Tutorial: Implantar o Azure Bastion usando configurações especificadas

  • Artigo

Este tutorial ajuda você a implantar o Azure Bastion a partir do portal do Azure usando suas próprias configurações manuais e uma SKU (camada de produto) que você especificar. A SKU determina os recursos e conexões disponíveis para sua implantação. Para obter mais informações sobre SKUs, consulte Definições de configuração - SKUs.

No portal do Azure, ao usar a opção Configurar manualmente para implantar Bastion, você pode especificar valores de configuração, como contagens de instâncias e SKUs no momento da implantação. Depois que Bastion é implantado, você pode usar SSH ou RDP para se conectar a máquinas virtuais (VMs) na rede virtual via Bastion usando os endereços IP privados das VMs. Quando você se conecta a uma VM, ela não precisa de um endereço IP público, software cliente, agente ou configuração especial.

O diagrama a seguir mostra a arquitetura de Bastion.

Diagrama que mostra a arquitetura do Azure Bastion.

Neste tutorial, você implanta o Bastion usando a SKU padrão. Você ajusta o dimensionamento do host (contagem de instâncias), que a SKU padrão suporta. Se você usar uma SKU mais baixa para a implantação, não poderá ajustar o dimensionamento do host. Você também pode selecionar uma zona de disponibilidade, dependendo da região na qual deseja implantar.

Após a conclusão da implantação, você se conecta à sua VM por meio do endereço IP privado. Se a sua VM tiver um endereço IP público de que não necessita para mais nada, pode removê-lo.

Neste tutorial, irá aprender a:

  • Implante o Bastion em sua rede virtual.
  • Conecte-se a uma máquina virtual.
  • Remova o endereço IP público de uma máquina virtual.

Pré-requisitos

Para concluir este tutorial, você precisa destes recursos:

  • Uma subscrição do Azure. Se não tiver uma, crie uma conta gratuita antes de começar.

  • Uma rede virtual onde você implantará Bastion.

  • Uma máquina virtual na rede virtual. Esta VM não faz parte da configuração Bastion e não se torna um host bastião. Você se conecta a essa VM mais tarde neste tutorial via Bastion. Se você não tiver uma VM, crie uma usando Guia de início rápido: criar uma VM do Windows ou Guia de início rápido: criar uma VM Linux.

  • Funções VM necessárias:

    • Função de leitor na máquina virtual
    • Função de leitor no adaptador de rede (NIC) com o IP privado da máquina virtual

  • Portas de entrada necessárias:

    • Para VMs do Windows: RDP (3389)
    • Para VMs Linux: SSH (22)

Nota

O uso do Azure Bastion com zonas de DNS Privado do Azure é suportado. No entanto, existem restrições. Para obter mais informações, consulte as Perguntas frequentes do Bastião do Azure.

Valores de exemplo

Você pode usar os seguintes valores de exemplo ao criar essa configuração ou pode substituir o seu próprio.

Rede virtual básica e valores de VM

Nome Valor
Máquina virtual TestVM
Grupo de recursos TesteRG1
Região E.U.A. Leste
Rede virtual VNet1
Espaço de endereços 10.1.0.0/16
Sub-redes Front-end: 10.1.0.0/24

Valores de bastião

Nome valor
Nome VNet1-bastião
+ Nome da sub-rede AzureBastionSubnet
Endereços AzureBastionSubnet Uma sub-rede dentro do seu espaço de endereço de rede virtual com uma máscara de sub-rede de /26 ou maior; por exemplo, 10.1.1.0/26
Zona de disponibilidade Selecione o(s) valor(es) na lista suspensa, se desejar.
Nível/SKU Standard
Contagem de instâncias (escala de host) 3 ou superior
Endereço IP público Criar novo
Nome do endereço IP público VNet1-ip
SKU de endereço IP público Standard
Atribuição Estático

Implementar o Bastion

Esta seção ajuda você a implantar o Bastion em sua rede virtual. Depois que Bastion é implantado, você pode se conectar com segurança a qualquer VM na rede virtual usando seu endereço IP privado.

Importante

O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, consulte Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos excluir esse recurso depois de terminar de usá-lo.

  1. Inicie sessão no portal do Azure.

  2. Aceda à sua rede virtual.

  3. Na página da sua rede virtual, no painel esquerdo, selecione Bastion.

  4. No painel Bastion, expanda Opções de implantação dedicadas.

  5. Selecione Configurar manualmente. Essa opção permite que você defina configurações adicionais específicas (como a SKU) ao implantar o Bastion em sua rede virtual.

    Captura de ecrã que mostra opções de implementação dedicadas para o Azure Bastion e o botão para configuração manual.

  6. No painel Criar um bastião, defina as configurações para seu host bastião. Os detalhes do projeto são preenchidos a partir dos valores da rede virtual. Em Detalhes da instância, configure estes valores:

    • Nome: O nome que você deseja usar para seu recurso Bastion.

    • Região: A região pública do Azure na qual o recurso será criado. Escolha a região onde sua rede virtual reside.

    • Zona de disponibilidade: selecione a(s) zona(s) na lista suspensa, se desejar. Apenas algumas regiões são suportadas. Para obter mais informações, consulte o artigo O que são zonas de disponibilidade?

    • Nível: O SKU. Para este tutorial, selecione Padrão. Para obter informações sobre os recursos disponíveis para cada SKU, consulte Definições de configuração - SKU.

    • Contagem de instâncias: a configuração para o dimensionamento do host, que está disponível para a SKU padrão. Configure o dimensionamento do host em incrementos de unidade de escala. Use o controle deslizante ou insira um número para configurar a contagem de instâncias desejada. Para obter mais informações, consulte Instâncias e dimensionamento de host e Preços do Bastião do Azure.

    Captura de ecrã dos detalhes da instância do Azure Bastion.

  7. Configure as configurações de redes virtuais. Selecione sua rede virtual na lista suspensa. Se a sua rede virtual não estiver na lista pendente, certifique-se de que selecionou o valor de Região correto no passo anterior.

  8. Para configurar o AzureBastionSubnet, selecione Gerenciar configuração de sub-rede.

    Captura de tela da seção para configurar redes virtuais.

  9. No painel Sub-redes, selecione +Sub-rede.

  10. No painel Adicionar sub-rede, crie a sub-rede AzureBastionSubnet usando os seguintes valores. Deixe os outros valores como padrão.

    • O nome da sub-rede deve ser AzureBastionSubnet.
    • A sub-rede deve ser /26 ou maior (por exemplo, /26, /25 ou /24) para acomodar os recursos disponíveis com a SKU padrão.

    Selecione Salvar na parte inferior do painel para salvar seus valores.

  11. Na parte superior do painel Sub-redes , selecione Criar um bastião para retornar ao painel de configuração Bastion.

    Captura de ecrã do painel que lista as sub-redes do Azure Bastion.

  12. A seção Endereço IP público é onde você configura o endereço IP público do recurso de host bastião no qual o RDP/SSH será acessado (pela porta 443). O endereço IP público deve estar na mesma região que o recurso Bastion que você está criando.

    Crie um novo endereço IP. Você pode deixar a sugestão de nomenclatura padrão.

  13. Quando terminar de especificar as configurações, selecione Revisar + Criar. Esta etapa valida os valores.

  14. Depois que os valores passarem na validação, você poderá implantar Bastion. Selecione Criar.

    Uma mensagem informa que sua implantação está em processo. O status aparece nesta página à medida que os recursos são criados. Leva cerca de 10 minutos para que o recurso Bastion seja criado e implantado.

Ligar a uma VM

Você pode usar qualquer um dos seguintes artigos detalhados para se conectar a uma VM. Alguns tipos de conexão requerem o Bastion Standard SKU.

Você também pode usar estas etapas básicas de conexão para se conectar à sua VM:

  1. No portal do Azure, vá para a máquina virtual à qual você deseja se conectar.

  2. Na parte superior do painel, selecione Conectar>bastião para ir para o painel Bastião. Você também pode ir para o painel Bastion usando o menu à esquerda.

  3. As opções disponíveis no painel Bastion dependem do Bastion SKU. Se você estiver usando a SKU básica, conecte-se a um computador Windows usando RDP e a porta 3389. Também para o Basic SKU, você se conecta a um computador Linux usando SSH e porta 22. Você não tem opções para alterar o número da porta ou o protocolo. No entanto, você pode alterar o idioma do teclado para RDP expandindo Configurações de conexão.

    Captura de ecrã das definições de ligação do Azure Bastion.

    Se você estiver usando o SKU padrão, terá mais opções de protocolo de conexão e porta disponíveis. Expanda Configurações de conexão para ver as opções. Normalmente, a menos que você defina configurações diferentes para sua VM, você se conecta a um computador Windows usando RDP e porta 3389. Você se conectar a um computador Linux usando SSH e porta 22.

    Captura de ecrã das definições de ligação expandidas.

  4. Em Tipo de autenticação, selecione na lista suspensa. O protocolo determina os tipos de autenticação disponíveis. Preencha os valores de autenticação necessários.

    Captura de tela que mostra a caixa de listagem suspensa para o tipo de autenticação.

  5. Para abrir a sessão da VM em uma nova guia do navegador, deixe a opção Abrir na nova guia do navegador selecionada.

  6. Selecione Conectar para conectar-se à VM.

  7. Confirme se a conexão com a máquina virtual abre diretamente no portal do Azure (sobre HTML5) usando a porta 443 e o serviço Bastion.

    Captura de ecrã do ambiente de trabalho de um computador com uma ligação aberta através da porta 443.

    Nota

    Quando você se conecta, a área de trabalho da VM terá uma aparência diferente da captura de tela de exemplo.

Usar teclas de atalho de teclado enquanto você está conectado a uma VM pode não resultar no mesmo comportamento que as teclas de atalho em um computador local. Por exemplo, quando você está conectado a uma VM do Windows a partir de um cliente Windows, Ctrl+Alt+End é o atalho de teclado para Ctrl+Alt+Delete em um computador local. Para fazer isso a partir de um Mac enquanto você está conectado a uma VM do Windows, o atalho de teclado é Fn+Ctrl+Alt+Backspace.

Ativar saída de áudio

Você pode habilitar a saída de áudio remota para sua VM. Algumas VMs habilitam automaticamente essa configuração, enquanto outras exigem que você habilite as configurações de áudio manualmente. As configurações são alteradas na própria VM. Sua implantação Bastion não precisa de nenhuma definição de configuração especial para habilitar a saída de áudio remota.

Nota

A saída de áudio utiliza largura de banda na sua ligação à Internet.

Para habilitar a saída de áudio remota em uma VM do Windows:

  1. Depois que você estiver conectado à VM, um botão de áudio aparecerá no canto inferior direito da barra de ferramentas. Clique com o botão direito do rato no botão de áudio e, em seguida, selecione Sons.
  2. Uma mensagem pop-up pergunta se você deseja habilitar o Serviço de Áudio do Windows. Selecione Yes (Sim). Pode configurar mais opções de áudio nas preferências Som.
  3. Para verificar a saída de som, passe o mouse sobre o botão de áudio na barra de ferramentas.

Remover o endereço IP público de uma VM

Quando você se conecta a uma VM usando o Azure Bastion, não precisa de um endereço IP público para sua VM. Se você não estiver usando o endereço IP público para mais nada, poderá dissociá-lo da sua VM:

  1. Vá para sua máquina virtual e selecione Rede. Clique em IP público da NIC.

    Captura de ecrã do painel Rede de uma rede virtual.

  2. No painel Endereço IP público, a interface de rede da VM está listada em Associado a. Selecione Dissociar na parte superior do painel.

    Captura de ecrã dos detalhes do endereço IP público de uma máquina virtual.

  3. Selecione Sim para dissociar o endereço IP da interface de rede da VM. Depois de dissociar o endereço IP público da interface de rede, verifique se ele não está mais listado em Associado a.

  4. Depois de dissociar o endereço IP, você pode excluir o recurso de endereço IP público. No painel Endereço IP público da VM, selecione Excluir.

    Captura de ecrã do botão para eliminar um recurso de endereço IP público.

  5. Selecione Sim para excluir o endereço IP público.

Clean up resources (Limpar recursos)

Quando terminar de usar este aplicativo, exclua seus recursos:

  1. Digite o nome do seu grupo de recursos na caixa Pesquisar na parte superior do portal. Quando o grupo de recursos aparecer nos resultados da pesquisa, selecione-o.
  2. Selecione Eliminar grupo de recursos.
  3. Digite o nome do seu grupo de recursos para DIGITE O NOME DO GRUPO DE RECURSOS e selecione Excluir.

Próximos passos

Neste tutorial, você implantou o Bastion em uma rede virtual e se conectou a uma VM. Em seguida, removeu o endereço IP público da VM. Em seguida, conheça e configure recursos adicionais do Bastion.

Definições de configuração do Azure Bastion

Conexões e recursos de VM

Configurar a proteção contra DDos do Azure para sua rede virtual