Azure Bastion 虛拟網絡 Peering實戰測試

在之前的文檔裡，我曾經針對Azure Bastion做過一些測試，當時測試下來證明Azure Bastion還不支援虛拟網絡Peering模式，也就是說每個虛拟網絡都需要有一個獨立的Bastion，這個其實是很蛋疼的，一下讓這個服務可用性降低了很多，具體的可以通路下邊的連結看下當時的部落格

https://blog.51cto.com/mxyit/2463638

如果你還不知道Azure Bastion是什麼，簡單來說就是雲上原生的堡壘機，屬于PaaS模式，不需要靠使用者來維護，部署簡單易用，想詳細了解的可以通過以下連結通路官方文檔

https://docs.microsoft.com/zh-cn/azure/bastion/bastion-overview?WT.mc_id=AZ-MVP-5001235

目前在Azure Global, Bastion已經可以支援跨虛拟網絡Peering了，雖然還是preview的狀态，下邊就來看一下具體如何實作

首先介紹下實驗環境，有兩個虛拟網絡, Bastion 虛拟網絡部署了Azure Bastion，這個虛拟網絡同時和Peer做了虛拟網絡Peering

現在我們的目的就是在Peer虛拟網絡通過部署在Bastion虛拟網絡的Azure Bastion來進行虛拟機的安全通路

Bastion 10.84.0.0/16 East Asia

App 10.84.0.0/24

AzureBastionSubnet 10.84.1.0/24（最小27位）

Peer10.22.0.0/16 Southeast Asia

App 10.22.0.0/24

簡單看下Azure Bastion的部署，過程很快，不詳細講，具體細節可以看最上邊發的部落格連結

首先在Bastion虛拟網絡内部進行測試，嘗試使用Azure Bastion通路在本虛拟網絡的VM，這個當然是可以正常通路的

接下來在Peer虛拟網絡進行測試，可以看到現在已經能出現Bastion的界面了，以前是根本看不到這個界面的

如此一來，以後再Azure上進行網絡規劃時就可以省去很多麻煩，完全可以用一個Azure Bastion cover掉所有的secure access需求，同時，這樣也更利于像是hub-spoke這種架構設計，完全可以在hub虛拟網絡設定一個Azure Bastion，所有spoke虛拟網絡都通過這個Bastion通路

Azure 堡壘使用以下類型的對等互連：

虛拟網絡對等互連： 将虛拟網絡連接配接到同一 Azure 區域中。

全局虛拟網絡對等互連： 跨 Azure 區域連接配接虛拟網絡。

值得注意的是，目前這種通路模式還不支援跨tenant來使用，詳細可以看下下方的

https://docs.microsoft.com/zh-cn/azure/bastion/vnet-peering?WT.mc_id=AZ-MVP-5001235