Implantar o Bastion usando a CLI do Azure

Este artigo mostra como implantar o Azure Bastion usando a CLI. O Azure Bastion é um serviço de PaaS que é mantido para você. Não é um bastion host que você deve instalar em uma das suas VMs e manter. por conta própria. A implantação do Azure Bastion é feita por rede virtual, não por assinatura/conta ou máquina virtual. Para obter mais informações sobre o Azure Bastion, confira O que é o Azure Bastion?

Depois de implantar o Bastion em sua rede virtual, você poderá se conectar às VMs por meio do endereço IP privado. Esta experiência de RDP/SSH contínua está disponível para todas as VMs na mesma rede virtual. Se a VM tiver um endereço IP público que não seja mais necessário, remova-o.

Neste artigo, você criará uma rede virtual (se ainda não tiver uma), implantará o Azure Bastion usando a CLI e se conectará a uma VM. Você também pode implantar o Bastion usando os seguintes métodos:

• Azure portal
• PowerShell do Azure
• Início Rápido – implantar com as configurações padrão

Observação

Há suporte para o uso do Azure Bastion com zonas DNS privadas do Azure. No entanto, há restrições. Para obter mais informações, consulte as perguntas frequentes sobre o Azure Bastion.

Antes de começar

Assinatura do Azure

Verifique se você tem uma assinatura do Azure. Se ainda não tiver uma assinatura do Azure, você poderá ativar os Benefícios do assinante do MSDN ou inscrever-se para obter uma conta gratuita.

CLI do Azure

Este artigo usa a CLI do Azure. Para executar comandos, você pode usar o Azure Cloud Shell. O Azure Cloud Shell é um shell interativo grátis que pode ser usado para executar as etapas neste artigo. Ele tem ferramentas do Azure instaladas e configuradas para usar com sua conta.

Para abrir o Cloud Shell, basta selecionar Experimentar no canto superior direito de um bloco de código. Você também pode iniciar o Cloud Shell em uma guia separada do navegador acessando https://shell.azure.com e alternando a lista suspensa no canto esquerdo para refletir o Bash ou PowerShell. Selecione Copiar para copiar os blocos de código, cole o código no Cloud Shell e depois pressione Enter para executá-lo.

Implantar o Bastion

Esta seção ajuda você a implantar o Azure Bastion usando a CLI do Azure.

Importante

Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso depois de terminar de usá-lo.

1. Se você ainda não tiver uma rede virtual, crie um grupo de recursos e uma rede virtual usando az group create e az network vnet create.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. Use az network vnet subnet create para criar a sub-rede na qual o Bastion será implantado. A sub-rede criada deve ser denominada AzureBastionSubnet. Essa sub-rede é reservada exclusivamente para os recursos do Azure Bastion. Se você não tiver uma sub-rede com o valor da nomenclatura AzureBastionSubnet, o Bastion não será implantado.

   • O menor tamanho de sub-rede do AzureBastionSubnet que você pode criar é /26. Recomendamos que você crie com o tamanho /26 ou maior para acomodar o dimensionamento do host.
     • Para obter mais informações sobre dimensionamento, confira Definições de configuração – Dimensionamento de host.
     • Para obter mais informações sobre configurações, confira Definições de configuração – AzureBastionSubnet.
   • Crie o AzureBastionSubnet sem tabelas de roteamento ou delegações.
   • Se você usar grupos de segurança de rede no AzureBastionSubnet, veja o artigo Trabalhar com NSGs.

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Crie um endereço IP público para o Azure Bastion. O endereço IP é o IP do recurso do Bastion no qual o RDP/SSH será acessado (pela porta 443). O endereço IP público precisa estar na mesma região do recurso do Bastion que você está criando. Por esse motivo, preste atenção especial ao valor --location que você especificar.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. Use az network bastion create para criar um recurso do Azure Bastion para sua rede virtual. Leva cerca de 10 minutos para o recurso do Bastion ser criado e implantado.

   O exemplo a seguir implementa o Bastion usando a camada de SKU Básico. A SKU determina os recursos suportados pela implantação do Bastion. Você também pode implementar usando a SKU Standard. Se você não especificar uma SKU no seu comando, a SKU padrão será Standard. Para saber mais, acesse SKUs do Bastion.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

Como conectar-se a uma VM

Se ainda não tiver VMs na sua rede virtual, você poderá criar uma VM usando Início Rápido: criar uma VM do Windows ou Início Rápido: criar uma VM do Linux

Você pode usar qualquer um dos artigos a seguir ou as etapas na seção a seguir para ajudá-lo a se conectar a uma VM. Alguns tipos de conexão exigem o SKU Standard do Bastion.

• Conectar-se a uma VM do Windows
  • RDP
  • SSH
• Conectar-se a uma VM do Linux
  • SSH
• Conectar-se a um conjunto de dimensionamento
• Conectar-se por meio de endereço IP
• Conectar-se de um cliente nativo
  • Windows Client
  • Cliente Linux/SSH

Conectar usando o portal

As etapas a seguir orientam você por um tipo de conexão usando o portal do Azure.

1. No portal do Azure, navegue até a máquina virtual à qual deseja se conectar.

2. Na parte superior do painel, selecione Conectar>Bastion para acessar o painel do Bastion. Você também pode acessar o painel do Bastion usando o menu à esquerda.

3. As opções disponíveis no painel do Bastion dependem da SKU do Bastion. Se você estiver usando a SKU Básica, conecte-se a um computador Windows usando o RDP e a porta 3389. Além disso, para a SKU Básica, você se conecta a um computador Linux usando o SSH e a porta 22. Você não tem opções para alterar o número da porta nem o protocolo. No entanto, você pode alterar o idioma do teclado para RDP expandindo as Configurações de Conexão.

   

   Se você estiver usando SKU Standard, terá mais opções de protocolo de conexão e porta disponíveis. Expanda Configurações da Conexão para ver as opções. Normalmente, a menos que você defina configurações diferentes para sua VM, você se conecta a um computador Windows usando o RDP e a porta 3389. Você se conecta a um computador Linux usando o SSH e a porta 22.

   

4. Em Tipo de Autenticação, selecione na lista de seleção. O protocolo determina os tipos de autenticação disponíveis. Preencha os valores de autenticação necessários.

   

5. Para abrir a sessão da VM em uma nova guia do navegador, deixe a opção Abrir na nova guia do navegador selecionada.

6. Escolha Conectar para se conectar à VM.

7. Confirme se a conexão com a máquina virtual é aberta diretamente no portal do Azure (por HTML5) usando a porta 443 e o serviço do Bastion.

   

   Observação

   Quando você se conectar, a área de trabalho da VM será diferente da captura de tela de exemplo.

Usar teclas de atalho enquanto você estiver conectado a uma VM pode não resultar no mesmo comportamento que atalhos em um computador local. Por exemplo, quando você estiver conectado a uma VM do Windows de um cliente Windows, Ctrl+Alt+End é o atalho para Ctrl+Alt+Delete em um computador local. Para fazer isso em um Mac enquanto você estiver conectado a uma VM do Windows, o atalho de teclado é Fn+Ctrl+Alt+Backspace.

Para habilitar a saída de áudio

Você pode habilitar a saída de áudio remoto da VM. Algumas VMs habilitam essa configuração automaticamente, enquanto outras exigem que você habilite as configurações de áudio manualmente. As configurações são alteradas na própria VM. A implantação do Bastion não precisa de nenhuma definição de configuração especial para habilitar a saída de áudio remoto.

Observação

A saída de áudio usa largura de banda em sua conexão com a Internet.

Para habilitar a saída de áudio remoto em uma VM Windows:

1. Depois que você estiver conectado à VM, um botão de áudio será exibido no canto inferior direito da barra de ferramentas. Clique com o botão direito do mouse no botão de áudio e selecione Sons.
2. Uma mensagem pop-up pergunta se você quer habilitar o Serviço de Áudio do Windows. Selecione Sim. Você pode configurar mais opções de áudio nas Preferências de som.
3. Para verificar a saída de som, passe o mouse sobre o botão de áudio na barra de ferramentas.

Remover o endereço IP público da VM

O Azure Bastion não usa o endereço IP público para se conectar à VM do cliente. Se não for precisar de endereço IP público para a sua VM, você pode desassociar o endereço IP público. Consulte Desassociar um endereço IP público de uma VM do Azure.

Próximas etapas

• Para usar grupos de segurança de rede com a sub-rede do Azure Bastion, confira Trabalhar com NSGs.
• Para entender o emparelhamento de VNet, consulte Emparelhamento de VNet e o Azure Bastion.