У меня есть топология хаба и спиц, состоящая из центральной vnet, а затем проверенных VNET. Внутри каждой одноранговой виртуальной сети находится виртуальная машина.
Я хочу разрешить RDP-доступ к виртуальной машине (которая присоединена к AAD) через аутентификацию AAD. Необходимо ограничить авторизацию AAD через CAP.
Оказывается, это может быть сложно.
Опция 1: Я надеялся разместить балансировщик нагрузки Azure внутри концентратора и назначить ему один IP-адрес. В моем AAD я бы добавил CAP для этого IP. Это позволило бы мне подключиться по протоколу RDP (через переходник в концентраторе) на каждую распределенную виртуальную машину.
Увы, балансировщик нагрузки Azure не поддерживает одноранговые виртуальные сети.
Вариант 2: Я рассматривал возможность использования Bastion для доступа к виртуальным сетям ... но Bastion не поддерживает AAD или пиринговые сети. Так что бесполезно.
Вариант 3: Я мог бы прикрепить общедоступный IP-адрес к каждой виртуальной машине (и разрешить только исходящий трафик через NSG) со всеми общедоступными IP-адресами с использованием префикса для упрощения CAP. Хотя эта довольно запутанная статья https://docs.microsoft.com/en-us/azure/azure-resource-manager/management/azure-subscription-service-limits?toc=/azure/virtual-network/toc.json#networking-limits Похоже, это означает, что количество общедоступных IP-адресов ограничено для каждой подписки (до 10 для базовой!?!) Здесь я бы использовал префиксы IP, чтобы упростить CAP до известного диапазона.
Вариант 4: Я мог бы представить виртуальное устройство. Это звучит ужасно и требует управления и т. Д.
Есть ли другие варианты, которые я пропустил (почти наверняка у меня есть)?