Tutorial: Implementar Azure Bastion mediante la configuración especificada

  • Artículo

Este tutorial le ayuda a implementar Azure Bastion desde Azure Portal mediante su propia configuración manual y una SKU (nivel de producto) que especifique. La SKU determina las características y conexiones que están disponibles para la implementación. Para obtener más información sobre las SKU, vea Configuración: SKU.

En Azure Portal, al utilizar la opción Configuración manual para implementar Bastion, puede especificar valores de configuración como recuentos de instancias y SKU en el momento de la implementación. Después de implementar Bastion, puede usar SSH o RDP para conectarse a máquinas virtuales (VM) en la red virtual a través de Bastion mediante las direcciones IP privadas de las máquinas virtuales. Cuando se conecta a una máquina virtual, no necesita una dirección IP pública, un software cliente, un agente, o una configuración especial.

El siguiente diagrama muestra la arquitectura de Bastion.

Diagrama que muestra la arquitectura de Azure Bastion.

En este tutorial, implementará Bastion mediante la SKU Estándar. Ajuste del escalado de host (recuento de instancias), que admite la SKU Estándar. Si usa una SKU inferior para la implementación, no puede ajustar el escalado del host. También puede seleccionar una zona de disponibilidad, en función de la región a la que quiera implementar.

Una vez completada la implementación, se conecta a la máquina virtual a través de una dirección IP privada. Si la máquina virtual dispone de una IP pública que ya no necesita, puede quitarla.

En este tutorial, aprenderá a:

  • Implementar Bastion en la red virtual.
  • Conexión a una máquina virtual.
  • Eliminar la dirección IP pública de una máquina virtual.

Requisitos previos

Para completar este tutorial, necesita estos recursos:

  • Suscripción a Azure. Si no tiene una, cree una cuenta gratuita antes de empezar.

  • Una red virtual donde implementará Bastion.

  • Una máquina virtual en la red virtual. Esta máquina virtual no forma parte de la configuración de Bastion y no se convierte en un host bastión. Se conectará a esta máquina virtual más adelante en este tutorial a través de Bastion. Si no tiene una VM, cree una mediante Inicio rápido: Crear una VM de Windows o Inicio rápido: Crear una VM de Linux.

  • Roles de máquina virtual obligatorios:

    • Rol de lector en la máquina virtual
    • Rol Lector en el adaptador de red (NIC) con la dirección IP privada de la máquina virtual

  • Puertos de entrada necesarios:

    • Para máquinas virtuales Windows: RDP (3389)
    • Para máquinas virtuales Linux: SSH (22)

Nota:

Se admite el uso de Azure Bastion con zonas DNS privadas de Azure. Sin embargo, hay algunas restricciones. Para más información, consulte las preguntas frecuentes sobre Azure Bastion.

Valores de ejemplo

Puede usar los siguientes valores de ejemplo al crear esta configuración, o puede sustituirlos por los propios.

Valores básicos de red virtual y máquina virtual

NOMBRE Valor
Máquina virtual TestVM
Grupo de recursos TestRG1
Región Este de EE. UU.
Red virtual VNet1
Espacio de direcciones 10.1.0.0/16
Subredes FrontEnd: 10.1.0.0/24

Valores de Bastion

NOMBRE Valor
Nombre VNet1-bastion
+ Nombre de subred AzureBastionSubnet
AzureBastionSubnet addresses Una subred dentro del espacio de direcciones de la red virtual con una máscara de subred de /26 o superior; por ejemplo, 10.1.1.0/26
Zona de disponibilidad Seleccione los valores en la lista desplegable, si lo desea.
Nivel o SKU Estándar
Recuento de instancias (escalado de host) 3 o superior
Dirección IP pública Crear nuevo
Nombre de la dirección IP pública VNet1-ip
SKU de la dirección IP pública Estándar
Cesión Estática

Implementación de Bastion

Esta sección encontrará ayuda para implementar Bastion en la red virtual. Después de implementar Bastion, puede conectarse de forma segura a cualquier máquina virtual de la red virtual mediante su dirección IP privada.

Importante

Los precios por hora comienzan desde el momento en que se implementa Bastion, independientemente del uso de datos salientes. Para más información, consulte Precios y SKU. Si va a implementar Bastion como parte de un tutorial o prueba, se recomienda eliminar este recurso una vez que haya terminado de usarlo.

  1. Inicie sesión en Azure Portal.

  2. Vaya a la red virtual.

  3. En la página de la red virtual, en el panel izquierdo, seleccione Bastion.

  4. En el panel Bastion, expanda Opciones de implementación dedicadas.

  5. Seleccione Configuración manual. Esta opción le permite configurar opciones adicionales específicas (como la SKU) al implementar Bastion en la red virtual.

    Captura de pantalla que muestra las opciones de implementación dedicadas para Azure Bastion y el botón para la configuración manual.

  6. En el panel Crear una instancia de Bastion, configure las opciones del host bastión. Los detalles del proyecto se rellenan a partir de los valores de la red virtual. En Detalles de la instancia, configure estos valores:

    • Nombre: el nombre que desea usar para el recurso Bastion.

    • Región: la región pública de Azure en la que se creará el recurso. Elija la región donde reside la red virtual.

    • Zona de disponibilidad: seleccione las zonas en la lista desplegable, si lo desea. Solo se admiten determinadas regiones. Para más información, consulte el artículo ¿Qué son las zonas de disponibilidad?

    • Nivel: la SKU. Para este tutorial, seleccione Estándar. Para obtener información sobre las características disponibles para cada SKU, consulte Valores de configuración: SKU.

    • Recuento de instancias: la configuración para el escalado de host, que está disponible para la SKU Estándar. Configure el escalado de host en incrementos de unidades de escalado. Use el control deslizante o escriba un número para configurar el recuento de instancias que desee. Para obtener más información, consulte Instancias y escalado de hosts y precios de Azure Bastion.

    Captura de pantalla de los detalles de la instancia de Azure Bastion.

  7. Configure los valores de las redes virtuales. Seleccione la red virtual en la lista desplegable. Si la red virtual no está en la lista desplegable, asegúrese de seleccionar el valor correcto Región en el paso anterior.

  8. Para configurar AzureBastionSubnet, seleccione Administrar configuración de subred.

    Captura de pantalla de la sección para configurar redes virtuales.

  9. En el panel Subredes, seleccione +Subred.

  10. En el panel Agregar subred, cree la subred AzureBastionSubnet con los valores siguientes. Deje todos los demás valores predeterminados.

    • La subred debe llamarse AzureBastionSubnet.
    • La subred debe ser /26 o superior (por ejemplo, /26, /25 o /24) para admitir las características disponibles con la SKU Estándar.

    Seleccione Guardar al final del panel para guardar los valores.

  11. En la parte superior del panel Subredes, seleccione Crear una instancia de Bastion para volver al panel de configuración de Bastion.

    Captura de pantalla del panel en el que se enumeran las subredes de Azure Bastion.

  12. La sección Dirección IP pública es donde configura la dirección IP pública del recurso de host bastión donde se accederá a RDP/SSH (a través del puerto 443). La dirección IP pública debe estar en la misma región que el recurso de Bastion que está creando.

    Cree una nueva dirección IP. Puede dejar la sugerencia de nomenclatura predeterminada.

  13. Cuando termine de especificar la configuración, seleccione Revisar y crear. Este paso valida los valores.

  14. Después de pasar la validación de los valores, puede implementar Bastion. Seleccione Crear.

    Un mensaje indica que la implementación está en proceso. El estado aparece en esta página a medida que se crean los recursos. El recurso de Bastion tarda aproximadamente diez minutos en crearse e implementarse.

Conexión a una máquina virtual

Puede usar cualquiera de los artículos detallados siguientes para conectarse a una máquina virtual. Algunos tipos de conexión requieren la SKU estándar de Bastion.

También puede usar estos pasos básicos de conexión para conectarse a la máquina virtual:

  1. En Azure Portal, vaya a la máquina virtual a la que quiera conectarse.

  2. En la parte superior del panel, seleccione Conectar>Bastion para ir al panel Bastion. También puede ir al panel Bastion con el menú izquierdo.

  3. Las opciones disponibles en el panel Bastion dependen de la SKU de Bastion. Si usa la SKU básica, se conecta a un equipo Windows mediante RDP y el puerto 3389. También con la SKU básica, se conecta a un equipo Linux mediante SSH y el puerto 22. No tiene opciones para cambiar el número de puerto o el protocolo. Sin embargo, puede cambiar el idioma del teclado para RDP si expande Configuración de conexión.

    Captura de pantalla de la configuración de conexión de Azure Bastion.

    Si usa la SKU estándar, tiene más opciones de protocolo de conexión y puerto disponibles. Expanda Configuración de conexión para ver las opciones. Normalmente, a menos que haya configurado opciones diferentes para su máquina virtual, se conecta a un equipo Windows mediante RDP y el puerto 3389. Se conecta a un equipo Linux mediante SSH y el puerto 22.

    Captura de pantalla de la configuración de conexión expandida.

  4. En Tipo de autenticación, seleccione un valor de la lista desplegable. El protocolo determina los tipos de autenticación disponibles. Complete los valores de autenticación necesarios.

    Captura de pantalla que muestra el cuadro de lista desplegable para el tipo de autenticación.

  5. Para abrir la sesión de máquina virtual en una nueva pestaña del explorador, deje la opción Abrir en una nueva pestaña del explorador seleccionada.

  6. Seleccione Conectar para conectarse a la máquina virtual.

  7. Confirme que la conexión a la máquina virtual se abre directamente en Azure Portal (a través de HTML5) mediante el puerto 443 y el servicio Bastion.

    Captura de pantalla de un equipo de escritorio con una conexión abierta a través del puerto 443.

    Nota:

    Al conectarse, el escritorio de la máquina virtual tendrá un aspecto diferente al de la captura de pantalla de ejemplo.

Es posible que el uso de teclas de método abreviado de teclado mientras está conectado a una máquina virtual no tenga el mismo comportamiento que las teclas de método abreviado en un equipo local. Por ejemplo, cuando se conecta a una máquina virtual Windows desde un cliente Windows, Ctrl + Alt + Fin es el método abreviado de teclado para Ctrl + Alt + Supr en un equipo local. Para hacerlo desde un equipo Mac mientras está conectado a una máquina virtual Windows, el método abreviado de teclado es Fn + Ctrl + Alt + Retroceso.

Habilitación de la salida de audio

Puede habilitar la salida de audio remoto de la máquina virtual. Algunas máquinas virtuales habilitan automáticamente esta configuración, mientras que en otras es necesario que el usuario habilite la configuración de audio manualmente. La configuración se cambia en la propia máquina virtual. La implementación de Bastion no necesita ninguna configuración especial para habilitar la salida de audio remoto.

Nota:

La salida de audio consume ancho de banda de la conexión a Internet.

Para habilitar la salida de audio remoto en una máquina virtual de Windows:

  1. Después de conectarse a la máquina virtual, aparece un botón de audio en la esquina inferior derecha de la barra de herramientas. Haga clic con el botón derecho en el botón de audio y seleccione Sonidos.
  2. Un mensaje emergente le pregunta si quiere habilitar el servicio de audio de Windows. Seleccione . Puede configurar más opciones de audio en la sección Preferencias de sonido.
  3. Para comprobar la salida de sonido, mantenga el puntero del mouse sobre el botón de audio de la barra de herramientas.

Eliminación de una dirección IP pública de máquina virtual

Al conectarse a una máquina virtual mediante Azure Bastion, no necesita una dirección IP pública para ella. Si no usa la dirección IP pública para nada más, puede desasociarla de la máquina virtual:

  1. Vaya a la máquina virtual y seleccione Redes. Haga clic en IP pública de NIC.

    Captura de pantalla del panel Redes de una red virtual.

  2. En el panel Dirección IP pública, la interfaz de red de la máquina virtual aparece en Asociada a. Haga clic en Desasociar en la parte superior del panel.

    Captura de pantalla de los detalles de la dirección IP pública de una máquina virtual.

  3. Seleccione para desasociar la dirección IP de la interfaz de red de máquina virtual. Una vez que la IP pública está desasociada de la interfaz de red de la máquina virtual, puede ver que ya no aparece en Asociada a.

  4. Después de desasociar la dirección IP, puede eliminar el recurso de IP pública. En la página Dirección IP pública de la máquina virtual, seleccione Eliminar.

    Captura de pantalla del botón para eliminar un recurso de dirección IP pública.

  5. Haga clic en para eliminar la dirección IP pública.

Limpieza de recursos

Cuando termine de usar esta aplicación, elimine los recursos:

  1. Escriba el nombre del grupo de recursos en el cuadro de búsqueda de la parte superior del portal. Cuando aparezca el grupo de recursos en los resultados de búsqueda, selecciónelo.
  2. Seleccione Eliminar grupo de recursos.
  3. Escriba el nombre del grupo de recursos para ESCRIBA EL NOMBRE DEL GRUPO DE RECURSOS y, a continuación, seleccione Eliminar.

Pasos siguientes

En este tutorial, implementó Bastion en una red virtual y se conectó a una máquina virtual. A continuación, eliminó la dirección IP pública de la máquina virtual. A continuación, obtenga información sobre las características adicionales de Bastion y configúrelas.

Configuración de Azure Bastion

Características y conexiones de máquinas virtuales

Configuración de la protección contra DDos de Azure para la red virtual