Sobre as definições de configuração do Bastion
As seções neste artigo abordam os recursos e as configurações do Azure Bastion.
SKUs
Um SKU também é conhecido como Camada. O Azure Bastion dá suporte a várias camadas de SKU. Ao configurar o Bastion, selecione a camada de SKU. Você decide a camada de SKU com base nos recursos que quer usar. A tabela a seguir mostra a disponibilidade de recursos por SKU correspondente.
| Recurso | SKU do desenvolvedor | SKU Básico | SKU Standard | SKU Premium |
|---|---|---|---|---|
| Conectar-se a VMs de destino na mesma rede virtual | Sim | Sim | Sim | Yes |
| Conectar-se a VMs de destino em redes virtuais emparelhadas | Não | Sim | Sim | Sim |
| Oferecer suporte a conexões simultâneas | Não | Sim | Sim | Yes |
| Acessar chaves privadas da VM do Linux no Azure Key Vault (AKV) | Não | Sim | Sim | Sim |
| Conectar-se a uma VM do Linux usando SSH | Sim | Sim | Sim | Sim |
| Conectar-se a uma VM do Windows usando RDP | Sim | Sim | Sim | Sim |
| Conectar-se a uma VM do Linux usando RDP | Não | No | Sim | Yes |
| Conectar-se a uma VM do Windows usando SSH | Não | No | Sim | Sim |
| Especificar porta de entrada personalizada | Não | No | Sim | Sim |
| Conectar-se a VMs por meio da CLI do Azure | Não | No | Sim | Sim |
| Dimensionamento de host | Não | No | Sim | Sim |
| Carregar ou baixar arquivos | Não | No | Sim | Sim |
| Autenticação do Kerberos | Não | Sim | Sim | Sim |
| Link compartilhável | Não | No | Sim | Sim |
| Conectar-se a VMs por meio de endereço IP | Não | No | Sim | Sim |
| Saída de áudio VM | Sim | Sim | Sim | Yes |
| Desabilitar copiar/colar (clientes baseados na Web) | Não | No | Sim | Yes |
| Gravação de sessões | Não | No | No | Sim |
| Implantação somente privada | Não | No | No | Sim |
SKU do desenvolvedor
O SKU Bastion Developer é um SKU leve e gratuito. Essa SKU é ideal para usuários de Desenvolvimento/Teste que desejam se conectar com segurança às suas VMs, mas não precisam de recursos adicionais do Bastion ou de dimensionamento de host. Com o SKU do Desenvolvedor, você pode se conectar a uma VM do Azure por vez diretamente por meio da página de conexão da máquina virtual.
Ao implantar o Bastion usando o SKU do Desenvolvedor, os requisitos de implantação são diferentes de quando você implanta usando outros SKUs. Normalmente, ao criar um bastion host, um host é implantado no AzureBastionSubnet em sua rede virtual. O Bastion host é dedicado para seu uso. Quando você usa a SKU de desenvolvedor, um bastion host não é implantado em sua rede virtual e você não precisa de uma AzureBastionSubnet. No entanto, a SKU de Desenvolvedor do bastion host não é um recurso dedicado. Em vez disso, ele faz parte de um pool compartilhado.
Como o recurso de bastion de SKU do Desenvolvedor não é dedicado, os recursos para o SKU do Desenvolvedor são limitados. Confira a seção SKU nas configurações do Bastion para ver recursos listados pelo SKU. Você sempre pode atualizar o SKU do desenvolvedor para um SKU superior se precisar oferecer suporte a mais recursos. Confira Fazer upgrade um SKU.
A SKU do Desenvolvedor (Versão prévia) está disponível atualmente nas seguintes regiões:
- EUA Central EUAP
- Leste dos EUA 2 EUAP
- Centro-Oeste dos EUA
- Centro-Norte dos EUA
- Oeste dos EUA
- Norte da Europa
Observação
No momento, não há suporte para o emparelhamento da VNet para a SKU de Desenvolvedor.
SKU Premium (versão prévia)
O SKU Premium é um novo SKU que dá suporte a recursos do Bastion, como gravação de sessão e Bastion somente privado. Ao implantar o Bastion, selecione apenas o SKU Premium se precisar dos recursos compatíveis.
Especificar SKU
| Método | Valor do SKU | Links |
|---|---|---|
| Portal do Azure | Camada – Desenvolvedor | Início rápido |
| Portal do Azure | Nível - Básico | Início rápido |
| Portal do Azure | Camada – Básico ou superior | Tutorial |
| PowerShell do Azure | Camada – Básico ou superior | Como fazer |
| CLI do Azure | Camada – Básico ou superior | Como fazer |
Atualizar um SKU
Você sempre pode atualizar um SKU para adicionar mais recursos. Para obter mais informações, confira Atualizar um SKU.
Observação
Não há suporte para downgrade de um SKU. Para downgrade, você deve excluir e recriar o Azure Bastion.
Sub-rede do Azure Bastion
Importante
Para Azure Bastion recursos implantados a partir de 2 de novembro de 2021, o tamanho mínimo do AzureBastionSubnet é /26 ou maior (/25, /24 etc.). Todos os recursos do Azure Bastion implantados em sub-redes de tamanho /27 antes dessa data não serão afetados por essa alteração e continuarão funcionando, mas é altamente recomendável aumentar o tamanho de qualquer AzureBastionSubnet existente para /26 caso você opte por aproveitar o dimensionamento de host no futuro.
Ao implantar o Azure Bastion usando qualquer SKU, exceto o SKU do Desenvolvedor, o Bastion requer uma sub-rede dedicada chamada AzureBastionSubnet. Você precisa criar essa sub-rede na mesma rede virtual para a qual deseja implantar o Azure Bastion. A sub-rede deve ter a seguinte configuração:
- O nome da sub-rede deve ser AzureBastionSubnet.
- O tamanho da sub-rede precisa ser /26 ou maior (/25, /24 etc.).
- Para o dimensionamento de host, é recomendável uma sub-rede /26 ou maior. O uso de um espaço de sub-rede menor limita o número de unidades de escala. Para saber mais, consulte a seção Dimensionamento de host deste artigo.
- A sub-rede deve estar na mesma rede virtual e no mesmo grupo de recursos que o bastion host.
- A sub-rede não pode conter outros recursos.
Você pode configurar essa definição usando os seguintes métodos:
| Método | Valor | Links |
|---|---|---|
| Portal do Azure | Sub-rede | Início rápido Tutorial |
| Azure PowerShell | -subnetName | cmdlet |
| CLI do Azure | --subnet-name | command |
Endereço IP público
As implantações do Azure Bastion, exceto SKU do desenvolvedor e Somente privado, exigem um endereço IP público. O IP Público deve ter a seguinte configuração:
- O SKU do endereço IP Público deve ser Standard.
- O método de atribuição/alocação de endereço IP público deve ser Estático.
- O nome do endereço IP público é o nome do recurso pelo qual você deseja fazer referência a esse endereço IP público.
- Você pode optar por usar um endereço IP público que você já criou, desde que ele atenda aos critérios exigidos pelo Azure Bastion e ainda não esteja em uso.
Você pode configurar essa definição usando os seguintes métodos:
| Método | Valor | Links |
|---|---|---|
| Portal do Azure | Endereço IP público | Azure portal |
| PowerShell do Azure | -PublicIpAddress | cmdlet |
| CLI do Azure | --public-ip create | command |
Instâncias e dimensionamento de host
Uma instância é uma VM do Azure otimizada que é criada quando você configura o Azure Bastion. Ela é totalmente gerenciada pelo Azure e executa todos os processos necessários para o Azure Bastion. Uma instância também é referida como uma unidade de escala. Você se conecta às VMs do cliente por meio de uma instância do Azure Bastion. Quando você configura o Azure Bastion usando o SKU Básico, duas instâncias são criadas. Se você usar o SKU Standard ou superior, poderá especificar o número de instâncias (com um mínimo de duas instâncias). Isso é chamado de dimensionamento de host.
Cada instância pode dar suporte a 20 conexões RDP simultâneas e a 40 conexões SSH simultâneas para cargas de trabalho médias (confira Limites e cotas de assinatura do Azure para obter mais informações). O número de conexões por instâncias depende de quais ações você está realizando quando conectado à VM do cliente. Por exemplo, se você estiver fazendo algo com uso intensivo de dados, ela criará uma carga maior para que a instância seja processada. Depois que as sessões simultâneas forem excedidas, uma unidade de escala adicional (instância) será necessária.
As instâncias são criadas no AzureBastionSubnet. Para permitir o dimensionamento de host, o AzureBastionSubnet deve ser /26 ou maior. O uso de uma sub-rede menor limita o número de instâncias que você pode criar. Para obter mais informações sobre o AzureBastionSubnet, consulte a seção sub-redes neste artigo.
Você pode configurar essa definição usando os seguintes métodos:
| Método | Valor | Links | Requer SKU Standard ou superior |
|---|---|---|---|
| Portal do Azure | Contagem de instâncias | Como fazer | Sim |
| Azure PowerShell | ScaleUnit | Como fazer | Yes |
Portas personalizadas
Você pode especificar a porta que deseja usar para se conectar às suas VMs. Por padrão, as portas de entrada usadas para conexão são 3389 para RDP e 22 para SSH. Se você configurar um valor de porta personalizado, será necessário especificar esse valor ao se conectar à VM.
Há suporte para valores de porta personalizados apenas para o SKU Standard ou superior.
Link compartilhável
O recurso Link Compartilhável do Bastion permite que os usuários se conectem a um recurso de destino usando o Azure Bastion sem acessar o portal do Azure.
Quando um usuário sem credenciais do Azure clica em um link compartilhável, é aberta uma página da Web solicitando que o usuário entre no recurso de destino por meio de RDP ou SSH. Os usuários se autenticam usando nome de usuário e senha ou chave privada, dependendo do que você configurou no portal do Azure para esse recurso de destino. Os usuários podem se conectar aos mesmos recursos aos quais você pode se conectar no momento com o Azure Bastion: VMs ou conjunto de dimensionamento de máquinas virtuais.
| Método | Valor | Links | Requer SKU Standard ou superior |
|---|---|---|---|
| Portal do Azure | Link compartilhável | Configurar | Yes |
Implantação somente privada
As implantações do Bastion somente privado bloqueiam cargas de trabalho de ponta a ponta criando uma implantação roteável não da Internet do Bastion que permite apenas acesso a endereços IP privados. As implantações do Bastion somente privado não permitem conexões com o bastion host por meio de endereço IP público. Por outro lado, uma implantação regular do Azure Bastion permite que os usuários se conectem ao bastion host usando um endereço IP público. Para obter mais informações, confira Implantar o Bastion como somente privado.
Gravação de sessões
Quando o recurso de gravação de sessão do Azure Bastion estiver habilitado, você poderá gravar as sessões gráficas para conexões feitas com máquinas virtuais (RDP e SSH) por meio do bastion host. Depois que a sessão é fechada ou desconectada, as sessões gravadas são armazenadas em um contêiner de blob em sua conta de armazenamento (por meio da URL SAS). Quando uma sessão é desconectada, você pode acessar e exibir suas sessões gravadas no portal do Azure na página Gravação de sessão. A gravação de sessão requer o SKU do Bastion Premium. Para obter mais informações, confira Gravação de sessão do Bastion.
Zonas de disponibilidade
Algumas regiões dão suporte à capacidade de implantar o Azure Bastion em uma zona de disponibilidade (ou múltipla, para redundância de zona). Para implantar zonalmente, implante o Bastion usando configurações especificadas manualmente (não implante usando as configurações padrão automáticas). Especifique as zonas de disponibilidade desejadas no momento da implantação. Você não poderá alterar a disponibilidade zonal depois que o Bastion for implantado.
O suporte para Zonas de Disponibilidade está atualmente em versão prévia. Durante a versão prévia, as seguintes regiões estão disponíveis:
- Leste dos EUA
- Leste da Austrália
- Leste dos EUA 2
- Centro dos EUA
- Catar Central
- Norte da África do Sul
- Europa Ocidental
- Oeste dos EUA 2
- Norte da Europa
- Suécia Central
- Sul do Reino Unido
- Canadá Central
Próximas etapas
Para perguntas frequentes, confira as Perguntas frequentes sobre o Azure Bastion.