Compartir a través de

Tutorial: Implementar Azure Bastion mediante la configuración especificada

  • Artículo

Este tutorial le ayuda a configurar la implementación dedicada de Azure Bastion en la red virtual desde Azure Portal mediante la configuración y la SKU que prefiera. La SKU determina las características y conexiones que están disponibles para la implementación. Para obtener más información sobre las SKU y las características, vea Configuración: SKU. Después de implementar Bastion, puede usar SSH o RDP para conectarse a máquinas virtuales (VM) en la red virtual a través de Bastion mediante las direcciones IP privadas de las máquinas virtuales. Cuando se conecta a una máquina virtual, no necesita una dirección IP pública, un software cliente, un agente, o una configuración especial.

En el diagrama siguiente se muestra la arquitectura de implementación dedicada de Azure Bastion para este tutorial. A diferencia de la Arquitectura de SKU de desarrollador, una arquitectura de implementación dedicada implementa un host bastión dedicado directamente en la red virtual.

Diagrama que muestra la arquitectura de Azure Bastion.

Los pasos de este tutorial implementan Bastion mediante la SKU estándar a través de la opción de implementación dedicada Configurar manualmente. En este tutorial, ajustará el escalado de host (recuento de instancias), que admite la SKU estándar. Si usa una SKU inferior para la implementación, no puede ajustar el escalado del host. También puede seleccionar una zona de disponibilidad, en función de la región a la que quiera implementar.

Una vez completada la implementación, se conecta a la máquina virtual a través de una dirección IP privada. Si la máquina virtual dispone de una IP pública que ya no necesita, puede quitarla.

En este tutorial, aprenderá a:

  • Implementar Bastion en la red virtual.
  • Conexión a una máquina virtual.
  • Eliminar la dirección IP pública de una máquina virtual.

Requisitos previos

Para completar este tutorial, necesita estos recursos:

  • Suscripción a Azure. Si no tienes una, crea una cuenta gratuita antes de empezar.

  • Una red virtual en la que implementará Bastion.

  • Una máquina virtual en la red virtual. Esta máquina virtual no forma parte de la configuración de Bastion y no se convierte en un host bastión. Se conectará a esta máquina virtual más adelante en este tutorial a través de Bastion. Si no tiene una VM, cree una mediante Inicio rápido: Crear una VM de Windows o Inicio rápido: Crear una VM de Linux.

  • Roles de máquina virtual obligatorios:

    • Rol de lector en la máquina virtual
    • Rol Lector en el adaptador de red (NIC) con la dirección IP privada de la máquina virtual

  • Puertos de entrada necesarios:

    • Para máquinas virtuales Windows: RDP (3389)
    • Para máquinas virtuales Linux: SSH (22)

Nota:

Se admite el uso de Azure Bastion con zonas DNS privadas de Azure. Sin embargo, hay algunas restricciones. Para más información, consulte las preguntas frecuentes sobre Azure Bastion.

Implementación de Bastion

Esta sección encontrará ayuda para implementar Bastion en la red virtual. Después de implementar Bastion, puede conectarse de forma segura a cualquier máquina virtual de la red virtual mediante su dirección IP privada.

Importante

Los precios por hora comienzan desde el momento en que se implementa Bastion, independientemente del uso de datos salientes. Para más información, consulte Precios y SKU. Si va a implementar Bastion como parte de un tutorial o prueba, se recomienda eliminar este recurso una vez que haya terminado de usarlo.

  1. Inicie sesión en Azure Portal.

  2. Vaya a la red virtual. En la página de la red virtual, en el panel izquierdo, seleccione Bastion. Estas instrucciones también funcionarán si va a configurar Bastion desde la página de la máquina virtual en el portal.

  3. En el panel deBastion, expanda Opciones de implementación dedicadas para mostrar el botón Configurar manualmente. Es posible que tenga que desplazarse para ver la opción para expandirse.

  4. Seleccione Configuración manual. Esta opción le permite configurar opciones adicionales específicas (como la SKU) al implementar Bastion en la red virtual.

  5. En el panel Crear una instancia de Bastion, configure las opciones del host bastión. Los detalles del proyecto se rellenan a partir de los valores de la red virtual. En Detalles de la instancia, configure estos valores:

    Configuración Valor
    Nombre Especifique el nombre que desea usar para el recurso de Bastion. Por ejemplo, VNet1-bastion.
    Region Seleccione la región donde reside la red virtual.
    Zona de disponibilidad Seleccione las zonas en la lista desplegable, si lo desea. Solo se admiten determinadas regiones. Para obtener más información, consulte ¿Qué son las zonas de disponibilidad?
    Nivel Para este tutorial, seleccione la SKU Estándar. Para obtener información sobre las características disponibles para cada SKU, consulte Valores de configuración: SKU.
    Recuento de instancias Configure el escalado de host en incrementos de unidad de escalado. Use el control deslizante o escriba un número para configurar el recuento de instancias que desee, por ejemplo, 3. Para obtener más información, consulte Instancias y escalado de hosts y precios de Azure Bastion.

  6. Configure los valores de las redes virtuales. Seleccione la red virtual en la lista desplegable. Si la red virtual no está en la lista desplegable, asegúrese de seleccionar el valor correcto Región en el paso anterior.

  7. Para subred, si ya tiene una subred configurada en la red virtual denominada AzureBastionSubnet, se seleccionará automáticamente en el portal. Si no lo hace, puede crear uno. Para crear AzureBastionSubnet, seleccione Administrar configuración de subred. En el panel Subredes, seleccione +Subred. Configure los valores siguientes y, a continuación, Agregar.

    Configuración Valor
    Propósito de subred Seleccione Azure Bastion en la lista desplegable. Esto especifica que el nombre es AzureBastionSubnet.
    Dirección inicial Escriba la dirección inicial de la subred. Por ejemplo, si el espacio de direcciones es 10.1.0.0/16, puede usar 10.1.1.0 para la dirección inicial.
    Tamaño La subred debe ser /26 o superior (por ejemplo, /26, /25 o /24) para acomodar las características disponibles con la SKU estándar.

  8. En la parte superior del panel Subredes, con los vínculos de la ruta de navegación, seleccione Crear un Bastion para volver al panel de configuración de Bastion.

    Captura de pantalla del panel en el que se enumeran las subredes de Azure Bastion.

  9. La sección Dirección IP pública es donde configura la dirección IP pública del recurso de host bastión donde se accederá a RDP/SSH (a través del puerto 443). Configure las siguientes opciones:

    Configuración Valor
    Dirección IP pública Seleccione Crear nueva para crear una nueva dirección IP pública para el recurso de Bastion. También puede seleccionar Usar existente y seleccionar una dirección IP pública existente en la lista desplegable si ya tiene una dirección IP creada que cumple los criterios adecuados y no está en uso. La dirección IP pública debe estar en la misma región que el recurso de Bastion que está creando.
    Nombre de la dirección IP pública Especifique un nombre para la dirección IP pública. Por ejemplo, VNet1-bastion-ip.
    SKU de la dirección IP pública La dirección IP pública debe usar la SKU Estándar. El portal rellenará automáticamente este valor.
    Cesión estática
    Zona de disponibilidad Redundancia de zona (si está disponible)

  10. Cuando termine de especificar la configuración, seleccione Revisar y crear. Este paso valida los valores.

  11. Después de pasar la validación de los valores, puede implementar Bastion. Seleccione Crear.

    Un mensaje indica que la implementación está en proceso. El estado aparece en esta página a medida que se crean los recursos. El recurso de Bastion tarda aproximadamente diez minutos en crearse e implementarse.

Conexión a una máquina virtual

Puede usar cualquiera de los artículos detallados siguientes para conectarse a una máquina virtual. Algunos tipos de conexión requieren la SKU estándar de Bastion.

También puede usar estos pasos básicos de conexión para conectarse a la máquina virtual:

  1. En Azure Portal, vaya a la máquina virtual a la que quiera conectarse.

  2. En la parte superior del panel, seleccione Conectar>Bastion para ir al panel Bastion. También puede ir al panel Bastion con el menú izquierdo.

  3. Las opciones disponibles en el panel Bastion dependen de la SKU de Bastion.

    Si usa la SKU básica, se conecta a un equipo Windows mediante RDP y el puerto 3389. También con la SKU básica, se conecta a un equipo Linux mediante SSH y el puerto 22. No tiene opciones para cambiar el número de puerto o el protocolo. Sin embargo, puede cambiar el idioma del teclado para RDP si expande Configuración de conexión en este panel.

    Si usa la SKU estándar, tiene más opciones de protocolo de conexión y puerto disponibles. Expanda Configuración de conexión para ver las opciones. Normalmente, a menos que haya configurado opciones diferentes para su máquina virtual, se conecta a un equipo Windows mediante RDP y el puerto 3389. Se conecta a un equipo Linux mediante SSH y el puerto 22.

  4. Para Tipo de autenticación, seleccione el tipo de autenticación en la lista desplegable. El protocolo determina los tipos de autenticación disponibles. Complete los valores de autenticación necesarios.

  5. Para abrir la sesión de máquina virtual en una nueva pestaña del explorador, deje la opción Abrir en una nueva pestaña del explorador seleccionada.

  6. Seleccione Conectar para conectarse a la máquina virtual.

  7. Confirme que la conexión a la máquina virtual se abre directamente en Azure Portal (a través de HTML5) mediante el puerto 443 y el servicio Bastion.

Es posible que el uso de teclas de método abreviado de teclado mientras está conectado a una máquina virtual no tenga el mismo comportamiento que las teclas de método abreviado en un equipo local. Por ejemplo, cuando se conecta a una máquina virtual Windows desde un cliente Windows, Ctrl + Alt + Fin es el método abreviado de teclado para Ctrl + Alt + Supr en un equipo local. Para ello desde un equipo Mac mientras está conectado a una máquina virtual Windows, el método abreviado de teclado es fn+control+option+delete.

Habilitación de la salida de audio

Puede habilitar la salida de audio remoto de la máquina virtual. Algunas máquinas virtuales habilitan automáticamente esta configuración, mientras que en otras es necesario que el usuario habilite la configuración de audio manualmente. La configuración se cambia en la propia máquina virtual. La implementación de Bastion no necesita ninguna configuración especial para habilitar la salida de audio remoto.

Nota:

La salida de audio consume ancho de banda de la conexión a Internet.

Para habilitar la salida de audio remoto en una máquina virtual de Windows:

  1. Después de conectarse a la máquina virtual, aparece un botón de audio en la esquina inferior derecha de la barra de herramientas. Haga clic con el botón derecho en el botón de audio y seleccione Sonidos.
  2. Un mensaje emergente le pregunta si quiere habilitar el servicio de audio de Windows. Seleccione . Puede configurar más opciones de audio en la sección Preferencias de sonido.
  3. Para comprobar la salida de sonido, mantenga el puntero del mouse sobre el botón de audio de la barra de herramientas.

Eliminación de una dirección IP pública de máquina virtual

Al conectarse a una máquina virtual mediante Azure Bastion, no necesita una dirección IP pública para ella. Si no usa la dirección IP pública para nada más, puede desasociarla de la máquina virtual:

  1. Vaya a la máquina virtual. En la página Información general, haga clic en el Dirección IP pública para abrir la página Dirección IP pública.

  2. En la página Dirección IP pública, vaya a Información general. Puede ver el recurso que esta dirección IP está Asociada a. Haga clic en Desasociar en la parte superior del panel.

  3. Seleccione para desasociar la dirección IP de la interfaz de red de máquina virtual. Una vez que la IP pública está desasociada de la interfaz de red de la máquina virtual, puede ver que ya no aparece en Asociada a.

  4. Después de desasociar la dirección IP, puede eliminar el recurso de IP pública. En el panel Dirección IP pública de la máquina virtual, en la parte superior de la página Información general, seleccione Eliminar.

  5. Haga clic en para eliminar la dirección IP pública.

Limpieza de recursos

Cuando termine de usar esta aplicación, elimine los recursos:

  1. Escriba el nombre del grupo de recursos en el cuadro de búsqueda de la parte superior del portal. Cuando aparezca el grupo de recursos en los resultados de búsqueda, selecciónelo.
  2. Seleccione Eliminar grupo de recursos.
  3. Escriba el nombre del grupo de recursos para ESCRIBA EL NOMBRE DEL GRUPO DE RECURSOS y, a continuación, seleccione Eliminar.

Pasos siguientes

En este tutorial, implementó Bastion en una red virtual y se conectó a una máquina virtual. A continuación, eliminó la dirección IP pública de la máquina virtual. A continuación, obtenga información sobre las características adicionales de Bastion y configúrelas.

Configuración de Azure Bastion

Características y conexiones de máquinas virtuales

Configuración de la protección contra DDos de Azure para la red virtual