Partilhar via

Configurar a gravação da sessão Bastion

Este artigo ajuda você a configurar a gravação de sessão Bastion. Quando o recurso de gravação de Sessão Bastion do Azure está habilitado, você pode gravar as sessões gráficas para conexões feitas com máquinas virtuais (RDP e SSH) por meio do host bastion. Depois que a sessão é fechada ou desconectada, as sessões gravadas são armazenadas em um contêiner de blob dentro da sua conta de armazenamento (via URL SAS). Quando uma sessão é desconectada, você pode acessar e exibir suas sessões gravadas no portal do Azure na página Gravação da Sessão. A gravação da sessão requer o Bastion Premium SKU.

Antes de começar

As seções a seguir descrevem considerações, limitações e pré-requisitos para a gravação da sessão Bastion.

Considerações e limitações

  • O SKU Premium é necessário para este recurso.
  • A gravação da sessão não está disponível via cliente nativo no momento.
  • As políticas de armazenamento imutável não devem estar presentes
  • A gravação de sessão suporta uma conta de armazenamento/container de cada vez.
  • Alterar os contêineres de armazenamento enquanto uma sessão está ativa pode causar interrupções na sessão.
  • O versionamento de blobs nas gravações não deveria estar presente
  • Quando a gravação de sessão é habilitada em uma implantação Bastion, Bastion grava TODAS as sessões que passam pelo host bastion habilitado para gravação.

Pré-requisitos

  • O Azure Bastion é implantado em sua rede virtual. Consulte Tutorial - Implantar bastião usando as configurações especificadas para obter as etapas.
  • Bastion deve ser configurado para usar Premium SKU para este recurso. Você pode atualizar para o Premium SKU a partir de um SKU inferior ao configurar o recurso de gravação de sessão. Para verificar sua SKU e atualizar, se necessário, consulte Exibir ou atualizar uma SKU.
  • A máquina virtual à qual você se conecta deve ser implantada na rede virtual que contém o host bastion ou em uma rede virtual diretamente emparelhada à rede virtual Bastion.
  • Para visualizar ou listar as gravações de sessão, o utilizador deve ter a função Leitor de Dados de Blob de Armazenamento.

Ativar gravação de sessão

Você pode habilitar a gravação de sessão ao criar um novo recurso de host bastion ou configurá-lo mais tarde, após a implantação do Bastion.

A captura de tela mostra a página de configuração para o host bastion.

Etapas para novas implantações do Bastion

Ao configurar e implantar manualmente um host bastion, você pode especificar a camada de SKU e os recursos no momento da implantação. Para obter etapas abrangentes para implantar Bastion, consulte Implantar Bastion usando configurações especificadas.

  1. No portal do Azure, selecione Criar um Recurso.
  2. Procure o Azure Bastion e selecione Criar.
  3. Preencha os valores usando as configurações manuais, certificando-se de selecionar o SKU Premium.
  4. Na guia Avançado , selecione Gravação de sessão para ativar o recurso de gravação de sessão.
  5. Reveja os seus dados e selecione Criar. Bastion imediatamente começa a criar seu bastião host. Este processo demora cerca de 10 minutos a concluir.

Passos para implantações existentes do Bastion

Se você já implantou o Bastion, use as etapas a seguir para habilitar a gravação da sessão.

  1. No portal do Azure, vá para o recurso Bastion.
  2. Na página Bastion, no painel esquerdo, selecione Configuração.
  3. Na página de Configuração, em Camada, selecione Premium se ainda não estiver selecionada. Este recurso requer o SKU Premium.
  4. Selecione Gravação de sessão nos recursos listados.
  5. Selecione Aplicar. Bastion imediatamente começa a atualizar as configurações para o seu bastion host. As atualizações demoram cerca de 10 minutos.

Configurar contêiner de conta de armazenamento

Nesta seção, você configura e especifica o contêiner para gravações de sessão.

  1. Crie uma conta de armazenamento no seu grupo de recursos. Para conhecer as etapas, consulte Criar uma conta de armazenamento e Conceder acesso limitado aos recursos do Armazenamento do Azure usando assinaturas de acesso compartilhado (SAS).

  2. Dentro da conta de armazenamento, crie um contêiner. Este é o recipiente que você usará para armazenar suas gravações de sessão Bastion. Recomendamos que você crie um contêiner exclusivo para gravações de sessão. Para conhecer as etapas, consulte Criar um contêiner.

  3. Na página da sua conta de armazenamento, no painel esquerdo, expanda Configurações. Selecione Compartilhamento de recursos (CORS).

  4. Crie uma nova política em Serviço de Blob e salve suas alterações na parte superior da página.

Nome Valor
Origens permitidas https:// seguido pelo nome DNS completo do seu bastião, começando com bst-. Tenha em mente que estes valores são sensíveis a maiúsculas e minúsculas.
Métodos permitidos Obtém
Cabeçalhos permitidos *
Cabeçalhos expostos *
Idade máxima 86400

Adicionar ou atualizar o URL SAS

Para configurar gravações de sessão, deverá adicionar um URL SAS à configuração de gravações de sessão do Bastion. Nesta secção, geras a URL SAS do Blob do teu contêiner e depois fazes o upload para o bastion host.

As etapas a seguir ajudam a definir as configurações necessárias diretamente na página Gerar SAS . No entanto, você pode, opcionalmente, definir algumas das configurações criando uma política de acesso armazenado. Em seguida, você pode vincular a política de acesso armazenada ao token SAS na página Gerar SAS . Se quiser criar uma política de acesso armazenado, selecione Permissões e Data e hora de início/expiração na política de acesso ou na página Gerar SAS .

  1. Na página da sua conta de armazenamento, vá para Armazenamento de dados -> Contêineres.
  2. Localiza o contentor que criaste para armazenar gravações de sessão Bastion, clica nos 3 pontos (reticências) à direita do contentor e seleciona Gerar SAS na lista pendente.
  3. Na página Gerar SAS, em Permissões, selecione LER, CRIAR, ESCREVER, LISTAR.
  4. Para data/hora de início e validade, utilize as seguintes recomendações:
    • Defina a hora de início para ser pelo menos 15 minutos antes da hora presente.
    • Defina o tempo de expiração para ser longo no futuro.
  5. Em Endereços IP permitidos, selecione o endereço IP ou o intervalo de IP para aceitar solicitações. Para mais informações, clique aqui
  6. Em Protocolos permitidos, selecione Somente HTTPS .
  7. Clique em Gerar token SAS e URL. Você verá o Blob SAS Token e o Blob SAS URL gerados na parte inferior da página.
  8. Copie o URL do Blob SAS.
  9. Vá para o seu bastião anfitrião. No painel esquerdo, selecione Gravações de sessão.
  10. Na parte superior da página, selecione Adicionar ou atualizar URL SAS. Cole o URL SAS e clique em Carregar.

Ver uma gravação

As sessões são gravadas automaticamente quando a Gravação de Sessão está ativada no host bastion. Pode ver gravações no portal do Azure através de um leitor Web integrado.

  1. No portal do Azure, vá para seu host Bastion .
  2. No painel esquerdo, em Configurações, selecione Gravações de sessão.
  3. A URL SAS já deve estar configurada (anteriormente neste exercício). No entanto, se a URL SAS expirou ou se necessitar adicionar a URL SAS, utilize os passos anteriormente mencionados para adquirir e carregar a URL SAS do Blob.
  4. Selecione a VM e o link de gravação que você deseja exibir e, em seguida, selecione Exibir gravação.

Próximos passos

Consulte as Perguntas frequentes sobre Bastion para obter informações adicionais sobre Bastion.