Compartilhar via


Configurar o Bastion para conexões de cliente nativo

Este artigo ajuda você a configurar a implantação do Bastion para aceitar conexões do cliente nativo (SSH ou RDP) em seu computador local. O recurso de cliente nativo permite que você se conecte às suas VMs de destino via Bastion usando a CLI do Azure e expande suas opções de logon para incluir o par de chaves SSH local e o Microsoft Entra ID. Além disso, você também pode carregar ou baixar arquivos, dependendo do tipo de conexão e cliente.

Diagrama mostrando um exemplo de conexão por meio do computador cliente.

Você pode configurar esse recurso modificando uma implantação existente do Bastion ou pode implantar o Bastion com a configuração de recurso já especificada. Ao se conectar por meio do cliente nativo, os recursos na VM dependem do que está habilitado no cliente nativo.

Observação

Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso depois de terminar de usá-lo.

Implantar o Bastion com o recurso de cliente nativo

Se você ainda não implantou o Bastion na VNet, pode implantar com o recurso de cliente nativo especificado ao implantar o Bastion usando as configurações manuais. Para obter as etapas, confira Tutorial – Implantar o Bastion com as configurações manuais. Ao implantar o Bastion, especifique as seguintes configurações:

  1. Na guia Básico, em Detalhes da Instância> – Camada, selecione Standard. O suporte ao cliente nativo requer o SKU Standard.

  2. Antes de criar o bastion host, vá para a guia Avançado e marque a caixa Suporte ao Cliente Nativo, juntamente com as caixas de seleção de outros recursos que você deseja implantar.

    Captura de tela que mostra as configurações de um novo bastion host com a caixa Suporte ao Cliente Nativo selecionada.

  3. Selecione Examinar + criar para validar e selecione Criar para implantar o bastion host.

Modificar uma implantação existente do Bastion

Se você já tiver implantado o Bastion na VNet, modifique as seguintes configurações:

  1. Navegue até a página Configuração do seu recurso do Bastion. Verifique se a Camada de SKU é Standard. Caso contrário, selecione Standard.
  2. Selecione a caixa Suporte ao Cliente Nativo e aplique as alterações.

Proteger sua conexão de cliente nativo

Se desejar proteger ainda mais sua conexão de cliente nativo, você poderá limitar o acesso à porta fornecendo acesso somente à porta 22/3389. Para restringir o acesso à porta, você deve implantar as seguintes regras de NSG em seu AzureBastionSubnet para permitir o acesso a portas selecionadas e negar o acesso de qualquer outra porta.

Captura de tela que mostra as configurações de NSG.

Conectando-se a VMs

Depois de implantar esse recurso, há diferentes instruções de conexão, dependendo do computador host do qual você está se conectando e da VM cliente à qual você está se conectando.

Use a tabela a seguir para entender como se conectar a partir de clientes nativos. Observe que diferentes combinações com suporte de VMs nativas de cliente e de destino permitem diferentes recursos e exigem comandos específicos.

Cliente VM de destino Método autenticação do Microsoft Entra Transferência de arquivos Sessões de VM simultâneas Porta personalizada
Cliente nativo do Windows VM Windows RDP Sim Upload/Download Sim Sim
VM Linux SSH Sim Não Sim Sim
Qualquer VM az network bastion tunnel Não Upload Não Não
Cliente nativo do Linux VM Linux SSH Sim Não Sim Sim
Windows ou qualquer VM az network bastion tunnel Não Upload Não Não
Outro cliente nativo (putty) Qualquer VM az network bastion tunnel Não Upload Não Não

Limitações:

  • Não há suporte para entrar usando uma chave privada SSH armazenada no Azure Key Vault com esse recurso. Antes de entrar em uma VM do Linux usando um par de chaves SSH, baixe sua chave privada em um arquivo em seu computador local.
  • A conexão por meio de um cliente nativo não é compatível com o Cloud Shell.

Próximas etapas