Configuración de la grabación de sesiones de Bastion
Este artículo le ayudará a configurar la grabación de sesiones de Bastion. Cuando la característica de grabación de sesiones de Azure Bastion está habilitada, puede grabar las sesiones gráficas para las conexiones realizadas a máquinas virtuales (RDP y SSH) a través del host bastión. Una vez cerrada o desconectada la sesión, las sesiones grabadas se almacenan en un contenedor de blobs que se encuentra en su cuenta de almacenamiento (a través de la dirección URL de SAS). Cuando se desconecta una sesión, puede acceder a las sesiones grabadas y verlas en Azure Portal desde la página Grabación de sesión. La grabación de sesiones requiere la SKU de Bastion Premium.
Antes de empezar
En las secciones siguientes se describen las consideraciones, las limitaciones y los requisitos previos para la grabación de sesiones de Bastion.
Consideraciones y limitaciones
- Esta característica requiere la SKU Premium.
- La grabación de sesiones no está disponible a través de un cliente nativo en este momento.
- La grabación de sesiones admite una cuenta de almacenamiento o contenedor a la vez.
- Cuando la grabación de sesiones está habilitada en un host bastión, Bastion registra todas las sesiones que pasan por el host bastión habilitado para grabación.
Requisitos previos
- Azure Bastion se implementa en la red virtual. Consulte Tutorial: Implementación de Bastion mediante la configuración especificada.
- Bastion debe configurarse para usar la SKU Premium para esta característica. Puede actualizar a la SKU Premium desde una SKU inferior al configurar la característica de grabación de sesiones. Para comprobar la SKU y la actualización, si es necesario, consulte Visualización o actualización de una SKU.
- La máquina virtual a la que se conecta debe implementarse en la red virtual que contiene el host bastión o en una red virtual que esté emparejada directamente con la red virtual de Bastion.
Habilitación de la grabación de sesiones
Puede habilitar la grabación de sesiones al crear un nuevo recurso de host bastión o configurarlo más adelante después de implementar Bastion.
Pasos para nuevas implementaciones de Bastion
Al configurar e implementar manualmente un host bastión, puede especificar el nivel de SKU y las características en el momento de la implementación. Para ver los pasos completos para implementar Bastion, consulte Implementación de Bastion mediante la configuración especificada.
- En Azure Portal, seleccione Crear un recurso.
- Busque Azure Bastion y seleccione Crear.
- Rellene los valores mediante la configuración manual y asegúrese de seleccionar la SKU Premium.
- En la pestaña Opciones avanzadas, seleccione Grabación de sesiones para habilitar esta característica.
- Revise los detalles y seleccione Crear. Bastion comienza inmediatamente a crear el host bastión. Este proceso tarda unos 10 minutos en completarse.
Pasos para las implementaciones de Bastion existentes
Si ya ha implementado Bastion, siga estos pasos para habilitar la grabación de sesiones.
- En Azure Portal, vaya al recurso de Bastion.
- En la página de Bastion, en el panel izquierdo, seleccione Configuración.
- En la página Configuración, en Nivel, seleccione Premium si aún no aparece seleccionado. Esta característica requiere el SKU Premium.
- Seleccione Grabación de sesiones (versión preliminar) en las características mostradas.
- Seleccione Aplicar. Bastion comenzará inmediatamente a actualizar la configuración de su host bastión. Las actualizaciones tardan unos 10 minutos.
Configuración del contenedor de cuenta de almacenamiento
En esta sección, va a configurar y especificar el contenedor para las grabaciones de sesiones.
Cree una cuenta de almacenamiento en un nuevo grupo de recursos: Para conocer los pasos, consulte Creación de una cuenta de almacenamiento y Concesión de acceso limitado a los recursos de Azure Storage mediante firmas de acceso compartido (SAS).
Cree un Contenedor en la cuenta de almacenamiento. Este es el contenedor que usará para almacenar las grabaciones de sesión de Bastion. Se recomienda crear un contenedor exclusivo para las grabaciones de sesión. Consulte Creación de un contenedor para ver los pasos.
En la página de la cuenta de almacenamiento, en el panel izquierdo, expanda Configuración. Seleccione Uso compartido de recursos (CORS).
Cree una nueva directiva en Blob service y guarde los cambios en la parte superior de la página.
NOMBRE | Valor |
---|---|
Orígenes permitidos | https:// seguido del nombre DNS completo de su bastión, empezando por bst- . Tenga en cuenta que estos valores distinguen mayúsculas de minúsculas. |
Métodos permitidos | GET |
Encabezados permitidos | * |
Encabezados expuestos | * |
Antigüedad máxima | 86400 |
Adición o actualización de la dirección URL de SAS
Para configurar las grabaciones de sesión, debe agregar una dirección URL de SAS a la configuración de grabaciones de sesiones de Bastion. En esta sección, va a generar la dirección URL de SAS de blobs desde el contenedor y, a continuación, la cargará en el host bastión.
Los pasos siguientes le ayudarán a configurar las opciones necesarias directamente en la página Generar SAS. Sin embargo, opcionalmente, puede configurar algunas de las opciones mediante la creación de una directiva de acceso almacenada. A continuación, puede vincular la directiva de acceso almacenada al token de SAS en la página Generar SAS. Si quiere crear una directiva de acceso almacenada, seleccione Permisos y Fecha y hora de inicio y expiración en la directiva de acceso o en la página Generar SAS.
- En la página de la cuenta de almacenamiento, vaya a Almacenamiento de datos:> contenedores.
- Busque el contenedor que creó para almacenar las grabaciones de sesiones de Bastion y, a continuación, haga clic en los tres puntos (puntos suspensivos) situados a la derecha del contenedor y seleccione Generar SAS en la lista desplegable.
- En la página Generar SAS, en Permisos, seleccione READ, CREATE, WRITE, LIST.
- En Fecha y hora de inicio y expiración, use las siguientes recomendaciones:
- Establezca la hora de inicio en al menos 15 minutos antes de la hora actual.
- Establezca la hora de expiración para que sea muy lejana.
- En Protocolos permitidos, seleccione HTTPS solo.
- Haga clic en Generar URL y token de SAS. Verá el token de SAS de blob y la dirección URL de SAS de blob generados en la parte inferior de la página.
- Copie la información de URL de SAS de Blob.
- Vaya al host bastión. En el panel izquierdo, seleccione Grabaciones de sesiones.
- En la parte superior de la página, seleccione Agregar o actualizar la dirección URL de SAS. Pegue la dirección URL de SAS y haga clic en Cargar.
Visualización de una grabación
Las sesiones se graban automáticamente cuando la grabación de sesiones está habilitada en el host bastión. Puede ver las grabaciones en Azure Portal con un reproductor web integrado.
- En Azure Portal, vaya al host bastión.
- En el panel izquierdo, en Configuración, seleccione Grabaciones de sesiones.
- La dirección URL de SAS ya debe estar configurada (anteriormente en este ejercicio). Sin embargo, si la dirección URL de SAS ha expirado o necesita agregarla, siga los pasos anteriores para adquirir y cargar la dirección URL de SAS de Blob.
- Seleccione la máquina virtual y el vínculo de grabación que desea ver y, a continuación, seleccione Ver grabación.
Pasos siguientes
Para más información sobre Bastion, consulte las Preguntas frecuentes sobre Bastion.