Azure虚拟网络为构建先进的网络体系结构提供了灵活的基础。使用各种类型的过滤组件（如Azure防火墙或您最喜欢的网络虚拟设备（NVA））来管理异构环境需要一点计划。Azure Bastion目前正在预览中，是一个完全托管的平台即服务（PaaS），它通过Azure门户直接提供对虚拟机（VM）的安全无缝远程桌面协议（RDP）和安全外壳（SSH）访问。azurebastion是直接在你的虚拟网络中配置的，支持所有通过公共IP地址连接的虚拟机。当您部署Azure防火墙或任何NVA时，您总是强制隧道所有来自您的子网的流量。应用0.0.0.0/0用户定义的路由可能会导致虚拟网络中工作负载的进出流量不对称路由。虽然不是小事，但您经常会发现自己正在为所有应用程序创建和管理一组不断增长的网络规则，包括DS-NAT、转发等。尽管这会影响到所有的应用程序，但RDP和SSH是最常见的示例。在这种情况下，来自Internet的入口流量可能直接到达虚拟网络中的虚拟机，但出口流量最终将流向NVA。由于大多数NVAs都是有状态的，它最终会丢弃这个流量，因为它最初没有接收到它。azurebastion允许在包含有状态NVAs或启用强制隧道的Azure防火墙的虚拟网络中简化RDP/SSH设置。在本博客中，我们将探讨如何使其无缝工作。有关如何在虚拟网络中部署Azure堡垒（预览版）的参考，请参阅文档"创建Azure堡垒主机（预览版）"要了解如何在虚拟网络中实现Azure防火墙，请参阅文档"使用Azure门户部署和配置Azure防火墙"在您的虚拟网络中部署了azurebastion和Azure防火墙之后，让我们看看您如何配置azurebastion以在这个场景中工作。配置Azure堡垒部署Azure防火墙或虚拟设备时，您可能会将部署Azure防火墙时创建的RouteTable关联到虚拟网络中的所有子网。您甚至可能还包括AzureBastionSubnet子网这将用户定义的路由应用到AzureBastionSubnet子网，该子网将所有Azure Bastion流量定向到Azure防火墙，从而阻止Azure Bastion所需的流量。为了避免这种情况，配置azurebastion非常简单，但是不要将RouteTable与AzureBastionSubnet子网相关联。正如您在上面所注意到的，myRouteTable与AzureBastionSubnet无关，而是与Workload SN等其他子网相关联。AzureBastionSubnet子网是安全平台管理的子网，除Azure Bastion外，其他任何Azure资源都不能在此子网中部署。所有到Azure Bastion的连接都是通过2FA的基于azureactivedirectory令牌的身份验证来实现的，所有流量都是通过HTTPS加密的Azure Bastion内部经过加固，只允许通过端口443进行通信，从而节省了将附加网络安全组（nsg）或用户定义路由应用到子网的任务。这样，RDP/SSH请求将登陆azurebastion。使用上面的示例配置，默认路由（0.0.0.0/0）不适用于AzureBastionSubnet，因为它与此子网没有关联。根据传入的RDP/SSH请求，azurebastion连接到其他子网中的虚拟机，比如Workload SN，这些子网确实有一个关联的默认路由。从虚拟机返回的流量将直接流向Azure Bastion，而不是NVA，因为返回流量将定向到虚拟网络中的特定专用IP。虚拟网络中的特定专用IP地址使其成为更具体的路由，因此，优先于到NVA的强制隧道路由，使您的RDP/SSH流量在虚拟网络中部署NVA或Azure防火墙时与Azure Bastion无缝协作。我们非常感谢并感谢客户和社区的参与和兴奋，并期待您的反馈，以进一步改进该服务，并使其尽快投入使用。