Compartir a través de


Implementación de Bastion en una arquitectura solo privada

Este artículo le ayuda a implementar Bastion como una implementación solo privada. Las implementaciones de Bastion solo privadas bloquean cargas de trabajo de un extremo a otro mediante la creación de una implementación de Bastion no enrutable por Internet que solo permite el acceso a direcciones IP privadas. Las implementaciones de Bastion solo privadas no permiten establecer conexiones con el host bastión a través de la dirección IP pública. Por el contrario, una implementación normal de Azure Bastion permite a los usuarios conectarse al host bastión mediante una dirección IP pública.

En el siguiente diagrama se muestra la arquitectura de implementación solo privada de Bastion. Un usuario que esté conectado a Azure a través del emparejamiento privado de ExpressRoute puede conectarse de forma segura a Bastion mediante la dirección IP privada del host bastión. Después, Bastion puede establecer la conexión a través de una dirección IP privada a una máquina virtual que se encuentra dentro de la misma red virtual que el host bastión. En una implementación de Bastion solo privada, Bastion no permite el acceso saliente fuera de la red virtual.

Diagrama que muestra la arquitectura de Azure Bastion.

Elementos que se deben tener en cuenta:

  • Bastion solo privado está configurado en el momento de la implementación y requiere el nivel de SKU Premium.

  • No se puede cambiar de una implementación normal de Bastion a una implementación solo privada.

  • Para implementar Bastion solo privado en una red virtual que ya tenga una implementación de Bastion, primero quite Bastion de la red virtual y vuelva a implementarlo como solo privado. No es necesario eliminar ni volver a crear AzureBastionSubnet.

  • Si desea crear conectividad privada de un extremo a otro, conéctese mediante el cliente nativo en lugar de a través de Azure Portal.

  • Si el equipo cliente es local y no es de Azure, deberá implementar una VPN o ExpressRoute y habilitar la conexión basada en IP en el recurso de Bastion

Requisitos previos

En los pasos de este artículo se presupone que dispone de los siguientes requisitos previos:

Valores de ejemplo

Puede usar los siguientes valores de ejemplo al crear esta configuración, o puede sustituirlos por los propios.

Valores básicos de red virtual y máquina virtual

NOMBRE Value
Grupo de recursos TestRG1
Región Este de EE. UU.
Red virtual VNet1
Espacio de direcciones 10.1.0.0/16
Nombre de subred 1: FrontEnd 10.1.0.0/24
nombre de subred 2: AzureBastionSubnet 10.1.1.0/26

Valores de Bastion

NOMBRE Valor
Nombre VNet1-bastion
Nivel o SKU Premium
Recuento de instancias (escalado de host) 2 o superior
Cesión Estática

Implementación de Bastion solo privado

Esta sección encontrará ayuda para implementar Bastion como solo privado en la red virtual.

Importante

Los precios por hora comienzan desde el momento en que se implementa Bastion, independientemente del uso de datos salientes. Para más información, consulte Precios y SKU. Si va a implementar Bastion como parte de un tutorial o prueba, se recomienda eliminar este recurso una vez que haya terminado de usarlo.

  1. Inicie sesión en Azure Portal y vaya a la red virtual. Si aún no tiene una, puede crear una red virtual. Si va a crear una red virtual para este ejercicio, puede crear la AzureBastionSubnet (desde el paso siguiente) al mismo tiempo que crea la red virtual.

  2. Cree la subred a la que se implementarán los recursos de Bastion. En el panel izquierdo, seleccione Subredes:> +Subred para agregar la AzureBastionSubnet.

    • La subred debe ser /26 o superior (por ejemplo, /26, /25 o /24) para admitir las características disponibles con el nivel de SKU Premium.
    • La subred debe tener el nombre AzureBastionSubnet.
  3. Seleccione Guardar al final del panel para guardar los valores.

  4. A continuación, en la página de la red virtual, seleccione Bastion en el panel izquierdo.

  5. En la página Bastion, expanda Opciones de implementación dedicadas (si aparece esa sección). Seleccione el botón Configurar manualmente. Si no selecciona este botón, no podrá ver la configuración necesaria para implementar Bastion como solo privado.

    Captura de pantalla que muestra las opciones de implementación dedicadas para Azure Bastion y el botón para la configuración manual.

  6. En el panel Crear una instancia de Bastion, configure las opciones del host bastión. Los valores Detalles del proyecto se rellenan a partir de los valores de la red virtual.

    En Detalles de la instancia, configure estos valores:

    • Nombre: el nombre que desea usar para el recurso Bastion.

    • Región: la región pública de Azure en la que se creará el recurso. Elija la región donde reside la red virtual.

    • Nivel: debe seleccionar Premium para una implementación solo privada.

    • Recuento de instancias: la configuración para el escalado de host. Configure el escalado de host en incrementos de unidades de escalado. Use el control deslizante o escriba un número para configurar el recuento de instancias que desee. Para obtener más información, consulte Instancias y escalado de hosts y precios de Azure Bastion.

  7. En Configuración de redes virtuales, seleccione la red virtual en la lista desplegable. Si la red virtual no está en la lista desplegable, asegúrese de seleccionar el valor correcto Región en el paso anterior.

  8. La AzureBastionSubnet se rellenará automáticamente si ya la creó en los pasos anteriores.

  9. La sección Configuración de dirección IP es donde se especifica que se trata de una implementación solo privada. Debe seleccionar Dirección IP privada en las opciones.

    Al seleccionar Dirección IP privada, la configuración de dirección IP pública se quitará automáticamente de la pantalla de configuración.

    Captura de pantalla de la configuración de la dirección IP de Azure Bastion.

  10. Si tiene previsto usar ExpressRoute o VPN con Bastion solo privado, vaya a la pestaña Avanzado. Seleccione Conexión basada en IP.

  11. Cuando termine de especificar la configuración, seleccione Revisar y crear. Este paso valida los valores.

  12. Después de pasar la validación de los valores, puede implementar Bastion. Seleccione Crear.

  13. Un mensaje muestra que la implementación está en proceso. El estado aparece en esta página a medida que se crean los recursos. El recurso de Bastion tarda aproximadamente diez minutos en crearse e implementarse.

Pasos siguientes

Para más información sobre los valores de configuración, vea Configuración de Azure Bastion y las Preguntas frecuentes de Azure Bastion.