Como funciona o Azure Bastion?

  • 5 minutos

Uma implantação do Azure Bastion é feita por rede virtual ou rede virtual emparelhada. Ela não é por assinatura, conta ou VM (máquina virtual). Depois que você provisiona um serviço do Azure Bastion em sua rede virtual, a experiência de RDP ou SSH fica disponível para todas as suas VMs na mesma rede virtual.

O diagrama a seguir mostra uma visão geral de como o Azure Bastion funciona ao se conectar por meio do portal:

  1. Você se conecta a uma VM no portal do Azure: No portal do Azure, na página de visão geral da VM, selecione Conectar>Bastion>Usar o Bastion e, em seguida, insira suas credenciais para a VM.
  2. O navegador se conecta ao host do Azure Bastion: O navegador se conecta ao Azure Bastion pela Internet usando o protocolo TLS e o IP público do Azure Bastion host. O Gerenciador de Gateway do Azure gerencia conexões do portal com o serviço do Azure Bastion na porta 443 ou 4443.
  3. O Bastion se conecta à VM usando RDP ou SSH: O Azure Bastion é implantado em uma sub-rede separada chamada AzureBastionSubnet dentro da rede virtual. Você cria a sub-rede ao implantar o Azure Bastion. Ela pode ter espaços de endereço com uma máscara de sub-rede /26 ou maior. Não implante outros recursos do Azure nem altere o nome da sub-rede.
  4. O Bastion transmite a VM para o navegador: O Azure Bastion usa um cliente da Web baseado em HTML5 que é transmitido automaticamente para seu dispositivo local. O serviço do Azure Bastion cria pacotes com as informações da sessão usando um protocolo personalizado. Os pacotes são transmitidos por TLS.

Verificar se o Azure Bastion funciona com seu grupo de segurança de rede

Se você não implantou nem configurou um grupo de segurança de rede específico para sua organização, não precisa fazer nada. O Azure Bastion funciona com o grupo de segurança de rede padrão criado com as VMs.

Se você tem um grupo de segurança de rede configurado para sua organização, verifique se o Azure Bastion pode se conectar às suas VMs por meio de RDP ou SSH. Recomendamos que você adicione uma regra de entrada que permita conexões RDP e SSH por meio do intervalo de endereços IP da sub-rede do Azure Bastion com suas VMs.

Para que o Azure Bastion funcione, o grupo de segurança de rede precisa permitir o tráfego a seguir:

Direção Allow
Entrada Conexões RDP e SSH por meio do intervalo de endereços IP da sub-rede do Azure Bastion com a sub-rede da VM.
Entrada Acesso TCP da Internet na porta 443 para o IP público do Azure Bastion.
Entrada Acesso TCP do Gerenciador de Gateway do Azure nas portas 443 ou 4443. O Gerenciador de Gateway do Azure gerencia conexões do portal com o serviço do Azure Bastion.
Saída Acesso TCP da plataforma do Azure na porta 443. Esse tráfego é usado para log de diagnósticos.

Implantar um Azure Bastion host no portal do Azure

Para implantar o Azure Bastion, você precisa de uma rede virtual. Você pode usar uma rede virtual existente ou implantar o Azure Bastion enquanto cria uma rede. Crie uma sub-rede na rede virtual chamada AzureBastionSubnet. Se você tem uma VM que está na mesma rede ou em uma rede virtual emparelhada, conclua a implantação no portal do Azure selecionando o Azure Bastion ao se conectar à VM.

As duas seções abaixo mostram as etapas envolvidas em cada uma das opções de implantação do Azure Bastion no portal do Azure. Você ainda não precisa executar nenhuma dessas etapas, já que isso será feito no próximo exercício.

Habilitar o Azure Bastion ao criar uma rede virtual

Se você ainda não tem uma rede virtual que deseja usar para o Azure Bastion, crie uma rede e habilite o Azure Bastion na guia Segurança.

Captura de tela da guia Segurança, que permite habilitar e configurar o Azure Bastion host no fluxo de trabalho de criação de uma rede virtual.

  1. Selecione Habilitar e nomeie o Azure Bastion host.
  2. Adicione um endereço de sub-rede com uma máscara /26 ou maior.
  3. Se você ainda não tem um endereço IP público que deseja usar, selecione Criar.
  4. Após criar a rede virtual, adicione VMs a essa rede virtual ou emparelhe essa rede virtual com a rede virtual que contém suas VMs.

Adicionar a sub-rede a uma rede virtual existente e provisionar recursos do Azure Bastion

Em sua rede virtual existente, adicione uma sub-rede chamada AzureBastionSubnet.

Captura de tela da página para adicionar uma sub-rede, com o nome AzureBastionSubnet.

Para provisionar o Azure Bastion: no portal da VM, selecione Conectar>Bastion>Configurar manualmente. Nomeie o recurso do Azure Bastion, selecione a sub-rede, crie um IP público e assim por diante. Após a implantação do Azure Bastion, você pode se conectar à VM.

Captura de tela da página Criar um Bastião com campos preenchidos por padrão, como nome do recurso do Azure Bastion, sub-rede e criação de endereço IP público.

Implantar o Azure Bastion usando o Azure PowerShell ou a CLI do Azure

Para usar o Azure PowerShell ou a CLI do Azure a fim de implantar o Azure Bastion, execute comandos para criar os seguintes recursos:

  • Sub-rede
  • IP público
  • Recurso do Azure Bastion

As seções a seguir mostram exemplos que podem ser usados para implantar o Azure Bastion.

Usar o Azure PowerShell para implantar o Azure Bastion

  1. Crie a sub-rede do Azure Bastion usando o cmdlet New-AzVirtualNetworkSubnetConfig e, a seguir, adicione a sub-rede à sua rede virtual existente usando Add-AzVirtualNetworkSubnetConfig. Por exemplo, o seguinte comando pressupõe que você já tenha uma rede virtual:

    $subnetName = "AzureBastionSubnet"
$virtualNetwork = MyVirtualNetwork
$addressPrefix = "10.0.2.0/24"
$subnet = New-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName ` 
-AddressPrefix $addressPrefix `

Add-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName `
-VirtualNetwork $virtualNetwork `
-AddressPrefix $addressprefix

  2. Crie um endereço IP público para o Azure Bastion. O Azure Bastion usa o endereço IP público para permitir a conectividade RDP/SSH na porta 443. O endereço IP público deve estar na mesma região que o recurso do Azure Bastion.

    $publicip = New-AzPublicIpAddress `
-ResourceGroupName "myBastionRG" `
-name "myPublicIP" `
-location "westus2" `
-AllocationMethod Static `
-Sku Standard

  3. Crie um recurso do Azure Bastion na sub-rede chamada AzureBastionSubnet de sua rede virtual.

    $bastion = New-AzBastion `
-ResourceGroupName "myBastionRG" `
-Name "myBastion" `
-PublicIpAddress $publicip `
-VirtualNetwork $virtualNetwork

Usar a CLI do Azure para implantar o Azure Bastion

  1. Crie a sub-rede do Azure Bastion:

    az network vnet subnet create \
  --resource-group myBastionRG \
  --vnet-name MyVirtualNetwork \
  --name AzureBastionSubnet \
  --address-prefixes 10.0.2.0/24

  2. Crie um endereço IP público para o Azure Bastion:

    az network public-ip create \
  --resource-group MyResourceGroup \
  --name MyPublicIp \
  --sku Standard \
  --location westus2

  3. Crie um recurso do Azure Bastion:

    az network bastion create \
  --name MyBastion \
  --public-ip-address MyPublicIp \
  --resource-group MyResourceGroup \
  --vnet-name MyVnet \
  --location westus2

Conectar-se a VMs usando o Azure Bastion

Com os recursos necessários em mãos, você deve conseguir se conectar às VMs na mesma rede virtual ou em uma rede emparelhada. No portal do Azure na VM, selecione Bastion e insira suas credenciais.

Captura de tela da página Conectar usando o Azure Bastion, com solicitação de nome de usuário e tipo de autenticação.

Na próxima unidade, você seguirá as etapas para implantar o Azure Bastion em uma rede virtual existente.