Implementación de Bastion mediante la CLI de Azure
En este artículo obtendrá información sobre cómo implementar Azure Bastion mediante la CLI. Azure Bastion es un servicio PaaS que se mantiene automáticamente, no se trata de un host bastión que se instala en las VM y requiere mantenimiento aparte. La implementación de Azure Bastion se realiza por red virtual, no por suscripción o cuenta, ni por máquina virtual. Para más información sobre Azure Bastion, consulte ¿Qué es Azure Bastion?
Una vez que implemente Bastion en la red virtual, puede conectarse a las VM a través de una dirección IP privada. Esta experiencia simple de RDP/SSH está disponible para todas las VM en la misma red virtual. Si la máquina virtual dispone de una IP pública que ya no necesita, puede quitarla.
En este artículo, creará una red virtual (si aún no tiene una), implementará Azure Bastion mediante la CLI y se conectará a una máquina virtual. También puede implementar Bastion mediante los métodos siguientes:
Nota
Se admite el uso de Azure Bastion con zonas DNS privadas de Azure. Sin embargo, hay algunas restricciones. Para más información, consulte las preguntas frecuentes sobre Azure Bastion.
Antes de comenzar
Suscripción de Azure
Compruebe que tiene una suscripción a Azure. Si todavía no la tiene, puede activar sus ventajas como suscriptor de MSDN o registrarse para obtener una cuenta gratuita.
Azure CLI
En este artículo se usa la CLI de Azure. Para ejecutar comandos, puede usar Azure Cloud Shell. Azure Cloud Shell es un shell interactivo gratuito que puede usar para ejecutar los pasos de este artículo. Tiene las herramientas comunes de Azure preinstaladas y configuradas para usarlas en la cuenta.
Para abrir Cloud Shell, seleccione Pruébelo en la esquina superior derecha de un bloque de código. También puede iniciar Cloud Shell en otra pestaña del explorador; para ello, vaya a https://shell.azure.com y cambie la lista desplegable de la esquina izquierda para que refleje Bash o PowerShell. Seleccione Copiar para copiar los bloques de código, péguelos en Cloud Shell y, luego, presione Entrar para ejecutarlos.
Implementación de Bastion
Esta sección le permite implementar Azure Bastion mediante la CLI de Azure.
Importante
Los precios por hora comienzan desde el momento en que se implementa Bastion, independientemente del uso de datos salientes. Para más información, consulte Precios y SKU. Si va a implementar Bastion como parte de un tutorial o prueba, se recomienda eliminar este recurso una vez que haya terminado de usarlo.
Si aún no tiene una red virtual, cree un grupo de recursos y una red virtual mediante az group create y az network vnet create.
az group create --name TestRG1 --location eastus
az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
Use az network vnet subnet create para crear la subred en la que se implementará Bastion. La subred que creará debe tener el nombre AzureBastionSubnet. Esta subred se reserva exclusivamente para los recursos de Azure Bastion. Si no tiene una subred con el valor de nomenclatura AzureBastionSubnet, Bastion no se implementará.
- El tamaño más pequeño de la subred de AzureBastionSubnet que puede crear es /26. Se recomienda crear un tamaño /26 o mayor para adaptarse al escalado de host.
- Para más información sobre el escalado, consulte Valores de configuración: Escalado de host.
- Para más información sobre el escalado, consulte Valores de configuración: AzureBastionSubnet.
- Cree AzureBastionSubnet sin ninguna delegación ni tabla de rutas.
- Cuando use grupos de seguridad de red en AzureBastionSubnet, consulte el artículo Trabajo con grupos de seguridad de red.
az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
- El tamaño más pequeño de la subred de AzureBastionSubnet que puede crear es /26. Se recomienda crear un tamaño /26 o mayor para adaptarse al escalado de host.
Cree una dirección IP pública para Azure Bastion. La IP pública es la dirección IP pública del recurso de Bastion en la que se accederá a RDP/SSH (a través del puerto 443). La dirección debe estar en la misma región que el recurso de Bastion que está creando. Por este motivo, preste especial atención al valor de
--location
que especifique.az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
Use az network bastion create para crear un nuevo recurso de Azure Bastion para la red virtual. El recurso de Bastion tarda aproximadamente 10 minutos en crearse e implementarse.
En el ejemplo siguiente se implementa Bastion mediante el nivel de SKU Básico. Para realizar la implementación también se pueden usar otras SKU. La SKU determina las características que admite la implementación de Bastion. Si no especifica una SKU en el comando, la SKU tendrá como valor predeterminado Estándar. Para obtener más información, consulte las SKU de Bastion.
az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
Conexión a una máquina virtual
Si aún no tiene máquinas virtuales en la red virtual, puede crear una máquina virtual mediante Inicio rápido: Creación de una máquina virtual Windows o Inicio rápido: Creación de una máquina virtual Linux
Puede usar cualquiera de los siguientes artículos, o bien los pasos de la sección siguiente, para ayudarle a conectarse a una máquina virtual. Algunos tipos de conexión requieren la versión Estándar de la SKU de Bastión, o cualquier versión superior.
- Conexión a una máquina virtual Windows
- Conexión a una máquina virtual Linux
- Conexión a un conjunto de escalado
- Conexión a través de la dirección IP
- Conexión desde un cliente nativo
Conectarse a través del portal
Los pasos siguientes le guiarán por un tipo de conexión a través de Azure Portal.
En Azure Portal, vaya a la máquina virtual a la que quiera conectarse.
En la parte superior del panel, seleccione Conectar>Bastion para ir al panel Bastion. También puede ir al panel Bastion con el menú izquierdo.
Las opciones disponibles en el panel Bastion dependen de la SKU de Bastion. Si usa la SKU básica, se conecta a un equipo Windows mediante RDP y el puerto 3389. También con la SKU básica, se conecta a un equipo Linux mediante SSH y el puerto 22. No tiene opciones para cambiar el número de puerto o el protocolo. Sin embargo, puede cambiar el idioma del teclado para RDP si expande Configuración de conexión.
Si usa la SKU estándar, tiene más opciones de protocolo de conexión y puerto disponibles. Expanda Configuración de conexión para ver las opciones. Normalmente, a menos que haya configurado opciones diferentes para su máquina virtual, se conecta a un equipo Windows mediante RDP y el puerto 3389. Se conecta a un equipo Linux mediante SSH y el puerto 22.
En Tipo de autenticación, seleccione un valor de la lista desplegable. El protocolo determina los tipos de autenticación disponibles. Complete los valores de autenticación necesarios.
Para abrir la sesión de máquina virtual en una nueva pestaña del explorador, deje la opción Abrir en una nueva pestaña del explorador seleccionada.
Seleccione Conectar para conectarse a la máquina virtual.
Confirme que la conexión a la máquina virtual se abre directamente en Azure Portal (a través de HTML5) mediante el puerto 443 y el servicio Bastion.
Nota:
Al conectarse, el escritorio de la máquina virtual tendrá un aspecto diferente al de la captura de pantalla de ejemplo.
Es posible que el uso de teclas de método abreviado de teclado mientras está conectado a una máquina virtual no tenga el mismo comportamiento que las teclas de método abreviado en un equipo local. Por ejemplo, cuando se conecta a una máquina virtual Windows desde un cliente Windows, Ctrl + Alt + Fin es el método abreviado de teclado para Ctrl + Alt + Supr en un equipo local. Para realizar esta operación desde un equipo Mac mientras está conectado a una máquina virtual Windows, el método abreviado de teclado es fn+control+opción+eliminar.
Para habilitar la salida de audio
Puede habilitar la salida de audio remoto de la máquina virtual. Algunas máquinas virtuales habilitan automáticamente esta configuración, mientras que en otras es necesario que el usuario habilite la configuración de audio manualmente. La configuración se cambia en la propia máquina virtual. La implementación de Bastion no necesita ninguna configuración especial para habilitar la salida de audio remoto.
Nota:
La salida de audio consume ancho de banda de la conexión a Internet.
Para habilitar la salida de audio remoto en una máquina virtual de Windows:
- Después de conectarse a la máquina virtual, aparece un botón de audio en la esquina inferior derecha de la barra de herramientas. Haga clic con el botón derecho en el botón de audio y seleccione Sonidos.
- Un mensaje emergente le pregunta si quiere habilitar el servicio de audio de Windows. Seleccione Sí. Puede configurar más opciones de audio en la sección Preferencias de sonido.
- Para comprobar la salida de sonido, mantenga el puntero del mouse sobre el botón de audio de la barra de herramientas.
Eliminación de una dirección IP pública de máquina virtual
Azure Bastion no usa la dirección IP pública para conectarse a la VM de cliente. Si no necesita la dirección IP pública para su VM, puede desasociar la dirección IP pública. Consulte Desasociación de una dirección IP pública de una máquina virtual de Azure.
Pasos siguientes
- Para usar grupos de seguridad de red con la subred de Azure Bastion, consulte Trabajo con grupos de seguridad de red.
- Para comprender el emparejamiento de redes virtuales, consulte Emparejamiento de red virtual y Azure Bastion.