Configurar gravação de sessão Bastion
Este artigo ajuda você a configurar a gravação de sessão do Bastion. Quando o recurso de gravação de sessão do Azure Bastion estiver habilitado, você poderá gravar as sessões gráficas para conexões feitas com máquinas virtuais (RDP e SSH) por meio do bastion host. Depois que a sessão é fechada ou desconectada, as sessões gravadas são armazenadas em um contêiner de blob em sua conta de armazenamento (por meio da URL SAS). Quando uma sessão é desconectada, você pode acessar e exibir suas sessões gravadas no portal do Azure na página Gravação de sessão. A gravação de sessão requer o SKU do Bastion Premium.
Antes de começar
As seções a seguir descrevem considerações, limitações e pré-requisitos para gravação de sessão do Bastion.
Considerações e limitações
- O SKU Premium é necessário para esse recurso.
- A gravação de sessão não está disponível por meio do cliente nativo no momento.
- A gravação de sessão dá suporte a uma conta de contêiner/armazenamento por vez.
- Quando a gravação de sessão é habilitada em um host de bastiões, o Bastion registra TODAS as sessões que passam pelo host de bastion habilitado para gravação.
Pré-requisitos
- O Azure Bastion é implantado em sua rede virtual. Consulte Tutorial - Implantar o Bastion usando as configurações especificadas para ver as etapas.
- O Bastion deve ser configurado para usar o SKU Premium para esse recurso. Você pode atualizar para o SKU Premium de um SKU inferior ao configurar o recurso de gravação de sessão. Para verificar sua SKU e atualizar, se necessário, consulte Exibir ou atualizar um SKU.
- A máquina virtual à qual você se conecta deve ser implantada na rede virtual que contém o bastion host ou em uma rede virtual que esteja diretamente emparelhada com a rede virtual do Bastion.
Habilitar gravação de sessão
Você pode habilitar a gravação de sessão ao criar um novo recurso de bastion host ou configurá-lo posteriormente, depois de implantar o Bastion.
Etapas para novas implantações do Bastion
Ao configurar e implantar manualmente um bastion host, você pode especificar a camada de SKU e os recursos no momento da implantação. Para obter etapas abrangentes para implantar o Bastion, consulte Implantar o Bastion usando as configurações especificadas.
- No portal do Azure, selecione Criar um recurso.
- Pesquise por Azure Bastion e selecione Criar.
- Preencha os valores usando as configurações manuais, não se esqueça de selecionar o SKU Premium.
- Na guia Avançado, selecione Gravação de Sessão para habilitar o recurso de gravação de sessão.
- Examine seus detalhes e selecione Criar. O Bastion imediatamente começa a criar seu bastion host. Esse processo leva cerca de 10 minutos para ser concluído.
Etapas para implantações existentes do Bastion
Se você já implantou o Bastion, use as etapas a seguir para habilitar a gravação de sessão.
- No portal do Azure, acesse o seu recurso do Bastion.
- Na página do Bastion, no painel à esquerda, selecione Configuração.
- Na página Configuração, para Camada, selecione Premium, caso não esteja selecionado. Esse recurso requer o SKU Premium.
- Selecione Gravação de Sessão (Versão Prévia) dos recursos listados.
- Escolha Aplicar. O Bastion imediatamente começa a atualizar as configurações do seu bastion host. As atualizações levam cerca de 10 minutos.
Configurar o contêiner da conta de armazenamento
Nesta seção, você configura e especifica o contêiner para gravações de sessão.
Crie uma conta de armazenamento em seu grupo de recursos. Para obter etapas, consulte Criar uma conta de armazenamento e conceder acesso limitado aos recursos do Armazenamento do Azure usando SAS (assinaturas de acesso compartilhado).
Na conta de armazenamento, crie um Contêiner. Esse é o contêiner que você usará para armazenar suas gravações de sessão do Bastion. Recomendamos que você crie um contêiner exclusivo para gravações de sessão. Confira as etapas em Criar um contêiner.
Na página da sua conta de armazenamento, no painel esquerdo, expanda Configurações. Selecione Habilitar o Compartilhamento de Recursos (CORS).
Crie uma nova política no serviço Blob e salve suas alterações na parte superior da página.
Nome | Valor |
---|---|
Origens permitidas | https:// seguido pelo nome DNS completo do seu bastião, começando com bst- . Tenha em mente que esses valores diferenciam maiúsculas de minúsculas. |
Métodos permitidos | GET |
Cabeçalhos permitidos | * |
Cabeçalhos expostos | * |
Idade máxima | 86400 |
Adicionar ou atualizar a URL SAS
Para configurar gravações de sessão, você deve adicionar uma URL SAS à configuração de gravações da Sessão do Bastion. Nesta seção, você gera a URL SAS do Blob do contêiner e, em seguida, carrega-a no bastion host.
As etapas a seguir ajudam você a definir as configurações necessárias diretamente na página Gerar SAS. No entanto, opcionalmente, você pode definir algumas das configurações criando uma política de acesso armazenada. Em seguida, você pode vincular a política de acesso armazenado ao token SAS na página Gerar SAS. Se você quiser criar uma política de acesso armazenada, selecione Permissões e Data e hora de início/expiração na política de acesso ou na página Gerar SAS.
- Na página da sua conta de armazenamento, vá para Armazenamento de Dados -> Contêineres.
- Localize o contêiner que você criou para armazenar gravações de sessão do Bastion e clique nos três nós (reticências) à direita do contêiner e selecione Gerar SAS na lista suspensa.
- Na página Gerar SAS, para Permissões, selecione LER, CRIAR, GRAVAR, LISTAR.
- Para data/hora de início e expiração, use as seguintes recomendações:
- Defina a hora de início como pelo menos 15 minutos antes da hora atual.
- Defina o tempo de expiração para um futuro distante.
- Em Protocolos Permitidos, selecione somente HTTPS.
- Clique em Gerar token SAS e URL. Você verá o token SAS de Blob e a URL SAS de Blob gerados na parte inferior da página.
- Copie a URL SAS do blob.
- Vá para o bastion host. No painel esquerdo, selecione Gravações de sessão.
- Na parte superior da página, selecione Adicionar ou atualizar a URL SAS. Cole a URL SAS e clique em Carregar.
Exibir uma gravação
As sessões são gravadas automaticamente quando a Gravação de Sessão é habilitada no bastion host. Você pode exibir gravações no portal do Azure por meio de um web player integrado.
- No portal do Azure, navegue até o seu bastion host.
- No painel esquerdo, em Configurações, selecione Gravações de sessão.
- A URL SAS já deve estar configurada (anteriormente neste exercício). No entanto, se a URL SAS expirou ou você precisar adicionar a URL SAS, use as etapas anteriores para adquirir e carregar a URL SAS do blob.
- Selecione a VM e o link de gravação que você deseja exibir e selecione Exibir gravação.
Próximas etapas
Exiba as perguntas frequentes do Bastion para obter informações adicionais sobre o Bastion.