Implantar Bastion usando a CLI do Azure
Este artigo mostra como implantar o Azure Bastion usando a CLI. O Azure Bastion é um serviço PaaS mantido para você, não um host bastion que você instala em sua VM e se mantém. Uma implantação do Azure Bastion é por rede virtual, não por assinatura/conta ou máquina virtual. Para obter mais informações sobre o Azure Bastion, consulte O que é o Azure Bastion?
Depois de implantar o Bastion em sua rede virtual, você pode se conectar às suas VMs por meio do endereço IP privado. Essa experiência RDP/SSH perfeita está disponível para todas as VMs na mesma rede virtual. Se a sua VM tiver um endereço IP público de que não necessita para mais nada, pode removê-lo.
Neste artigo, você cria uma rede virtual (se ainda não tiver uma), implanta o Azure Bastion usando CLI e se conecta a uma VM. Você também pode implantar Bastion usando os seguintes outros métodos:
Nota
O uso do Azure Bastion com zonas de DNS Privado do Azure é suportado. No entanto, existem restrições. Para obter mais informações, consulte as Perguntas frequentes do Bastião do Azure.
Antes de começar
Subscrição do Azure
Verifique se tem uma subscrição do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.
CLI do Azure
Este artigo usa a CLI do Azure. Para executar comandos, você pode usar o Azure Cloud Shell. O Azure Cloud Shell é um shell interativo gratuito que pode utilizar para executar os passos neste artigo. Tem as ferramentas comuns do Azure pré-instaladas e configuradas para utilização com a sua conta.
Para abrir o Cloud Shell, basta selecionar Experimentar no canto superior direito de um bloco de código. Você também pode iniciar o Cloud Shell em uma guia separada do navegador acessando https://shell.azure.com e alternando a lista suspensa no canto esquerdo para refletir o Bash ou o PowerShell. Selecione Copiar para copiar os blocos de código, cole-o no Cloud Shell e prima Enter para executá-lo.
Implementar o Bastion
Esta seção ajuda você a implantar o Azure Bastion usando a CLI do Azure.
Importante
O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, consulte Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos excluir esse recurso depois de terminar de usá-lo.
Se você ainda não tiver uma rede virtual, crie um grupo de recursos e uma rede virtual usando az group create e az network vnet create.
az group create --name TestRG1 --location eastus
az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
Use az network vnet subnet create para criar a sub-rede na qual Bastion será implantado. A sub-rede que você cria deve ser chamada AzureBastionSubnet. Esta sub-rede é reservada exclusivamente para recursos do Azure Bastion. Se você não tiver uma sub-rede com o valor de nomenclatura AzureBastionSubnet, Bastion não será implantado.
- O menor tamanho de sub-rede da AzureBastionSubnet que pode criar é /26. Recomendamos que crie um tamanho /26 ou maior para acomodar o dimensionamento de anfitriões.
- Para obter mais informações sobre dimensionamento, consulte Definições de configuração - Dimensionamento de host.
- Para obter mais informações sobre configurações, consulte Definições de configuração - AzureBastionSubnet.
- Crie o AzureBastionSubnet sem tabelas de rotas ou delegações.
- Se você usar Grupos de Segurança de Rede no AzureBastionSubnet, consulte o artigo Trabalhar com NSGs .
az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
- O menor tamanho de sub-rede da AzureBastionSubnet que pode criar é /26. Recomendamos que crie um tamanho /26 ou maior para acomodar o dimensionamento de anfitriões.
Crie um endereço IP público para o Azure Bastion. O IP público é o endereço IP público, o recurso Bastion no qual o RDP/SSH será acessado (pela porta 443). O endereço IP público deve estar na mesma região que o recurso Bastion que você está criando. Por esta razão, preste especial atenção ao
--location
valor que especificar.az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
Use az network bastion create para criar um novo recurso do Azure Bastion para sua rede virtual. Leva cerca de 10 minutos para o recurso Bastion criar e implantar.
O exemplo a seguir implanta Bastion usando a camada Basic SKU. Você também pode implantar usando outros SKUs. O SKU determina os recursos que sua implantação Bastion suporta. Se você não especificar uma SKU em seu comando, o padrão da SKU será Padrão. Para obter mais informações, consulte Bastion SKUs.
az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
Ligar a uma VM
Se você ainda não tiver VMs em sua rede virtual, poderá criar uma VM usando Guia de início rápido: criar uma VM do Windows ou Guia de início rápido: criar uma VM do Linux
Você pode usar qualquer um dos seguintes artigos, ou as etapas na seção a seguir, para ajudá-lo a se conectar a uma VM. Alguns tipos de conexão requerem o Bastion Standard SKU ou superior.
- Conectar-se a uma VM do Windows
- Conectar-se a uma VM Linux
- Conectar-se a um conjunto de escalas
- Ligar através do endereço IP
- Conectar-se a partir de um cliente nativo
Conecte-se usando o portal
As etapas a seguir orientam você por um tipo de conexão usando o portal do Azure.
No portal do Azure, vá para a máquina virtual à qual você deseja se conectar.
Na parte superior do painel, selecione Conectar>bastião para ir para o painel Bastião. Você também pode ir para o painel Bastion usando o menu à esquerda.
As opções disponíveis no painel Bastion dependem do Bastion SKU. Se você estiver usando a SKU básica, conecte-se a um computador Windows usando RDP e a porta 3389. Também para o Basic SKU, você se conecta a um computador Linux usando SSH e porta 22. Você não tem opções para alterar o número da porta ou o protocolo. No entanto, você pode alterar o idioma do teclado para RDP expandindo Configurações de conexão.
Se você estiver usando o SKU padrão, terá mais opções de protocolo de conexão e porta disponíveis. Expanda Configurações de conexão para ver as opções. Normalmente, a menos que você defina configurações diferentes para sua VM, você se conecta a um computador Windows usando RDP e porta 3389. Você se conectar a um computador Linux usando SSH e porta 22.
Em Tipo de autenticação, selecione na lista suspensa. O protocolo determina os tipos de autenticação disponíveis. Preencha os valores de autenticação necessários.
Para abrir a sessão da VM em uma nova guia do navegador, deixe a opção Abrir na nova guia do navegador selecionada.
Selecione Conectar para conectar-se à VM.
Confirme se a conexão com a máquina virtual abre diretamente no portal do Azure (sobre HTML5) usando a porta 443 e o serviço Bastion.
Nota
Quando você se conecta, a área de trabalho da VM terá uma aparência diferente da captura de tela de exemplo.
Usar teclas de atalho de teclado enquanto você está conectado a uma VM pode não resultar no mesmo comportamento que as teclas de atalho em um computador local. Por exemplo, quando você está conectado a uma VM do Windows a partir de um cliente Windows, Ctrl+Alt+End é o atalho de teclado para Ctrl+Alt+Delete em um computador local. Para fazer isso a partir de um Mac enquanto você está conectado a uma VM do Windows, o atalho de teclado é fn+control+option+delete.
Para ativar a saída de áudio
Você pode habilitar a saída de áudio remota para sua VM. Algumas VMs habilitam automaticamente essa configuração, enquanto outras exigem que você habilite as configurações de áudio manualmente. As configurações são alteradas na própria VM. Sua implantação Bastion não precisa de nenhuma definição de configuração especial para habilitar a saída de áudio remota.
Nota
A saída de áudio utiliza largura de banda na sua ligação à Internet.
Para habilitar a saída de áudio remota em uma VM do Windows:
- Depois que você estiver conectado à VM, um botão de áudio aparecerá no canto inferior direito da barra de ferramentas. Clique com o botão direito do rato no botão de áudio e, em seguida, selecione Sons.
- Uma mensagem pop-up pergunta se você deseja habilitar o Serviço de Áudio do Windows. Selecione Yes (Sim). Pode configurar mais opções de áudio nas preferências Som.
- Para verificar a saída de som, passe o mouse sobre o botão de áudio na barra de ferramentas.
Remover endereço IP público da VM
O Azure Bastion não usa o endereço IP público para se conectar à VM cliente. Se você não precisar do endereço IP público para sua VM, poderá desassociar o endereço IP público. Consulte Dissociar um endereço IP público de uma VM do Azure.
Próximos passos
- Para usar Grupos de Segurança de Rede com a sub-rede do Azure Bastion, consulte Trabalhar com NSGs.
- Para entender o emparelhamento de VNet, consulte Emparelhamento de VNet e Azure Bastion.