Implantar o Bastion usando o Azure PowerShell

Este artigo mostra como implantar o Azure Bastion usando o PowerShell. O Azure Bastion é um serviço de PaaS que é mantido para você. Não é um bastion host que você deve instalar em uma das suas VMs e manter. por conta própria. A implantação do Azure Bastion é feita por rede virtual, não por assinatura/conta ou máquina virtual. Para obter mais informações sobre o Azure Bastion, confira O que é o Azure Bastion?

Depois de implantar o Bastion em sua rede virtual, você poderá se conectar às VMs por meio do endereço IP privado. Esta experiência de RDP/SSH contínua está disponível para todas as VMs na mesma rede virtual. Se a VM tiver um endereço IP público que não seja mais necessário, remova-o.

Neste artigo, você criará uma rede virtual (se ainda não tiver uma), implantará o Azure Bastion usando o PowerShell e se conectará a uma VM. Os exemplos mostram o Bastion implantado usando a camada de SKU Standard, mas é possível usar uma SKU do Bastion diferente, dependendo dos recursos que deseja usar. Para saber mais, acesse SKUs do Bastion.

Você também pode implantar o Bastion usando os seguintes métodos:

• Azure portal
• CLI do Azure
• Início Rápido – implantar com as configurações padrão

Observação

Há suporte para o uso do Azure Bastion com zonas DNS privadas do Azure. No entanto, há restrições. Para obter mais informações, consulte as perguntas frequentes sobre o Azure Bastion.

Antes de começar

Verifique se você tem uma assinatura do Azure. Se ainda não tiver uma assinatura do Azure, você poderá ativar os Benefícios do assinante do MSDN ou inscrever-se para obter uma conta gratuita.

PowerShell

Este artigo usa cmdlets do PowerShell. Para executar os cmdlets, você pode usar o Azure Cloud Shell. O Cloud Shell é um shell interativo e grátis que pode ser usado para executar as etapas deste artigo. Ele tem ferramentas do Azure instaladas e configuradas para usar com sua conta.

Para abrir o Cloud Shell, basta selecionar Abrir Cloud Shell no canto superior direito de um bloco de código. Você também pode abrir o Cloud Shell em uma guia separada do navegador indo até https://shell.azure.com/powershell. Selecione Copiar para copiar os blocos de código, cole-os no Cloud Shell e selecione a tecla Enter para executá-los.

Também é possível instalar e executar cmdlets do Azure PowerShell localmente em seu computador. Os cmdlets do PowerShell são atualizados com frequência. Se você não tiver instalado a versão mais recente, os valores especificados nas instruções poderão falhar. Use o cmdlet Get-Module -ListAvailable Az para localizar versões do Azure PowerShell instaladas em seu computador. Para executar uma instalação ou atualização, confira como Instalar o módulo do Azure PowerShell.

Valores de exemplo

Use os valores de exemplo a seguir ao criar essa configuração ou substitua-os por valores próprios.

Exemplo de valores de VNet e VM:

Nome	Valor
Máquina virtual	TestVM
Resource group	TestRG1
Região	Leste dos EUA
Rede virtual	VNet1
Espaço de endereço	10.1.0.0/16
Sub-redes	FrontEnd: 10.1.0.0/24

Valores do Azure Bastion:

Nome	Valor
Nome	VNet1-bastion
Nome da sub-rede	FrontEnd
Nome da sub-rede	AzureBastionSubnet
Endereços de AzureBastionSubnet	Uma sub-rede no espaço de endereço da rede virtual com uma máscara de sub-rede /26 ou superior. Por exemplo, 10.1.1.0/26.
Camada/SKU	Standard
Endereço IP público	Criar novo
Nome do endereço IP público	VNet1-ip
SKU do endereço IP público	Standard
Atribuição	Estático

Implantar o Bastion

Esta seção ajuda você a criar uma rede virtual, sub-redes e implantar o Azure Bastion com o Azure PowerShell.

Importante

Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso após terminar de usá-lo.

1. Crie um grupo de recursos, uma rede virtual e uma sub-rede de front-end para as quais você implantará as VMs às quais se conectará por meio do Bastion. Se você estiver executando o PowerShell localmente, abra seu console do PowerShell com privilégios elevados e conecte-se ao Azure por meio do comando Connect-AzAccount.

   New-AzResourceGroup -Name TestRG1 -Location EastUS ` 
   $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd `
   -AddressPrefix "10.1.0.0/24" ` 
   $virtualNetwork = New-AzVirtualNetwork `
   -Name TestVNet1 -ResourceGroupName TestRG1 `
   -Location EastUS -AddressPrefix "10.1.0.0/16" `
   -Subnet $frontendSubnet ` 
   $virtualNetwork | Set-AzVirtualNetwork
   

2. Configure e defina a sub-rede do Azure Bastion para sua rede virtual. Essa sub-rede é reservada exclusivamente para os recursos do Azure Bastion. É necessário criar uma sub-rede usando o valor de nome AzureBastionSubnet. Esse valor permite que o Azure saiba em qual sub-rede os recursos do Bastion serão implantados. O exemplo abaixo também ajuda você a adicionar uma sub-rede do Azure Bastion a uma VNet existente.

   • O menor tamanho de sub-rede do AzureBastionSubnet que você pode criar é /26. Recomendamos que você crie com o tamanho /26 ou maior para acomodar o dimensionamento do host.
     • Para obter mais informações sobre dimensionamento, confira Definições de configuração – Dimensionamento de host.
     • Para obter mais informações sobre configurações, confira Definições de configuração – AzureBastionSubnet.
   • Crie o AzureBastionSubnet sem tabelas de roteamento ou delegações.
   • Se você usar grupos de segurança de rede no AzureBastionSubnet, veja o artigo Trabalhar com NSGs.

   Defina a variável.

   $vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"
   

   Adicione a sub-rede.

   Add-AzVirtualNetworkSubnetConfig `
   -Name "AzureBastionSubnet" -VirtualNetwork $vnet `
   -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork
   

3. Crie um endereço IP público para o Azure Bastion. O endereço IP é o IP do recurso do Bastion no qual o RDP/SSH será acessado (pela porta 443). O endereço IP público precisa estar na mesma região do recurso do Bastion que você está criando.

   $publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" `
   -name "VNet1-ip" -location "EastUS" `
   -AllocationMethod Static -Sku Standard
   

4. Crie um novo recurso do Azure Bastion em AzureBastionSubnet usando o comando New-AzBastion. O seguinte exemplo usa a SKU Básica. No entanto, você também pode implantar o Bastion usando uma SKU diferente alterando o valor de -Sku. A SKU selecionada determina os recursos do Bastion e conecta-se a VMs usando mais tipos de conexão. Para saber mais, acesse SKUs do Bastion.

   New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" `
   -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" `
   -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" `
   -Sku "Basic"
   

5. A implantação dos recursos do Bastion demora cerca de 10 minutos. É possível criar uma VM na próxima seção enquanto o Bastion é implantado na rede virtual.

Criar uma máquina virtual

Para criar uma VM, confira os artigos Início rápido: Criar uma VM usando o PowerShell ou Início rápido: Criar uma VM usando do portal. Certifique-se de Implantar a VM na mesma rede virtual do Bastion. A VM que você cria nesta seção não faz parte da configuração do Bastion e não se torna um bastion host. Você se conecta a essa VM posteriormente neste tutorial por meio do Bastion.

As funções necessárias a seguir para seus recursos.

• Funções VM necessárias:

  • A função de leitor na máquina virtual.
  • A função de leitor na placa de interface de rede com endereço IP privado da máquina virtual.

• Portas de entrada necessárias:

  • Para VMs do Windows – RDP (3389)
  • Para VMs do Linux – SSH (22)

Conectar-se a uma VM

Use as Etapas de Conexão na seção a seguir para se conectar à sua VM. Você também pode usar qualquer um dos artigos a seguir para se conectar a uma VM. Alguns tipos de conexão exigem o SKU Standard do Bastion.

• Conectar-se a uma VM do Windows
  • RDP
  • SSH
• Conectar-se a uma VM do Linux
  • SSH
• Conectar-se a um conjunto de dimensionamento
• Conectar-se por meio de endereço IP
• Conectar-se de um cliente nativo
  • Windows Client
  • Cliente Linux/SSH

Etapas de conexão

1. No portal do Azure, navegue até a máquina virtual à qual deseja se conectar.

2. Na parte superior do painel, selecione Conectar>Bastion para acessar o painel do Bastion. Você também pode acessar o painel do Bastion usando o menu à esquerda.

3. As opções disponíveis no painel do Bastion dependem da SKU do Bastion. Se você estiver usando a SKU Básica, conecte-se a um computador Windows usando o RDP e a porta 3389. Além disso, para a SKU Básica, você se conecta a um computador Linux usando o SSH e a porta 22. Você não tem opções para alterar o número da porta nem o protocolo. No entanto, você pode alterar o idioma do teclado para RDP expandindo as Configurações de Conexão.

   

   Se você estiver usando SKU Standard, terá mais opções de protocolo de conexão e porta disponíveis. Expanda Configurações da Conexão para ver as opções. Normalmente, a menos que você defina configurações diferentes para sua VM, você se conecta a um computador Windows usando o RDP e a porta 3389. Você se conecta a um computador Linux usando o SSH e a porta 22.

   

4. Em Tipo de Autenticação, selecione na lista de seleção. O protocolo determina os tipos de autenticação disponíveis. Preencha os valores de autenticação necessários.

   

5. Para abrir a sessão da VM em uma nova guia do navegador, deixe a opção Abrir na nova guia do navegador selecionada.

6. Escolha Conectar para se conectar à VM.

7. Confirme se a conexão com a máquina virtual é aberta diretamente no portal do Azure (por HTML5) usando a porta 443 e o serviço do Bastion.

   

   Observação

   Quando você se conectar, a área de trabalho da VM será diferente da captura de tela de exemplo.

Usar teclas de atalho enquanto você estiver conectado a uma VM pode não resultar no mesmo comportamento que atalhos em um computador local. Por exemplo, quando você estiver conectado a uma VM do Windows de um cliente Windows, Ctrl+Alt+End é o atalho para Ctrl+Alt+Delete em um computador local. Para fazer isso em um Mac enquanto você estiver conectado a uma VM do Windows, o atalho de teclado é Fn+Ctrl+Alt+Backspace.

Para habilitar a saída de áudio

Você pode habilitar a saída de áudio remoto da VM. Algumas VMs habilitam essa configuração automaticamente, enquanto outras exigem que você habilite as configurações de áudio manualmente. As configurações são alteradas na própria VM. A implantação do Bastion não precisa de nenhuma definição de configuração especial para habilitar a saída de áudio remoto.

Observação

A saída de áudio usa largura de banda em sua conexão com a Internet.

Para habilitar a saída de áudio remoto em uma VM Windows:

1. Depois que você estiver conectado à VM, um botão de áudio será exibido no canto inferior direito da barra de ferramentas. Clique com o botão direito do mouse no botão de áudio e selecione Sons.
2. Uma mensagem pop-up pergunta se você quer habilitar o Serviço de Áudio do Windows. Selecione Sim. Você pode configurar mais opções de áudio nas Preferências de som.
3. Para verificar a saída de som, passe o mouse sobre o botão de áudio na barra de ferramentas.

Remover o endereço IP público da VM

O Azure Bastion não usa o endereço IP público para se conectar à VM do cliente. Se não for precisar de endereço IP público para a sua VM, você pode desassociar o endereço IP público. Consulte Desassociar um endereço IP público de uma VM do Azure.

Próximas etapas

• Para usar grupos de segurança de rede com a sub-rede do Azure Bastion, confira Trabalhar com NSGs.
• Para entender o emparelhamento de VNet, consulte o Emparelhamento de rede virtual e Azure Bastion.