Sobre as definições de configuração do Bastion
As seções neste artigo abordam os recursos e as configurações do Azure Bastion.
SKUs
Um SKU também é conhecido como Camada. O Azure Bastion dá suporte a várias camadas de SKU. Ao configurar o Bastion, selecione a camada de SKU. Você decide a camada de SKU com base nos recursos que quer usar. A tabela a seguir mostra a disponibilidade de recursos por SKU correspondente.
| Recurso | SKU do Desenvolvedor | SKU Básico | SKU Standard |
|---|---|---|---|
| Conectar-se a VMs de destino na mesma rede virtual | Sim | Sim | Yes |
| Conectar-se a VMs de destino em redes virtuais emparelhadas | Não | Sim | Sim |
| Oferecer suporte a conexões simultâneas | Não | Sim | Yes |
| Acessar chaves privadas da VM do Linux no Azure Key Vault (AKV) | Não | Sim | Sim |
| Conectar-se a uma VM do Linux usando SSH | Sim | Sim | Sim |
| Conectar-se a uma VM do Windows usando RDP | Sim | Sim | Sim |
| Conectar-se a uma VM do Linux usando RDP | Não | No | Sim |
| Conectar-se a uma VM do Windows usando SSH | Não | No | Sim |
| Especificar porta de entrada personalizada | Não | No | Sim |
| Conectar-se a VMs por meio da CLI do Azure | Não | No | Sim |
| Dimensionamento de host | Não | No | Sim |
| Carregar ou baixar arquivos | Não | No | Sim |
| Autenticação do Kerberos | Não | Sim | Sim |
| Link compartilhável | Não | No | Sim |
| Conectar-se a VMs por meio de endereço IP | Não | No | Sim |
| Saída de áudio VM | Sim | Sim | Yes |
| Desabilitar copiar/colar (clientes baseados na Web) | Não | No | Sim |
SKU do Desenvolvedor (Versão Prévia)
O SKU do Desenvolvedor do Bastion é um SKU novo, leve e de menor custo. Esse SKU é ideal para usuários de Desenvolvimento/Teste que queiram se conectar com segurança às suas VMs e que não precisam de recursos adicionais ou escala. Você pode se conectar a uma VM do Azure de cada vez diretamente por meio da página de conexão da Máquina Virtual.
O SKU do Desenvolvedor tem requisitos e limitações diferentes das outras camadas de SKU. Confira Implantar o Bastion automaticamente – SKU do Desenvolvedor para obter mais informações e etapas de implantação.
A SKU de Desenvolvedor (Versão prévia) está disponível atualmente nas seguintes regiões:
- EUA Central EUAP
- Leste dos EUA 2 EUAP
- Centro-Oeste dos EUA
- Centro-Norte dos EUA
- Oeste dos EUA
- Norte da Europa
Observação
No momento, não há suporte para o emparelhamento da VNet para a SKU de Desenvolvedor.
Especificar SKU
| Método | Valor do SKU | Links |
|---|---|---|
| Portal do Azure | Camada – Desenvolvedor | Início rápido |
| Portal do Azure | Nível - Básico | Início rápido |
| Portal do Azure | Nível - Básico ou Standard | Tutorial |
| PowerShell do Azure | Nível - Básico ou Standard | Como fazer |
| CLI do Azure | Nível - Básico ou Standard | Como fazer |
Atualizar um SKU
Você sempre pode atualizar um SKU para adicionar mais recursos.
Observação
Não há suporte para downgrade de um SKU. Para downgrade, você deve excluir e recriar o Azure Bastion.
Você pode configurar essa definição usando o seguinte método:
| Método | Valor | Links |
|---|---|---|
| Portal do Azure | Camada | Como fazer |
Sub-rede do Azure Bastion
Importante
Para Azure Bastion recursos implantados a partir de 2 de novembro de 2021, o tamanho mínimo do AzureBastionSubnet é /26 ou maior (/25, /24 etc.). Todos os recursos do Azure Bastion implantados em sub-redes de tamanho /27 antes dessa data não serão afetados por essa alteração e continuarão funcionando, mas é altamente recomendável aumentar o tamanho de qualquer AzureBastionSubnet existente para /26 caso você opte por aproveitar o dimensionamento de host no futuro.
Ao implantar o Azure Bastion usando qualquer SKU, exceto o SKU do Desenvolvedor, o Bastion requer uma sub-rede dedicada chamada AzureBastionSubnet. Você precisa criar essa sub-rede na mesma rede virtual para a qual deseja implantar o Azure Bastion. A sub-rede deve ter a seguinte configuração:
- O nome da sub-rede deve ser AzureBastionSubnet.
- O tamanho da sub-rede precisa ser /26 ou maior (/25, /24 etc.).
- Para o dimensionamento de host, é recomendável uma sub-rede /26 ou maior. O uso de um espaço de sub-rede menor limita o número de unidades de escala. Para saber mais, consulte a seção Dimensionamento de host deste artigo.
- A sub-rede deve estar na mesma rede virtual e no mesmo grupo de recursos que o bastion host.
- A sub-rede não pode conter outros recursos.
Você pode configurar essa definição usando os seguintes métodos:
| Método | Valor | Links |
|---|---|---|
| Portal do Azure | Sub-rede | Início rápido Tutorial |
| Azure PowerShell | -subnetName | cmdlet |
| CLI do Azure | --subnet-name | command |
Endereço IP público
As implantações do Azure Bastion exigem um endereço IP público, exceto as implantações de SKU do Desenvolvedor. O IP Público deve ter a seguinte configuração:
- O SKU do endereço IP Público deve ser Standard.
- O método de atribuição/alocação de endereço IP público deve ser Estático.
- O nome do endereço IP público é o nome do recurso pelo qual você deseja fazer referência a esse endereço IP público.
- Você pode optar por usar um endereço IP público que você já criou, desde que ele atenda aos critérios exigidos pelo Azure Bastion e ainda não esteja em uso.
Você pode configurar essa definição usando os seguintes métodos:
| Método | Valor | Links |
|---|---|---|
| Portal do Azure | Endereço IP público | Azure portal |
| PowerShell do Azure | -PublicIpAddress | cmdlet |
| CLI do Azure | --public-ip create | command |
Instâncias e dimensionamento de host
Uma instância é uma VM do Azure otimizada que é criada quando você configura o Azure Bastion. Ela é totalmente gerenciada pelo Azure e executa todos os processos necessários para o Azure Bastion. Uma instância também é referida como uma unidade de escala. Você se conecta às VMs do cliente por meio de uma instância do Azure Bastion. Quando você configura o Azure Bastion usando o SKU Básico, duas instâncias são criadas. Se você usar a SKU Standard, poderá especificar o número de instâncias (com um mínimo de duas instâncias). Isso é chamado de dimensionamento de host.
Cada instância pode dar suporte a 20 conexões RDP simultâneas e a 40 conexões SSH simultâneas para cargas de trabalho médias (confira Limites e cotas de assinatura do Azure para obter mais informações). O número de conexões por instâncias depende de quais ações você está realizando quando conectado à VM do cliente. Por exemplo, se você estiver fazendo algo com uso intensivo de dados, ela criará uma carga maior para que a instância seja processada. Depois que as sessões simultâneas forem excedidas, uma unidade de escala adicional (instância) será necessária.
As instâncias são criadas no AzureBastionSubnet. Para permitir o dimensionamento de host, o AzureBastionSubnet deve ser /26 ou maior. O uso de uma sub-rede menor limita o número de instâncias que você pode criar. Para obter mais informações sobre o AzureBastionSubnet, consulte a seção sub-redes neste artigo.
Você pode configurar essa definição usando os seguintes métodos:
| Método | Valor | Links | Requer SKU Standard |
|---|---|---|---|
| Portal do Azure | Contagem de instâncias | Como fazer | Sim |
| Azure PowerShell | ScaleUnit | Como fazer | Yes |
Portas personalizadas
Você pode especificar a porta que deseja usar para se conectar às suas VMs. Por padrão, as portas de entrada usadas para conexão são 3389 para RDP e 22 para SSH. Se você configurar um valor de porta personalizado, será necessário especificar esse valor ao se conectar à VM.
Os valores de porta personalizados têm suporte apenas para o SKU Standard.
Link compartilhável
O recurso Link Compartilhável do Bastion permite que os usuários se conectem a um recurso de destino usando o Azure Bastion sem acessar o portal do Azure.
Quando um usuário sem credenciais do Azure clica em um link compartilhável, é aberta uma página da Web solicitando que o usuário entre no recurso de destino por meio de RDP ou SSH. Os usuários fazem a autenticação usando nome de usuário e senha ou chave privada, dependendo do que você configurou no portal do Azure para o recurso de destino. Os usuários podem se conectar aos mesmos recursos aos quais você pode se conectar no momento com o Azure Bastion: VMs ou conjunto de dimensionamento de máquinas virtuais.
| Método | Valor | Links | Requer SKU Standard |
|---|---|---|---|
| Portal do Azure | Link compartilhável | Configurar | Sim |
Próximas etapas
Para perguntas frequentes, confira as Perguntas frequentes sobre o Azure Bastion.