Distribuire Bastion come solo privato
Questo articolo illustra come distribuire Bastion come distribuzione solo privata. Le distribuzioni di Bastion solo private bloccano i carichi di lavoro end-to-end creando una distribuzione instradabile non Internet di Bastion che consente solo l'accesso con indirizzi IP privati. Le distribuzioni di Bastion solo private non consentono connessioni all'host bastion tramite indirizzo IP pubblico. Al contrario, una normale distribuzione di Azure Bastion consente agli utenti di connettersi all'host bastion usando un indirizzo IP pubblico.
Il diagramma seguente illustra l'architettura di distribuzione di Bastion solo privata. Un utente connesso ad Azure tramite il peering privato di ExpressRoute può connettersi in modo sicuro a Bastion usando l'indirizzo IP privato dell'host bastion. Bastion può quindi stabilire la connessione tramite indirizzo IP privato a una macchina virtuale all'interno della stessa rete virtuale dell'host bastion. In una distribuzione di Bastion solo privata, Bastion non consente l'accesso in uscita all'esterno della rete virtuale.
Elementi da considerare:
Bastion solo privato è configurato al momento della distribuzione e richiede il livello SKU Premium.
Non è possibile passare da una distribuzione di Bastion normale a una distribuzione solo privata.
Per distribuire Bastion solo privato in una rete virtuale che ha già una distribuzione di Bastion, rimuovere prima di tutto Bastion dalla rete virtuale e quindi distribuirlo nuovamente nella rete virtuale come solo privato. Non è necessario eliminare e ricreare AzureBastionSubnet.
Se si vuole creare una connettività privata end-to-end, connettersi usando il client nativo anziché connettersi tramite il portale di Azure.
Se il computer client è locale e non Azure, sarà necessario distribuire un'istanza di ExpressRoute o VPN e abilitare la connessione basata su IP nella risorsa di Bastion
Prerequisiti
I passaggi descritti in questo articolo presuppongono che siano soddisfatti i prerequisiti seguenti:
- Una sottoscrizione di Azure. Se non se ne dispone, creare un account gratuito prima di iniziare.
- Una rete virtuale che non include la distribuzione di Azure Bastion.
Valori di esempio
Quando si crea questa configurazione, è possibile usare i valori di esempio seguenti oppure è possibile sostituirli con altri personalizzati.
Valori di base di rete virtuale e macchina virtuale
Nome | Valore |
---|---|
Gruppo di risorse | TestRG1 |
Area | Stati Uniti orientali |
Rete virtuale | Rete virtuale 1 |
Spazio indirizzi | 10.1.0.0/16 |
Nome subnet 1: FrontEnd | 10.1.0.0/24 |
Nome subnet 2: AzureBastionSubnet | 10.1.1.0/26 |
Valori di Bastion
Nome | valore |
---|---|
Nome | VNet1-bastion |
Livello/SKU | Premium |
Numero di istanze (ridimensionamento host) | 2 o più |
Assegnazione | Statico |
Distribuire Bastion solo privato
Questa sezione illustra come distribuire Bastion come solo privato nella rete virtuale.
Importante
La tariffa oraria inizia dal momento in cui viene distribuito Bastion, a prescindere dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU. Se si distribuisce Bastion nel corso di un'esercitazione o di un test, è consigliabile eliminare questa risorsa dopo averla usata.
Accedere al portale di Azure e passare alla rete virtuale. Se non è già disponibile, è possibile creare una rete virtuale. Se si crea una rete virtuale per questo esercizio, è possibile creare AzureBastionSubnet (dal passaggio successivo) contemporaneamente alla creazione della rete virtuale.
Creare la subnet in cui verranno distribuite le risorse di Bastion. Nel riquadro sinistro selezionare Subnet -> +Subnet per aggiungere AzureBastionSubnet.
- La subnet deve essere /26 o superiore, ad esempio /26, /25 o /24, per supportare le funzionalità disponibili con il livello SKU Premium.
- La subnet deve essere denominata AzureBastionSubnet.
Selezionare Salva nella parte inferiore del riquadro per salvare i valori.
Nella pagina della rete virtuale selezionare quindi Bastion nel riquadro sinistro.
Nella pagina Bastion espandere Opzioni di distribuzione dedicate, se viene visualizzata tale sezione. Selezionare il pulsante Configura manualmente. Se non si seleziona questo pulsante, non è possibile visualizzare le impostazioni necessarie per distribuire Bastion come solo privato.
Nel riquadro Crea bastion configurare le impostazioni per l'host bastion. I valori di Dettagli progetto vengono popolati dai valori della rete virtuale.
In Dettagli istanza configurare questi valori:
Nome: nome da usare per la risorsa di Bastion.
Area: area pubblica di Azure in cui verrà creata la risorsa. Scegliere l'area in cui risiede la rete virtuale.
Livello: è necessario selezionare Premium per una distribuzione solo privata.
Numero di istanze: impostazione per il ridimensionamento dell'host. Configurare il ridimensionamento dell'host in incrementi di unità di scala. Usare il dispositivo di scorrimento o immettere un numero per configurare il numero di istanze desiderato. Per altre informazioni, vedere Istanze e ridimensionamento dell'host e Prezzi di Azure Bastion.
Per le impostazioni per Configura reti virtuali, selezionare la rete virtuale dall'elenco a discesa. Se la rete virtuale non è presente nell'elenco a discesa, assicurarsi di aver selezionato il valore Area corretto nel passaggio precedente.
Il valore AzureBastionSubnet verrà popolato automaticamente se è già stato creato nei passaggi precedenti.
La sezione Configura indirizzo IP è la posizione in cui si specifica che si tratta di una distribuzione solo privata. È necessario selezionare Indirizzo IP privato dalle opzioni.
Quando si seleziona Indirizzo IP privato, le impostazioni di Indirizzo IP pubblico vengono rimosse automaticamente dalla schermata di configurazione.
Se si prevede di usare ExpressRoute o VPN con Bastion solo privato, passare alla scheda Avanzate. Selezionare Connessione basata su IP.
Dopo aver finito di specificare le impostazioni, selezionare Rivedi e crea. Questo passaggio convalida i valori.
Dopo aver superato la convalida dei valori, è possibile distribuire Bastion. Seleziona Crea.
Un messaggio indica che la distribuzione è in corso. Lo stato viene visualizzato in questa pagina durante la creazione delle risorse. La creazione e la distribuzione della risorsa di Bastion richiedono circa 10 minuti.
Passaggi successivi
Per altre informazioni sulle impostazioni di configurazione, vedere Impostazioni di configurazione di Azure Bastion e Domande frequenti su Azure Bastion.