我有一个由中央虚拟网络和对等虚拟网络组成的中心辐射型拓扑。每个对等虚拟网络内都有一个虚拟机。
我想允许通过 AAD 身份验证对虚拟机(已加入 AAD)进行 RDP 访问。AAD 身份验证需要通过 CAP 进行限制。
事实证明,这可能很棘手。
选项1: 我曾希望在集线器内放置一个 Azure 负载均衡器并为其分配一个 IP 地址。在我的 AAD 中,我将为该 IP 添加一个 CAP。这样我就可以通过 RDP(通过集线器中的跳转框)连接到每个分支虚拟机。
可惜的是,Azure 负载均衡器不支持对等 VNET。
选项 2: 我考虑过使用 Bastion 来访问 VNets... 但 Bastion 不支持 AAD 或对等网络。所以这没用。
选项 3: 我可以在每个虚拟机上设置一个公共 IP(并且只允许通过 NSG 进行出站流量),所有公共 IP 都使用前缀来简化 CAP。虽然这篇相当令人困惑的文章https://docs.microsoft.com/en-us/azure/azure-resource-manager/management/azure-subscription-service-limits?toc=/azure/virtual-network/toc.json#networking-limits似乎意味着每个订阅的公共 IP 数量受到限制(基本限制为 10 个!?!)在这里我将使用 IP 前缀将 CAP 简化为已知范围。
选项 4: 我可以引入虚拟设备。这听起来很可怕,而且需要管理等
我还错过了其他选择吗(我几乎肯定错过了)?