最好的Azure学习站点:Azure文档中心 / Microsoft Learning
使用VNet Peering增强Azure Bastion的实用性
Azure Bastion是微软为Azure虚拟机用户提供的一项PaaS版本的堡垒机服务。使用它可以通过安全的方式通过管理端口(RDP/SSH)访问Azure虚拟机,而无需为虚拟机配置公网IP。
Azure Bastion部署在虚拟网络中,也就是说它可以为其所在虚拟网络中所有子网内的虚拟机提供堡垒机服务。若用户有多个虚拟网络,则需要在每个虚拟网络中都部署一个Bastion主机,从而实现虚拟机的安全性。那么是否有一种方式可以通过一个虚拟网络中的Bastion主机来对多个虚拟网络中的虚拟机进行保护呢?答案肯定是有的。
可以将Azure Bastion和VNet Peering结合使用。配置好VNet Peering以后,则无需在每个对等互联的VNet中均部署Bastion主机。也就是说,如果在一个虚拟网络中部署Bastion主机,则它可用于连接到再对等互联VNet中部署的虚拟机,对等互联VNet中无需部署其他的Bastion主机。
可以在如下类型的对等互联中使用Azure Bastion解决方案:
虚拟网络对等互联:同一Azure区域中的虚拟网络之间进行对等互联
全局虚拟网络对等互联:跨Azure区域间的虚拟网络进行对等互联
可以将堡垒部署整合到单个虚拟网络,并仍可访问部署在对等互连虚拟网络中的VM,同时集中整个部署,这不仅对于实施Hub Spoke网络架构来说有着很大的便利性,还可以减少用户部署Bastion服务的数量,从而节约成本。更过信息大家可以参考如下连接:
https://docs.microsoft.com/en-us/azure/bastion/vnet-peering?WT.mc_id=AZ-MVP-5002232
资源准备
说了这么多,接下来就一起看下如何使用虚拟网络对等互联增强Bastion服务。本地实验将继续上次的实验环境,在上次的实验环境中已经在Japan East区域部署好了虚拟机和Bastion,具体如下图所示:
接下来会在East Asia区域部署虚拟网络和虚拟机:
配置虚拟网络对等互联
配置Japan East区域的虚拟网络和East Asia区域的虚拟网络对等互联:
虚拟网络对等的配置方式在此就不和大家介绍了,感兴趣的同学可以参考如下连接:
测试VM连接
打开部署在East Asia区域的虚拟机,点击“connect”—“Bastion”:
可以看到当前使用的是之前部署在Japan East区域的Bastion主机,输入用户名密码,点击连接:
连接成功,如下图所示:
到这里关于如何使用VNet Peering增强Azure Bastion的实用性的方法也就给大家介绍完了。通过上述方法可以使Bastion服务更有用且更便宜。