在之前的文档里,我曾经针对Azure Bastion做过一些测试,当时测试下来证实Azure Bastion还不支持虚拟网络Peering模式,也就是说每个虚拟网络都需要有一个独立的Bastion,这个其实是很蛋疼的,一下让这个服务可用性降低了很多,具体的可以访问下边的链接看下当时的博客
https://blog.51cto.com/mxyit/2463638
如果你还不知道Azure Bastion是什么,简单来说就是云上原生的堡垒机,属于PaaS模式,不需要靠用户来维护,部署简单易用,想详细了解的可以通过以下链接访问官方文档
https://docs.microsoft.com/zh-cn/azure/bastion/bastion-overview?WT.mc_id=AZ-MVP-5001235
目前在Azure Global, Bastion已经可以支持跨虚拟网络Peering了,虽然还是preview的状态,下边就来看一下具体如何实现
首先介绍下实验环境,有两个虚拟网络, Bastion 虚拟网络部署了Azure Bastion,这个虚拟网络同时和Peer做了虚拟网络Peering
现在我们的目的就是在Peer虚拟网络通过部署在Bastion虚拟网络的Azure Bastion来进行虚拟机的安全访问
Bastion 10.84.0.0/16 East Asia
App 10.84.0.0/24
AzureBastionSubnet 10.84.1.0/24(最小27位)
Peer10.22.0.0/16 Southeast Asia
App 10.22.0.0/24
简单看下Azure Bastion的部署,过程很快,不详细讲,具体细节可以看最上边发的博客链接
首先在Bastion虚拟网络内部进行测试,尝试使用Azure Bastion访问在本虚拟网络的VM,这个当然是可以正常访问的
接下来在Peer虚拟网络进行测试,可以看到现在已经能出现Bastion的界面了,以前是根本看不到这个界面的
如此一来,以后再Azure上进行网络规划时就可以省去很多麻烦,完全可以用一个Azure Bastion cover掉所有的secure access需求,同时,这样也更利于像是hub-spoke这种架构设计,完全可以在hub虚拟网络设置一个Azure Bastion,所有spoke虚拟网络都通过这个Bastion访问
Azure 堡垒使用以下类型的对等互连:
虚拟网络对等互连: 将虚拟网络连接到同一 Azure 区域中。
全局虚拟网络对等互连: 跨 Azure 区域连接虚拟网络。
值得注意的是,目前这种访问模式还不支持跨tenant来使用,详细可以看下下方的
https://docs.microsoft.com/zh-cn/azure/bastion/vnet-peering?WT.mc_id=AZ-MVP-5001235