Sobre as definições de configuração do Bastion
As seções neste artigo discutem os recursos e as configurações do Azure Bastion.
SKUs
Uma SKU também é conhecida como Tier. O Azure Bastion dá suporte a várias camadas de SKU. Ao configurar o Bastion, você seleciona a camada SKU. Você decide a camada de SKU com base nos recursos que deseja usar. A tabela a seguir mostra a disponibilidade de recursos por SKU correspondente.
Caraterística | Desenvolvedor: SKU | SKU Básico | SKU Standard | SKU Premium |
---|---|---|---|---|
Conectar-se a VMs de destino na mesma rede virtual | Sim | Sim | Sim | Sim |
Conectar-se a VMs de destino em redes virtuais emparelhadas | Não | Sim | Sim | Sim |
Suporte para conexões simultâneas | Não | Sim | Sim | Sim |
Acessar chaves privadas de VM do Linux no Cofre de Chaves do Azure (AKV) | Sim | Sim | Sim | Sim |
Conectar-se à VM Linux usando SSH | Sim | Sim | Sim | Sim |
Conectar-se à VM do Windows usando RDP | Sim | Sim | Sim | Sim |
Conectar-se à VM Linux usando RDP | No | No | Sim | Sim |
Conectar-se à VM do Windows usando SSH | No | No | Sim | Sim |
Especificar porta de entrada personalizada | No | No | Sim | Sim |
Conectar-se a VMs usando a CLI do Azure | No | No | Sim | Sim |
Dimensionamento do host | No | No | Sim | Sim |
Carregar ou descarregar ficheiros | No | No | Sim | Sim |
Autenticação Kerberos | Não | Sim | Sim | Sim |
Link compartilhável | No | No | Sim | Sim |
Conectar-se a VMs via endereço IP | No | No | Sim | Sim |
Saída de áudio VM | Sim | Sim | Sim | Sim |
Desativar copiar/colar (clientes baseados na Web) | No | No | Sim | Sim |
Gravação da sessão | No | No | No | Sim |
Implantação somente privada | No | No | No | Sim |
Desenvolvedor: SKU
O Bastion Developer SKU é um SKU leve e gratuito. Essa SKU é ideal para usuários de desenvolvimento/teste que desejam se conectar com segurança a suas VMs, mas não precisam de recursos adicionais de bastião ou dimensionamento de host. Com a SKU do desenvolvedor, você pode se conectar a uma VM do Azure de cada vez diretamente por meio da página de conexão da máquina virtual.
Quando você implanta o Bastion usando a SKU do desenvolvedor, os requisitos de implantação são diferentes de quando você implanta usando outras SKUs. Normalmente, quando você cria um host bastion, um host é implantado na AzureBastionSubnet em sua rede virtual. O host Bastion é dedicado para seu uso. Quando você usa a SKU do desenvolvedor, um host bastion não é implantado em sua rede virtual e você não precisa de uma AzureBastionSubnet. No entanto, o host bastion SKU do desenvolvedor não é um recurso dedicado. Em vez disso, faz parte de uma piscina compartilhada.
Como o recurso bastião do Developer SKU não é dedicado, os recursos do Developer SKU são limitados. Consulte a seção SKU de definições de configuração Bastion para obter os recursos listados por SKU. Você sempre pode atualizar o SKU do desenvolvedor para um SKU mais alto se precisar suportar mais recursos. Consulte Atualizar uma SKU.
O SKU do desenvolvedor está atualmente disponível nas seguintes regiões:
- E.U.A. Central - EUAP
- E.U.A. Leste 2 - EUAP
- E.U.A. Centro-Oeste
- E.U.A. Centro-Norte
- E.U.A. Oeste
- Europa do Norte
Nota
Atualmente, o emparelhamento de VNet não é suportado para a SKU do desenvolvedor.
SKU Premium
O Premium SKU é um novo SKU que suporta recursos de Bastion, como Gravação de Sessão e Bastion Apenas Privado. Ao implantar o Bastion, recomendamos que você selecione o SKU Premium somente se precisar dos recursos suportados.
Especificar SKU
Método | Valor de SKU | Ligações |
---|---|---|
Portal do Azure | Tier - Desenvolvedor | Início rápido |
Portal do Azure | Nível - Básico | Início rápido |
Portal do Azure | Nível - Básico ou superior | Tutorial |
Azure PowerShell | Nível - Básico ou superior | Como fazer |
CLI do Azure | Nível - Básico ou superior | Como fazer |
Atualizar uma SKU
Você sempre pode atualizar um SKU para adicionar mais recursos. Para obter mais informações, consulte Atualizar uma SKU.
Nota
Não é suportado mudar para uma versão anterior de um SKU. Para fazer downgrade, você deve excluir e recriar o Azure Bastion.
Sub-rede do Azure Bastion
Importante
Para recursos do Azure Bastion implantados em ou após 2 de novembro de 2021, o tamanho mínimo do AzureBastionSubnet é /26 ou maior (/25, /24, etc.). Todos os recursos do Azure Bastion implantados em sub-redes de tamanho /27 antes dessa data não são afetados por essa alteração e continuarão a funcionar, mas é altamente recomendável aumentar o tamanho de qualquer AzureBastionSubnet existente para /26 caso você opte por aproveitar o dimensionamento de host no futuro.
Quando você implanta o Azure Bastion usando qualquer SKU, exceto a SKU do desenvolvedor, o Bastion requer uma sub-rede dedicada chamada AzureBastionSubnet. Você deve criar essa sub-rede na mesma rede virtual na qual deseja implantar o Azure Bastion. A sub-rede deve ter a seguinte configuração:
- O nome da sub-rede deve ser AzureBastionSubnet.
- O tamanho da sub-rede deve ser /26 ou maior (/25, /24 etc.).
- Para o dimensionamento do host, recomenda-se uma sub-rede /26 ou maior. O uso de um espaço de sub-rede menor limita o número de unidades de escala. Para obter mais informações, consulte a seção Dimensionamento de host deste artigo.
- A sub-rede deve estar na mesma rede virtual e grupo de recursos que o host bastião.
- A sub-rede não pode conter outros recursos.
Você pode definir essa configuração usando os seguintes métodos:
Método | Value | Ligações |
---|---|---|
Portal do Azure | Sub-rede | Início rápido Tutorial |
Azure PowerShell | -subnetName | cmdlet |
CLI do Azure | --nome da sub-rede | comando |
Endereço IP público
As implantações do Azure Bastion, exceto SKU do desenvolvedor e somente privado, exigem um endereço IP público. O IP público deve ter a seguinte configuração:
- O endereço IP público SKU deve ser padrão.
- O método de atribuição/alocação de endereços IP públicos deve ser estático.
- O nome do endereço IP público é o nome do recurso pelo qual você deseja se referir a esse endereço IP público.
- Você pode optar por usar um endereço IP público que já criou, desde que ele atenda aos critérios exigidos pelo Azure Bastion e ainda não esteja em uso.
Você pode definir essa configuração usando os seguintes métodos:
Método | Value | Ligações |
---|---|---|
Portal do Azure | Endereço IP público | Portal do Azure |
Azure PowerShell | -PublicIpAddress | cmdlet |
CLI do Azure | --public-ip criar | comando |
Instâncias e dimensionamento de host
Uma instância é uma VM otimizada do Azure que é criada quando você configura o Azure Bastion. Ele é totalmente gerenciado pelo Azure e executa todos os processos necessários para o Azure Bastion. Uma instância também é chamada de unidade de escala. Você se conecta a VMs de cliente por meio de uma instância do Azure Bastion. Quando você configura o Azure Bastion usando a SKU Básica, duas instâncias são criadas. Se você usar a SKU padrão ou superior, poderá especificar o número de instâncias (com um mínimo de duas instâncias). Isso é chamado de escala de host.
Cada instância pode dar suporte a 20 conexões RDP simultâneas e 40 conexões SSH simultâneas para cargas de trabalho médias (consulte Limites de assinatura e cotas do Azure para obter mais informações). O número de conexões por instâncias depende das ações que você está executando quando conectado à VM cliente. Por exemplo, se você estiver fazendo algo com uso intensivo de dados, isso criará uma carga maior para a instância processar. Uma vez que as sessões simultâneas são excedidas, outra unidade de escala (instância) é necessária.
As instâncias são criadas na AzureBastionSubnet. Para permitir o dimensionamento do host, a AzureBastionSubnet deve ser /26 ou maior. O uso de uma sub-rede menor limita o número de instâncias que você pode criar. Para obter mais informações sobre o AzureBastionSubnet, consulte a seção de sub-redes neste artigo.
Você pode definir essa configuração usando os seguintes métodos:
Método | Value | Ligações | Requer SKU padrão ou superior |
---|---|---|---|
Portal do Azure | Contagem de instâncias | Como fazer | Sim |
Azure PowerShell | ScaleUnit | Como fazer | Sim |
Portas personalizadas
Você pode especificar a porta que deseja usar para se conectar às suas VMs. Por padrão, as portas de entrada usadas para se conectar são 3389 para RDP e 22 para SSH. Se você configurar um valor de porta personalizado, especifique esse valor quando se conectar à VM.
Os valores de porta personalizados são suportados apenas para o SKU padrão ou superior.
Link compartilhável
O recurso Bastion Shareable Link permite que os usuários se conectem a um recurso de destino usando o Azure Bastion sem acessar o portal do Azure.
Quando um usuário sem credenciais do Azure clica em um link compartilhável, uma página da Web é aberta solicitando que o usuário entre no recurso de destino via RDP ou SSH. Os usuários se autenticam usando nome de usuário e senha ou chave privada, dependendo do que você configurou no portal do Azure para esse recurso de destino. Os usuários podem se conectar aos mesmos recursos aos quais você pode se conectar atualmente com o Azure Bastion: VMs ou conjunto de dimensionamento de máquina virtual.
Método | Value | Ligações | Requer SKU padrão ou superior |
---|---|---|---|
Portal do Azure | Ligação Partilhável | Configurar | Sim |
Implantação somente privada
As implantações de Bastion somente privadas bloqueiam cargas de trabalho de ponta a ponta criando uma implantação não roteável pela Internet do Bastion que permite apenas acesso a endereços IP privados. As implantações Bastion somente privadas não permitem conexões com o host bastion por meio de endereço IP público. Por outro lado, uma implantação regular do Azure Bastion permite que os usuários se conectem ao host bastion usando um endereço IP público. Para obter mais informações, consulte Implantar Bastion como somente privado.
Gravação da sessão
Quando o recurso de gravação de Sessão Bastion do Azure está habilitado, você pode gravar as sessões gráficas para conexões feitas com máquinas virtuais (RDP e SSH) por meio do host bastion. Depois que a sessão é fechada ou desconectada, as sessões gravadas são armazenadas em um contêiner de blob dentro da sua conta de armazenamento (via URL SAS). Quando uma sessão é desconectada, você pode acessar e exibir suas sessões gravadas no portal do Azure na página Gravação da Sessão. A gravação da sessão requer o Bastion Premium SKU. Para obter mais informações, consulte Gravação de sessão Bastion.
Zonas de disponibilidade
Algumas regiões oferecem suporte à capacidade de implantar o Azure Bastion em uma zona de disponibilidade (ou várias, para redundância de zona). Para implantar zonalmente, implante o Bastion usando configurações especificadas manualmente (não implante usando as configurações padrão automáticas). Especifique as zonas de disponibilidade desejadas no momento da implantação. Não é possível alterar a disponibilidade zonal após a implantação do Bastion.
O suporte para zonas de disponibilidade está atualmente em pré-visualização. Durante a visualização, as seguintes regiões estão disponíveis:
- E.U.A. Leste
- Leste da Austrália
- E.U.A. Leste 2
- E.U.A. Central
- Catar Central
- Norte da África do Sul
- Europa Ocidental
- E.U.A. Oeste 2
- Europa do Norte
- Suécia Central
- Sul do Reino Unido
- Canadá Central
Próximos passos
Para perguntas frequentes, consulte as Perguntas frequentes do Bastião do Azure.