Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La conexión basada en IP permite conectarse a sus máquinas virtuales locales, no Azure y Azure a través de Azure Bastion usando una dirección IP especificada. A diferencia de las conexiones bastión estándar que usan el identificador de recurso de Azure Resource Manager de una máquina virtual de destino, las conexiones basadas en IP tienen como destino una máquina virtual por su dirección IP. Esto permite conectarse a máquinas que no están registradas como recursos de Azure, como servidores locales o máquinas virtuales que se ejecutan en otros entornos en la nube.
Architecture
En el diagrama siguiente se muestra la arquitectura de conexión basada en IP. Azure Bastion, implementado en su red virtual, se conecta a una máquina virtual de destino mediante la dirección IP de la máquina virtual a través de un circuito ExpressRoute o una conexión vpn de sitio a sitio. La conexión no requiere que la máquina virtual de destino tenga una dirección IP pública o que sea un recurso de Azure.
En este escenario:
- Azure Bastion enruta el tráfico RDP o SSH a través de la conexión ExpressRoute o VPN para llegar a la máquina virtual de destino en la dirección IP especificada.
- La conexión se protege a través del host de Bastion, por lo que no es necesario exponer la máquina virtual de destino a la red pública de Internet.
Escenarios compatibles
La conexión basada en IP admite los siguientes escenarios:
- Máquinas virtuales locales: Conéctese a máquinas virtuales que se ejecutan en el centro de datos local a través de un emparejamiento privado de ExpressRoute o una conexión de sitio a sitio de VPN.
- Máquinas virtuales que no son de Azure: Conéctese a máquinas virtuales hospedadas en otros entornos de nube a los que se pueda acceder desde la red virtual de Azure a través de ExpressRoute o VPN.
- Máquinas virtuales de Azure: Conéctese a máquinas virtuales de Azure especificando una dirección IP en lugar de seleccionar el recurso de máquina virtual en el portal. Esto resulta útil cuando la máquina virtual de destino está en una red virtual emparejada o conectada.
Métodos de conexión admitidos
En la tabla siguiente se resumen los métodos de conexión disponibles con la conexión basada en IP:
| Método de conexión | Protocolo | Detalles |
|---|---|---|
| Azure portal (navegador) | RDP, SSH | Proporciona sesiones RDP o SSH basadas en explorador desde la página Bastion Connect mediante el destino de una dirección IP. Para obtener instrucciones paso a paso, consulte Conexión a una máquina virtual Windows mediante RDP. |
| Cliente nativo (CLI de Azure) | RDP | Proporciona conectividad RDP desde un cliente de Windows mediante az network bastion rdp con el --target-ip-address parámetro . Para conocer los pasos de conexión, consulte Conexión desde un cliente nativo de Windows. |
| Cliente nativo (CLI de Azure) | SSH | Proporciona conectividad SSH desde clientes Windows o Linux mediante az network bastion ssh con el parámetro --target-ip-address. Para conocer los pasos de conexión, consulte Conexión desde un cliente nativo de Windows o Conexión desde un cliente nativo de Linux. |
| Cliente nativo (CLI de Azure) | Túnel | Crea un túnel TCP basado en IP mediante az network bastion tunnel con el parámetro --target-ip-address. Para conocer los pasos de configuración, consulte Configuración de la compatibilidad con el cliente nativo de Bastion. |
Requisitos del SKU
La conexión basada en IP requiere el nivel de SKU estándar o superior para Azure Bastion. Las SKU básicas y para desarrolladores no admiten esta característica. También debe habilitar la configuración de conexión basada en IP en la página Configuración de Bastion.
Para más información sobre las funcionalidades de SKU, consulte Elección de la SKU de Azure Bastion adecuada. Para actualizar la implementación de Bastion, consulte Actualización de una SKU.
Limitaciones
Tunelización forzada: La conexión basada en IP no funciona con la tunelización forzada a través de VPN o cuando se anuncia una ruta predeterminada a través de un circuito ExpressRoute. Azure Bastion requiere acceso a Internet. Forzar la tunelización o el anuncio de ruta predeterminado da lugar a que se quite el tráfico.
Autenticación de Microsoft Entra ID: La autenticación de Microsoft Entra no es compatible con las conexiones RDP a través de la dirección IP. La autenticación de Microsoft Entra se admite para las conexiones SSH a través del cliente nativo. Para obtener más información, consulte Autenticación de Id. de Microsoft Entra.
Puertos y protocolos personalizados: Actualmente no se admiten puertos y protocolos personalizados al conectarse a una máquina virtual a través de un cliente nativo con conexiones basadas en IP.
UDR: Las rutas definidas por el usuario (UDR) no se admiten en la subred de Bastion, incluidas las conexiones basadas en IP.