Partilhar via


Sobre as definições de configuração do Bastion

As seções neste artigo discutem os recursos e as configurações do Azure Bastion.

SKUs

Uma SKU também é conhecida como Tier. O Azure Bastion dá suporte a várias camadas de SKU. Ao configurar o Bastion, você seleciona a camada SKU. Você decide a camada de SKU com base nos recursos que deseja usar. A tabela a seguir mostra a disponibilidade de recursos por SKU correspondente.

Caraterística Desenvolvedor: SKU SKU Básico SKU Standard SKU Premium
Conectar-se a VMs de destino na mesma rede virtual Sim Sim Sim Sim
Conectar-se a VMs de destino em redes virtuais emparelhadas Não Sim Sim Sim
Suporte para conexões simultâneas Não Sim Sim Sim
Acessar chaves privadas de VM do Linux no Cofre de Chaves do Azure (AKV) Sim Sim Sim Sim
Conectar-se à VM Linux usando SSH Sim Sim Sim Sim
Conectar-se à VM do Windows usando RDP Sim Sim Sim Sim
Conectar-se à VM Linux usando RDP No No Sim Sim
Conectar-se à VM do Windows usando SSH No No Sim Sim
Especificar porta de entrada personalizada No No Sim Sim
Conectar-se a VMs usando a CLI do Azure No No Sim Sim
Dimensionamento do host No No Sim Sim
Carregar ou descarregar ficheiros No No Sim Sim
Autenticação Kerberos Não Sim Sim Sim
Link compartilhável No No Sim Sim
Conectar-se a VMs via endereço IP No No Sim Sim
Saída de áudio VM Sim Sim Sim Sim
Desativar copiar/colar (clientes baseados na Web) No No Sim Sim
Gravação da sessão No No No Sim
Implantação somente privada No No No Sim

Desenvolvedor: SKU

O Bastion Developer SKU é um SKU leve e gratuito. Essa SKU é ideal para usuários de desenvolvimento/teste que desejam se conectar com segurança a suas VMs, mas não precisam de recursos adicionais de bastião ou dimensionamento de host. Com a SKU do desenvolvedor, você pode se conectar a uma VM do Azure de cada vez diretamente por meio da página de conexão da máquina virtual.

Quando você implanta o Bastion usando a SKU do desenvolvedor, os requisitos de implantação são diferentes de quando você implanta usando outras SKUs. Normalmente, quando você cria um host bastion, um host é implantado na AzureBastionSubnet em sua rede virtual. O host Bastion é dedicado para seu uso. Quando você usa a SKU do desenvolvedor, um host bastion não é implantado em sua rede virtual e você não precisa de uma AzureBastionSubnet. No entanto, o host bastion SKU do desenvolvedor não é um recurso dedicado. Em vez disso, faz parte de uma piscina compartilhada.

Como o recurso bastião do Developer SKU não é dedicado, os recursos do Developer SKU são limitados. Consulte a seção SKU de definições de configuração Bastion para obter os recursos listados por SKU. Você sempre pode atualizar o SKU do desenvolvedor para um SKU mais alto se precisar suportar mais recursos. Consulte Atualizar uma SKU.

O SKU do desenvolvedor está atualmente disponível nas seguintes regiões:

  • E.U.A. Central - EUAP
  • E.U.A. Leste 2 - EUAP
  • E.U.A. Centro-Oeste
  • E.U.A. Centro-Norte
  • E.U.A. Oeste
  • Europa do Norte

Nota

Atualmente, o emparelhamento de VNet não é suportado para a SKU do desenvolvedor.

SKU Premium

O Premium SKU é um novo SKU que suporta recursos de Bastion, como Gravação de Sessão e Bastion Apenas Privado. Ao implantar o Bastion, recomendamos que você selecione o SKU Premium somente se precisar dos recursos suportados.

Especificar SKU

Método Valor de SKU Ligações
Portal do Azure Tier - Desenvolvedor Início rápido
Portal do Azure Nível - Básico Início rápido
Portal do Azure Nível - Básico ou superior Tutorial
Azure PowerShell Nível - Básico ou superior Como fazer
CLI do Azure Nível - Básico ou superior Como fazer

Atualizar uma SKU

Você sempre pode atualizar um SKU para adicionar mais recursos. Para obter mais informações, consulte Atualizar uma SKU.

Nota

Não é suportado mudar para uma versão anterior de um SKU. Para fazer downgrade, você deve excluir e recriar o Azure Bastion.

Sub-rede do Azure Bastion

Importante

Para recursos do Azure Bastion implantados em ou após 2 de novembro de 2021, o tamanho mínimo do AzureBastionSubnet é /26 ou maior (/25, /24, etc.). Todos os recursos do Azure Bastion implantados em sub-redes de tamanho /27 antes dessa data não são afetados por essa alteração e continuarão a funcionar, mas é altamente recomendável aumentar o tamanho de qualquer AzureBastionSubnet existente para /26 caso você opte por aproveitar o dimensionamento de host no futuro.

Quando você implanta o Azure Bastion usando qualquer SKU, exceto a SKU do desenvolvedor, o Bastion requer uma sub-rede dedicada chamada AzureBastionSubnet. Você deve criar essa sub-rede na mesma rede virtual na qual deseja implantar o Azure Bastion. A sub-rede deve ter a seguinte configuração:

  • O nome da sub-rede deve ser AzureBastionSubnet.
  • O tamanho da sub-rede deve ser /26 ou maior (/25, /24 etc.).
  • Para o dimensionamento do host, recomenda-se uma sub-rede /26 ou maior. O uso de um espaço de sub-rede menor limita o número de unidades de escala. Para obter mais informações, consulte a seção Dimensionamento de host deste artigo.
  • A sub-rede deve estar na mesma rede virtual e grupo de recursos que o host bastião.
  • A sub-rede não pode conter outros recursos.

Você pode definir essa configuração usando os seguintes métodos:

Método Value Ligações
Portal do Azure Sub-rede Início rápido
Tutorial
Azure PowerShell -subnetName cmdlet
CLI do Azure --nome da sub-rede comando

Endereço IP público

As implantações do Azure Bastion, exceto SKU do desenvolvedor e somente privado, exigem um endereço IP público. O IP público deve ter a seguinte configuração:

  • O endereço IP público SKU deve ser padrão.
  • O método de atribuição/alocação de endereços IP públicos deve ser estático.
  • O nome do endereço IP público é o nome do recurso pelo qual você deseja se referir a esse endereço IP público.
  • Você pode optar por usar um endereço IP público que já criou, desde que ele atenda aos critérios exigidos pelo Azure Bastion e ainda não esteja em uso.

Você pode definir essa configuração usando os seguintes métodos:

Método Value Ligações
Portal do Azure Endereço IP público Portal do Azure
Azure PowerShell -PublicIpAddress cmdlet
CLI do Azure --public-ip criar comando

Instâncias e dimensionamento de host

Uma instância é uma VM otimizada do Azure que é criada quando você configura o Azure Bastion. Ele é totalmente gerenciado pelo Azure e executa todos os processos necessários para o Azure Bastion. Uma instância também é chamada de unidade de escala. Você se conecta a VMs de cliente por meio de uma instância do Azure Bastion. Quando você configura o Azure Bastion usando a SKU Básica, duas instâncias são criadas. Se você usar a SKU padrão ou superior, poderá especificar o número de instâncias (com um mínimo de duas instâncias). Isso é chamado de escala de host.

Cada instância pode dar suporte a 20 conexões RDP simultâneas e 40 conexões SSH simultâneas para cargas de trabalho médias (consulte Limites de assinatura e cotas do Azure para obter mais informações). O número de conexões por instâncias depende das ações que você está executando quando conectado à VM cliente. Por exemplo, se você estiver fazendo algo com uso intensivo de dados, isso criará uma carga maior para a instância processar. Uma vez que as sessões simultâneas são excedidas, outra unidade de escala (instância) é necessária.

As instâncias são criadas na AzureBastionSubnet. Para permitir o dimensionamento do host, a AzureBastionSubnet deve ser /26 ou maior. O uso de uma sub-rede menor limita o número de instâncias que você pode criar. Para obter mais informações sobre o AzureBastionSubnet, consulte a seção de sub-redes neste artigo.

Você pode definir essa configuração usando os seguintes métodos:

Método Value Ligações Requer SKU padrão ou superior
Portal do Azure Contagem de instâncias Como fazer Sim
Azure PowerShell ScaleUnit Como fazer Sim

Portas personalizadas

Você pode especificar a porta que deseja usar para se conectar às suas VMs. Por padrão, as portas de entrada usadas para se conectar são 3389 para RDP e 22 para SSH. Se você configurar um valor de porta personalizado, especifique esse valor quando se conectar à VM.

Os valores de porta personalizados são suportados apenas para o SKU padrão ou superior.

O recurso Bastion Shareable Link permite que os usuários se conectem a um recurso de destino usando o Azure Bastion sem acessar o portal do Azure.

Quando um usuário sem credenciais do Azure clica em um link compartilhável, uma página da Web é aberta solicitando que o usuário entre no recurso de destino via RDP ou SSH. Os usuários se autenticam usando nome de usuário e senha ou chave privada, dependendo do que você configurou no portal do Azure para esse recurso de destino. Os usuários podem se conectar aos mesmos recursos aos quais você pode se conectar atualmente com o Azure Bastion: VMs ou conjunto de dimensionamento de máquina virtual.

Método Value Ligações Requer SKU padrão ou superior
Portal do Azure Ligação Partilhável Configurar Sim

Implantação somente privada

As implantações de Bastion somente privadas bloqueiam cargas de trabalho de ponta a ponta criando uma implantação não roteável pela Internet do Bastion que permite apenas acesso a endereços IP privados. As implantações Bastion somente privadas não permitem conexões com o host bastion por meio de endereço IP público. Por outro lado, uma implantação regular do Azure Bastion permite que os usuários se conectem ao host bastion usando um endereço IP público. Para obter mais informações, consulte Implantar Bastion como somente privado.

Gravação da sessão

Quando o recurso de gravação de Sessão Bastion do Azure está habilitado, você pode gravar as sessões gráficas para conexões feitas com máquinas virtuais (RDP e SSH) por meio do host bastion. Depois que a sessão é fechada ou desconectada, as sessões gravadas são armazenadas em um contêiner de blob dentro da sua conta de armazenamento (via URL SAS). Quando uma sessão é desconectada, você pode acessar e exibir suas sessões gravadas no portal do Azure na página Gravação da Sessão. A gravação da sessão requer o Bastion Premium SKU. Para obter mais informações, consulte Gravação de sessão Bastion.

Zonas de disponibilidade

Algumas regiões oferecem suporte à capacidade de implantar o Azure Bastion em uma zona de disponibilidade (ou várias, para redundância de zona). Para implantar zonalmente, implante o Bastion usando configurações especificadas manualmente (não implante usando as configurações padrão automáticas). Especifique as zonas de disponibilidade desejadas no momento da implantação. Não é possível alterar a disponibilidade zonal após a implantação do Bastion.

O suporte para zonas de disponibilidade está atualmente em pré-visualização. Durante a visualização, as seguintes regiões estão disponíveis:

  • E.U.A. Leste
  • Leste da Austrália
  • E.U.A. Leste 2
  • E.U.A. Central
  • Catar Central
  • Norte da África do Sul
  • Europa Ocidental
  • E.U.A. Oeste 2
  • Europa do Norte
  • Suécia Central
  • Sul do Reino Unido
  • Canadá Central

Próximos passos

Para perguntas frequentes, consulte as Perguntas frequentes do Bastião do Azure.