使用VNet Peering增強Azure Bastion的實用性

使用VNet Peering增強Azure Bastion的實用性

Azure Bastion是微軟為Azure虛擬機用戶提供的一項PaaS版本的堡壘機服務(wù)。使用它可以通過安全的方式通過管理端口（RDP/SSH）訪問Azure虛擬機，而無需為虛擬機配置公網(wǎng)IP。

Azure Bastion部署在虛擬網(wǎng)絡(luò)中，也就是說它可以為其所在虛擬網(wǎng)絡(luò)中所有子網(wǎng)內(nèi)的虛擬機提供堡壘機服務(wù)。若用戶有多個虛擬網(wǎng)絡(luò)，則需要在每個虛擬網(wǎng)絡(luò)中都部署一個Bastion主機，從而實現(xiàn)虛擬機的安全性。那么是否有一種方式可以通過一個虛擬網(wǎng)絡(luò)中的Bastion主機來對多個虛擬網(wǎng)絡(luò)中的虛擬機進行保護呢？答案肯定是有的。

可以將Azure Bastion和VNet Peering結(jié)合使用。配置好VNet Peering以后，則無需在每個對等互聯(lián)的VNet中均部署B(yǎng)astion主機。也就是說，如果在一個虛擬網(wǎng)絡(luò)中部署B(yǎng)astion主機，則它可用于連接到再對等互聯(lián)VNet中部署的虛擬機，對等互聯(lián)VNet中無需部署其他的Bastion主機。

可以在如下類型的對等互聯(lián)中使用Azure Bastion解決方案：

• 虛擬網(wǎng)絡(luò)對等互聯(lián)：同一Azure區(qū)域中的虛擬網(wǎng)絡(luò)之間進行對等互聯(lián)

• 全局虛擬網(wǎng)絡(luò)對等互聯(lián)：跨Azure區(qū)域間的虛擬網(wǎng)絡(luò)進行對等互聯(lián)

可以將堡壘部署整合到單個虛擬網(wǎng)絡(luò)，并仍可訪問部署在對等互連虛擬網(wǎng)絡(luò)中的VM，同時集中整個部署，這不僅對于實施Hub Spoke網(wǎng)絡(luò)架構(gòu)來說有著很大的便利性，還可以減少用戶部署B(yǎng)astion服務(wù)的數(shù)量，從而節(jié)約成本。更過信息大家可以參考如下連接：

https://docs.microsoft.com/en-us/azure/bastion/vnet-peering?WT.mc_id=AZ-MVP-5002232

資源準備

說了這么多，接下來就一起看下如何使用虛擬網(wǎng)絡(luò)對等互聯(lián)增強Bastion服務(wù)。本地實驗將繼續(xù)上次的實驗環(huán)境，在上次的實驗環(huán)境中已經(jīng)在Japan East區(qū)域部署好了虛擬機和Bastion，具體如下圖所示：

接下來會在East Asia區(qū)域部署虛擬網(wǎng)絡(luò)和虛擬機：

配置虛擬網(wǎng)絡(luò)對等互聯(lián)

配置Japan East區(qū)域的虛擬網(wǎng)絡(luò)和East Asia區(qū)域的虛擬網(wǎng)絡(luò)對等互聯(lián)：

虛擬網(wǎng)絡(luò)對等的配置方式在此就不和大家介紹了，感興趣的同學(xué)可以參考如下連接：

https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-manage-peering%20?WT.mc_id=AZ-MVP-5002232

測試VM連接

打開部署在East Asia區(qū)域的虛擬機，點擊“connect”—“Bastion”：

可以看到當前使用的是之前部署在Japan East區(qū)域的Bastion主機，輸入用戶名密碼，點擊連接：

連接成功，如下圖所示：

到這里關(guān)于如何使用VNet Peering增強Azure Bastion的實用性的方法也就給大家介紹完了。通過上述方法可以使Bastion服務(wù)更有用且更便宜。