET-Peering verwendet werden. Wenn VNET-Peering konfiguriert ist, müssen Sie Azure Bastion nicht in jedem Peering-VNET bereitstellen. Wenn Sie also in einem virtuellen Netzwerk (VNet) einen Azure Bastion-Host konfiguriert haben, kann dieser zum Herstellen einer Verbindung mit VMs in einem VNet mit Peering verwendet werden, ohne dass ein zusätzlicher Bastionhost bereitgestellt werden muss. Weitere Informationen zum VNET-Peering finden Sie unter Peering in virtuellen Netzwerken.

Azure Bastion funktioniert mit den folgenden Peeringtypen:

  • Peering virtueller Netzwerke: Herstellen von Verbindungen zwischen virtuellen Netzwerken in derselben Azure-Region.
  • Globales Peering virtueller Netzwerke: Herstellen von Verbindungen zwischen virtuellen Netzwerken über Azure-Regionen hinweg.

Hinweis

Die Bereitstellung von Azure Bastion innerhalb eines Virtual WAN-Hubs wird jedoch nicht unterstützt. Sie können Azure Bastion in einem Spoke-VNet bereitstellen und das IP-basierte Verbindungsfeature nutzen, um eine Verbindung mit virtuellen Computern herzustellen, die über den Virtual WAN-Hub in einem anderen VNet bereitgestellt werden.

Aufbau

Wenn VNET-Peering konfiguriert ist, kann Azure Bastion in Hub-and-Spoke- oder Full-Mesh-Topologien bereitgestellt werden. Diese Bereitstellung von Azure Bastion erfolgt pro virtuellem Netzwerk und nicht pro Abonnement/Konto oder virtuellem Computer.

Nachdem Sie den Azure Bastion-Dienst in Ihrem virtuellen Netzwerk bereitgestellt haben, steht die RDP- bzw. SSH-Funktion für alle VMs im gleichen VNet und in allen VNets mit Peering zur Verfügung. So können Sie Bastion zentral in nur einem VNET bereitstellen und trotzdem VMs erreichen, die in einem Peering-VNET bereitgestellt wurden.

Diagramm von Design und Architektur

In diesem Diagramm ist die Architektur einer Azure Bastion-Bereitstellung in einem Hub-and-Spoke-Modell dargestellt. Im Diagramm sehen Sie die folgende Konfiguration:

  • Der Bastionhost wird im zentralen virtuellen Hubnetzwerk bereitgestellt.
  • Eine zentrale Netzwerksicherheitsgruppe (NSG) wird bereitgestellt.
  • Für die Azure-VM ist keine öffentliche IP-Adresse erforderlich.

Übersicht über die Bereitstellung

  1. Überprüfen Sie, ob Sie VNets und virtuelle Computer in den VNets konfiguriert haben.
  2. Konfigurieren Sie das VNET-Peering.
  3. Konfigurieren Sie Bastion in einem der VNets.
  4. Überprüfen Sie die Berechtigungen.
  5. Stellen Sie über Azure Bastion eine Verbindung zu einer VM her. Um eine Verbindung über Azure Bastion herzustellen, müssen Sie über die richten Berechtigungen für das Abonnement verfügen, bei dem Sie angemeldet sind.

So überprüfen Sie die Berechtigungen

Überprüfen Sie bei der Arbeit mit dieser Architektur die folgenden Berechtigungen:

  • Stellen Sie sicher, dass Sie sowohl für die Ziel-VM als auch für das VNet mit Peering über Lesezugriff verfügen.
  • Überprüfen Sie Ihre Berechtigungen unter Ihr Abonnement | IAM, und überprüfen Sie, ob Sie Lesezugriff auf die folgenden Ressourcen haben:
    • Rolle „Leser“ für den virtuellen Computer
    • Rolle „Leser“ für den Netzwerkadapter mit privater IP-Adresse des virtuellen Computers
    • Rolle „Leser“ für die Azure Bastion-Ressource
    • Rolle „Leser“ in den virtuellen Netzwerken der virtuellen Zielcomputer.

Häufig gestellte Fragen zum VNET-Peering mit Bastion

Häufig gestellte Fragen zum VNET-Peering finden Sie unter Häufig gestellte Fragen zu Azure Bastion.

Nächste Schritte

Lesen Sie die häufig gestellten Fragen zu Bastion.