Freigeben über


Peering virtueller Netzwerke und Azure Bastion

Azure Bastion kann zusammen mit dem Peering virtueller Netzwerke verwendet werden. Wenn das Peering virtueller Netzwerke konfiguriert ist, müssen Sie Azure Bastion nicht in jedem VNet im Peering bereitstellen. Wenn Sie also in einem virtuellen Netzwerk einen Azure Bastion-Host konfiguriert haben, kann dieser zum Herstellen einer Verbindung mit VMs in einem virtuellen Netzwerk mit Peering verwendet werden, ohne dass ein zusätzlicher Bastionhost bereitgestellt werden muss. Weitere Informationen zum Peering virtueller Netzwerke finden Sie unter Informationen zum Peering virtueller Netzwerke.

Azure Bastion funktioniert mit den folgenden Peeringtypen:

  • Peering virtueller Netzwerke: Herstellen von Verbindungen zwischen virtuellen Netzwerken in derselben Azure-Region.
  • Globales Peering virtueller Netzwerke: Herstellen von Verbindungen zwischen virtuellen Netzwerken über Azure-Regionen hinweg.

Hinweis

Die Bereitstellung von Azure Bastion innerhalb eines Virtual WAN-Hubs wird jedoch nicht unterstützt. Sie können Azure Bastion in einem Spoke-VNet bereitstellen und das IP-basierte Verbindungsfeature nutzen, um eine Verbindung mit virtuellen Computern herzustellen, die über den Virtual WAN-Hub in einem anderen VNet bereitgestellt werden.

Aufbau

Wenn das Peering virtueller Netzwerke konfiguriert ist, kann Azure Bastion in Hub-and-Spoke- oder Full-Mesh-Topologien bereitgestellt werden. Diese Bereitstellung von Azure Bastion erfolgt pro virtuellem Netzwerk und nicht pro Abonnement/Konto oder virtuellem Computer.

Nachdem Sie den Azure Bastion-Dienst in Ihrem virtuellen Netzwerk bereitgestellt haben, ist die RDP-/SSH-Umgebung für alle Ihre VMs im selben virtuellen Netzwerk und in VNets mit Peering verfügbar. So können Sie Bastion zentral in nur einem virtuellen Netzwerk bereitstellen und trotzdem VMs erreichen, die in einem Peering-VNet bereitgestellt wurden.

Diagramm von Design und Architektur

In diesem Diagramm ist die Architektur einer Azure Bastion-Bereitstellung in einem Hub-and-Spoke-Modell dargestellt. Im Diagramm sehen Sie die folgende Konfiguration:

  • Der Bastionhost wird im zentralen virtuellen Hubnetzwerk bereitgestellt.
  • Eine zentrale Netzwerksicherheitsgruppe (NSG) wird bereitgestellt.
  • Für die Azure-VM ist keine öffentliche IP-Adresse erforderlich.

Übersicht über die Bereitstellung

  1. Stellen Sie sicher, dass Sie virtuelle Netzwerke und VMs in den virtuellen Netzwerken konfiguriert haben.
  2. Konfigurieren Peerings virtueller Netzwerke
  3. Konfigurieren Sie Bastion in einem der VNets.
  4. Überprüfen Sie die Berechtigungen.
  5. Stellen Sie eine Verbindung mit einer VM über Azure Bastion her. Um eine Verbindung über Azure Bastion herzustellen, müssen Sie über die richten Berechtigungen für das Abonnement verfügen, bei dem Sie angemeldet sind.

So überprüfen Sie die Berechtigungen

Überprüfen Sie bei der Arbeit mit dieser Architektur die folgenden Berechtigungen:

  • Stellen Sie sicher, dass Sie sowohl für die Ziel-VM als auch für das virtuelle Netzwerk mit Peering über Lesezugriff verfügen.
  • Überprüfen Sie Ihre Berechtigungen unter Ihr Abonnement | IAM, und überprüfen Sie, ob Sie Lesezugriff auf die folgenden Ressourcen haben:
    • Rolle „Leser“ für den virtuellen Computer
    • Rolle „Leser“ für den Netzwerkadapter mit privater IP-Adresse des virtuellen Computers
    • Rolle „Leser“ für die Azure Bastion-Ressource
    • Rolle „Leser“ in den virtuellen Netzwerken der virtuellen Zielcomputer.

Häufig gestellte Fragen zum VNET-Peering mit Bastion

Häufig gestellte Fragen finden Sie unter Häufig gestellte Fragen zum Peering virtueller Netzwerke mit Bastion.

Nächste Schritte

Lesen Sie die häufig gestellten Fragen zu Bastion.