Implantar Bastion usando o Azure PowerShell
Este artigo mostra como implantar o Azure Bastion usando o PowerShell. O Azure Bastion é um serviço PaaS mantido para você, não um host bastion que você instala em sua VM e se mantém. Uma implantação do Azure Bastion é por rede virtual, não por assinatura/conta ou máquina virtual. Para obter mais informações sobre o Azure Bastion, consulte O que é o Azure Bastion?
Depois de implantar o Bastion em sua rede virtual, você pode se conectar às suas VMs por meio do endereço IP privado. Essa experiência RDP/SSH perfeita está disponível para todas as VMs na mesma rede virtual. Se a sua VM tiver um endereço IP público de que não necessita para mais nada, pode removê-lo.
Neste artigo, você cria uma rede virtual (se ainda não tiver uma), implanta o Azure Bastion usando o PowerShell e se conecta a uma VM. Os exemplos mostram Bastion implantado usando a camada Standard SKU, mas você pode usar um Bastion SKU diferente, dependendo dos recursos que você gostaria de usar. Para obter mais informações, consulte Bastion SKUs.
Você também pode implantar Bastion usando os seguintes outros métodos:
Nota
O uso do Azure Bastion com zonas de DNS Privado do Azure é suportado. No entanto, existem restrições. Para obter mais informações, consulte as Perguntas frequentes do Bastião do Azure.
Antes de começar
Verifique se tem uma subscrição do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.
PowerShell
Este artigo usa cmdlets do PowerShell. Para executar os cmdlets, você pode usar o Azure Cloud Shell. O Cloud Shell é um shell interativo gratuito que você pode usar para executar as etapas neste artigo. Tem as ferramentas comuns do Azure pré-instaladas e configuradas para utilização com a sua conta.
Para abrir o Cloud Shell, basta selecionar Abrir Cloudshell no canto superior direito de um bloco de código. Você também pode abrir o Cloud Shell em uma guia separada do https://shell.azure.com/powershellnavegador acessando . Selecione Copiar para copiar os blocos de código, cole-os no Cloud Shell e selecione a tecla Enter para executá-los.
Você também pode instalar e executar os cmdlets do Azure PowerShell localmente em seu computador. Os cmdlets do PowerShell são atualizados com frequência. Se você não tiver instalado a versão mais recente, os valores especificados nas instruções podem falhar. Para localizar as versões do Azure PowerShell instaladas no seu computador, use o Get-Module -ListAvailable Az cmdlet. Para instalar ou atualizar, consulte Instalar o módulo do Azure PowerShell.
Valores de exemplo
Você pode usar os seguintes valores de exemplo ao criar essa configuração ou pode substituir o seu próprio.
Exemplo de valores de VNet e VM:
| Nome | Valor |
|---|---|
| Máquina virtual | TestVM |
| Grupo de recursos | TesteRG1 |
| País/Região | E.U.A. Leste |
| Rede virtual | VNet1 |
| Espaço de endereços | 10.1.0.0/16 |
| Sub-redes | Front-end: 10.1.0.0/24 |
Valores do Azure Bastion:
| Nome | Valor |
|---|---|
| Nome | VNet1-bastião |
| Nome da sub-rede | FrontEnd |
| Nome da sub-rede | AzureBastionSubnet |
| Endereços AzureBastionSubnet | Uma sub-rede dentro do espaço de endereço da rede virtual com uma máscara de sub-rede /26 ou maior. Por exemplo, 10.1.1.0/26. |
| Nível/SKU | Standard |
| Endereço IP público | Criar nova |
| Nome do endereço IP público | VNet1-ip |
| SKU de endereço IP público | Standard |
| Atribuição | Estático |
Implementar o Bastion
Esta seção ajuda você a criar uma rede virtual, sub-redes e implantar o Azure Bastion usando o Azure PowerShell.
Importante
O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, consulte Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos excluir esse recurso depois de terminar de usá-lo.
Crie um grupo de recursos, uma rede virtual e uma sub-rede front-end na qual você implanta as VMs às quais se conectará via Bastion. Se você estiver executando o PowerShell localmente, abra seu console do PowerShell com privilégios elevados e conecte-se ao Azure usando o
Connect-AzAccountcomando.New-AzResourceGroup -Name TestRG1 -Location EastUS ` $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd ` -AddressPrefix "10.1.0.0/24" ` $virtualNetwork = New-AzVirtualNetwork ` -Name TestVNet1 -ResourceGroupName TestRG1 ` -Location EastUS -AddressPrefix "10.1.0.0/16" ` -Subnet $frontendSubnet ` $virtualNetwork | Set-AzVirtualNetworkConfigure e defina a sub-rede do Azure Bastion para sua rede virtual. Esta sub-rede é reservada exclusivamente para recursos do Azure Bastion. Você deve criar essa sub-rede usando o valor de nome AzureBastionSubnet. Esse valor permite que o Azure saiba em qual sub-rede implantar os recursos Bastion. O exemplo na seção a seguir ajuda você a adicionar uma sub-rede do Azure Bastion a uma VNet existente.
- O menor tamanho de sub-rede da AzureBastionSubnet que pode criar é /26. Recomendamos que crie um tamanho /26 ou maior para acomodar o dimensionamento de anfitriões.
- Para obter mais informações sobre dimensionamento, consulte Definições de configuração - Dimensionamento de host.
- Para obter mais informações sobre configurações, consulte Definições de configuração - AzureBastionSubnet.
- Crie o AzureBastionSubnet sem tabelas de rotas ou delegações.
- Se você usar Grupos de Segurança de Rede no AzureBastionSubnet, consulte o artigo Trabalhar com NSGs .
Defina a variável.
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"Adicione a sub-rede.
Add-AzVirtualNetworkSubnetConfig ` -Name "AzureBastionSubnet" -VirtualNetwork $vnet ` -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork- O menor tamanho de sub-rede da AzureBastionSubnet que pode criar é /26. Recomendamos que crie um tamanho /26 ou maior para acomodar o dimensionamento de anfitriões.
Crie um endereço IP público para o Azure Bastion. O IP público é o endereço IP público do recurso Bastion no qual o RDP/SSH será acessado (pela porta 443). O endereço IP público deve estar na mesma região que o recurso Bastion que você está criando.
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" ` -name "VNet1-ip" -location "EastUS" ` -AllocationMethod Static -Sku StandardCrie um novo recurso do Azure Bastion na AzureBastionSubnet usando o comando New-AzBastion . O exemplo a seguir usa o Basic SKU. No entanto, você também pode implantar Bastion usando uma SKU diferente alterando o valor -Sku. A SKU selecionada determina os recursos Bastion e se conecta a VMs usando mais tipos de conexão. Para obter mais informações, consulte Bastion SKUs.
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" ` -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" ` -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" ` -Sku "Basic"Os recursos do Bastion demoram cerca de 10 minutos a ser implementados. Você pode criar uma VM na próxima seção enquanto Bastion implanta em sua rede virtual.
Criar uma VM
Você pode criar uma VM usando o Guia de início rápido: criar uma VM usando o PowerShell ou Guia de início rápido: criar uma VM usando os artigos do portal . Certifique-se de implantar a VM na mesma rede virtual na qual você implantou o Bastion. A VM criada nesta seção não faz parte da configuração Bastion e não se torna um host bastião. Você se conecta a essa VM mais tarde neste tutorial via Bastion.
As seguintes funções necessárias para seus recursos.
Funções VM necessárias:
- Função de leitor na máquina virtual.
- Função de leitor na NIC com IP privado da máquina virtual.
Portas de entrada necessárias:
- Para Windows VMS - RDP (3389)
- Para VMs Linux - SSH (22)
Ligar a uma VM
Você pode usar as etapas de conexão na seção a seguir para se conectar à sua VM. Você também pode usar qualquer um dos seguintes artigos para se conectar a uma VM. Alguns tipos de conexão requerem o Bastion Standard SKU.
- Conectar-se a uma VM do Windows
- Conectar-se a uma VM Linux
- Conectar-se a um conjunto de escalas
- Ligar através do endereço IP
- Conectar-se a partir de um cliente nativo
Etapas de conexão
No portal do Azure, vá para a máquina virtual à qual você deseja se conectar.
Na parte superior do painel, selecione Conectar>bastião para ir para o painel Bastião. Você também pode ir para o painel Bastion usando o menu à esquerda.
As opções disponíveis no painel Bastion dependem do Bastion SKU. Se você estiver usando a SKU básica, conecte-se a um computador Windows usando RDP e a porta 3389. Também para o Basic SKU, você se conecta a um computador Linux usando SSH e porta 22. Você não tem opções para alterar o número da porta ou o protocolo. No entanto, você pode alterar o idioma do teclado para RDP expandindo Configurações de conexão.
Se você estiver usando o SKU padrão, terá mais opções de protocolo de conexão e porta disponíveis. Expanda Configurações de conexão para ver as opções. Normalmente, a menos que você defina configurações diferentes para sua VM, você se conecta a um computador Windows usando RDP e porta 3389. Você se conectar a um computador Linux usando SSH e porta 22.
Em Tipo de autenticação, selecione na lista suspensa. O protocolo determina os tipos de autenticação disponíveis. Preencha os valores de autenticação necessários.
Para abrir a sessão da VM em uma nova guia do navegador, deixe a opção Abrir na nova guia do navegador selecionada.
Selecione Conectar para conectar-se à VM.
Confirme se a conexão com a máquina virtual abre diretamente no portal do Azure (sobre HTML5) usando a porta 443 e o serviço Bastion.
Nota
Quando você se conecta, a área de trabalho da VM terá uma aparência diferente da captura de tela de exemplo.
Usar teclas de atalho de teclado enquanto você está conectado a uma VM pode não resultar no mesmo comportamento que as teclas de atalho em um computador local. Por exemplo, quando você está conectado a uma VM do Windows a partir de um cliente Windows, Ctrl+Alt+End é o atalho de teclado para Ctrl+Alt+Delete em um computador local. Para fazer isso a partir de um Mac enquanto você está conectado a uma VM do Windows, o atalho de teclado é fn+control+option+delete.
Para ativar a saída de áudio
Você pode habilitar a saída de áudio remota para sua VM. Algumas VMs habilitam automaticamente essa configuração, enquanto outras exigem que você habilite as configurações de áudio manualmente. As configurações são alteradas na própria VM. Sua implantação Bastion não precisa de nenhuma definição de configuração especial para habilitar a saída de áudio remota.
Nota
A saída de áudio utiliza largura de banda na sua ligação à Internet.
Para habilitar a saída de áudio remota em uma VM do Windows:
- Depois que você estiver conectado à VM, um botão de áudio aparecerá no canto inferior direito da barra de ferramentas. Clique com o botão direito do rato no botão de áudio e, em seguida, selecione Sons.
- Uma mensagem pop-up pergunta se você deseja habilitar o Serviço de Áudio do Windows. Selecione Yes (Sim). Pode configurar mais opções de áudio nas preferências Som.
- Para verificar a saída de som, passe o mouse sobre o botão de áudio na barra de ferramentas.
Remover endereço IP público da VM
O Azure Bastion não usa o endereço IP público para se conectar à VM cliente. Se você não precisar do endereço IP público para sua VM, poderá desassociar o endereço IP público. Consulte Dissociar um endereço IP público de uma VM do Azure.
Próximos passos
- Para usar Grupos de Segurança de Rede com a sub-rede do Azure Bastion, consulte Trabalhar com NSGs.
- Para entender o emparelhamento de VNet, consulte Emparelhamento de Rede Virtual e Bastião do Azure.