Partilhar via


Implantar Bastion usando a CLI do Azure

Este artigo mostra como implantar o Azure Bastion usando a CLI. O Azure Bastion é um serviço PaaS mantido para você, não um host bastion que você instala em sua VM e se mantém. Uma implantação do Azure Bastion é por rede virtual, não por assinatura/conta ou máquina virtual. Para obter mais informações sobre o Azure Bastion, consulte O que é o Azure Bastion?

Depois de implantar o Bastion em sua rede virtual, você pode se conectar às suas VMs por meio do endereço IP privado. Essa experiência RDP/SSH perfeita está disponível para todas as VMs na mesma rede virtual. Se a sua VM tiver um endereço IP público de que não necessita para mais nada, pode removê-lo.

Diagrama mostrando a arquitetura do Azure Bastion.

Neste artigo, você cria uma rede virtual (se ainda não tiver uma), implanta o Azure Bastion usando CLI e se conecta a uma VM. Você também pode implantar Bastion usando os seguintes outros métodos:

Nota

O uso do Azure Bastion com zonas de DNS Privado do Azure é suportado. No entanto, existem restrições. Para obter mais informações, consulte as Perguntas frequentes do Bastião do Azure.

Antes de começar

Subscrição do Azure

Verifique se tem uma subscrição do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.

CLI do Azure

Este artigo usa a CLI do Azure. Para executar comandos, você pode usar o Azure Cloud Shell. O Azure Cloud Shell é um shell interativo gratuito que pode utilizar para executar os passos neste artigo. Tem as ferramentas comuns do Azure pré-instaladas e configuradas para utilização com a sua conta.

Para abrir o Cloud Shell, basta selecionar Experimentar no canto superior direito de um bloco de código. Você também pode iniciar o Cloud Shell em uma guia separada do navegador acessando https://shell.azure.com e alternando a lista suspensa no canto esquerdo para refletir o Bash ou o PowerShell. Selecione Copiar para copiar os blocos de código, cole-o no Cloud Shell e prima Enter para executá-lo.

Implementar o Bastion

Esta seção ajuda você a implantar o Azure Bastion usando a CLI do Azure.

Importante

O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, consulte Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos excluir esse recurso depois de terminar de usá-lo.

  1. Se você ainda não tiver uma rede virtual, crie um grupo de recursos e uma rede virtual usando az group create e az network vnet create.

    az group create --name TestRG1 --location eastus
    
    az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
    
  2. Use az network vnet subnet create para criar a sub-rede na qual Bastion será implantado. A sub-rede que você cria deve ser chamada AzureBastionSubnet. Esta sub-rede é reservada exclusivamente para recursos do Azure Bastion. Se você não tiver uma sub-rede com o valor de nomenclatura AzureBastionSubnet, Bastion não será implantado.

    az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
    
  3. Crie um endereço IP público para o Azure Bastion. O IP público é o endereço IP público, o recurso Bastion no qual o RDP/SSH será acessado (pela porta 443). O endereço IP público deve estar na mesma região que o recurso Bastion que você está criando. Por esta razão, preste especial atenção ao --location valor que especificar.

    az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
    
  4. Use az network bastion create para criar um novo recurso do Azure Bastion para sua rede virtual. Leva cerca de 10 minutos para o recurso Bastion criar e implantar.

    O exemplo a seguir implanta Bastion usando a camada Basic SKU. Você também pode implantar usando outros SKUs. O SKU determina os recursos que sua implantação Bastion suporta. Se você não especificar uma SKU em seu comando, o padrão da SKU será Padrão. Para obter mais informações, consulte Bastion SKUs.

    az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
    

Ligar a uma VM

Se você ainda não tiver VMs em sua rede virtual, poderá criar uma VM usando Guia de início rápido: criar uma VM do Windows ou Guia de início rápido: criar uma VM do Linux

Você pode usar qualquer um dos seguintes artigos, ou as etapas na seção a seguir, para ajudá-lo a se conectar a uma VM. Alguns tipos de conexão requerem o Bastion Standard SKU ou superior.

Conecte-se usando o portal

As etapas a seguir orientam você por um tipo de conexão usando o portal do Azure.

  1. No portal do Azure, vá para a máquina virtual à qual você deseja se conectar.

  2. Na parte superior do painel, selecione Conectar>bastião para ir para o painel Bastião. Você também pode ir para o painel Bastion usando o menu à esquerda.

  3. As opções disponíveis no painel Bastion dependem do Bastion SKU. Se você estiver usando a SKU básica, conecte-se a um computador Windows usando RDP e a porta 3389. Também para o Basic SKU, você se conecta a um computador Linux usando SSH e porta 22. Você não tem opções para alterar o número da porta ou o protocolo. No entanto, você pode alterar o idioma do teclado para RDP expandindo Configurações de conexão.

    Captura de ecrã das definições de ligação do Azure Bastion.

    Se você estiver usando o SKU padrão, terá mais opções de protocolo de conexão e porta disponíveis. Expanda Configurações de conexão para ver as opções. Normalmente, a menos que você defina configurações diferentes para sua VM, você se conecta a um computador Windows usando RDP e porta 3389. Você se conectar a um computador Linux usando SSH e porta 22.

    Captura de ecrã das definições de ligação expandidas.

  4. Em Tipo de autenticação, selecione na lista suspensa. O protocolo determina os tipos de autenticação disponíveis. Preencha os valores de autenticação necessários.

    Captura de tela que mostra a caixa de listagem suspensa para o tipo de autenticação.

  5. Para abrir a sessão da VM em uma nova guia do navegador, deixe a opção Abrir na nova guia do navegador selecionada.

  6. Selecione Conectar para conectar-se à VM.

  7. Confirme se a conexão com a máquina virtual abre diretamente no portal do Azure (sobre HTML5) usando a porta 443 e o serviço Bastion.

    Captura de ecrã do ambiente de trabalho de um computador com uma ligação aberta através da porta 443.

    Nota

    Quando você se conecta, a área de trabalho da VM terá uma aparência diferente da captura de tela de exemplo.

Usar teclas de atalho de teclado enquanto você está conectado a uma VM pode não resultar no mesmo comportamento que as teclas de atalho em um computador local. Por exemplo, quando você está conectado a uma VM do Windows a partir de um cliente Windows, Ctrl+Alt+End é o atalho de teclado para Ctrl+Alt+Delete em um computador local. Para fazer isso a partir de um Mac enquanto você está conectado a uma VM do Windows, o atalho de teclado é fn+control+option+delete.

Para ativar a saída de áudio

Você pode habilitar a saída de áudio remota para sua VM. Algumas VMs habilitam automaticamente essa configuração, enquanto outras exigem que você habilite as configurações de áudio manualmente. As configurações são alteradas na própria VM. Sua implantação Bastion não precisa de nenhuma definição de configuração especial para habilitar a saída de áudio remota.

Nota

A saída de áudio utiliza largura de banda na sua ligação à Internet.

Para habilitar a saída de áudio remota em uma VM do Windows:

  1. Depois que você estiver conectado à VM, um botão de áudio aparecerá no canto inferior direito da barra de ferramentas. Clique com o botão direito do rato no botão de áudio e, em seguida, selecione Sons.
  2. Uma mensagem pop-up pergunta se você deseja habilitar o Serviço de Áudio do Windows. Selecione Yes (Sim). Pode configurar mais opções de áudio nas preferências Som.
  3. Para verificar a saída de som, passe o mouse sobre o botão de áudio na barra de ferramentas.

Remover endereço IP público da VM

O Azure Bastion não usa o endereço IP público para se conectar à VM cliente. Se você não precisar do endereço IP público para sua VM, poderá desassociar o endereço IP público. Consulte Dissociar um endereço IP público de uma VM do Azure.

Próximos passos