Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo le ayuda a implementar Bastion como una implementación solo privada. Las implementaciones de Bastion solo privadas bloquean cargas de trabajo de un extremo a otro mediante la creación de una implementación de Bastion no enrutable por Internet que solo permite el acceso a direcciones IP privadas. Las implementaciones privadas de Bastion no permiten establecer conexiones con el host bastión a través de la dirección IP pública. Por el contrario, una implementación de Azure Bastion normal permite a los usuarios conectarse al host bastión mediante una dirección IP pública.
En el siguiente diagrama se muestra la arquitectura de implementación privada dedicada de Azure Bastion. Bastion se implementa en la red virtual. Un usuario conectado a Azure a través del emparejamiento privado de ExpressRoute puede conectarse de forma segura a Bastion mediante la dirección IP privada del servidor bastión. A continuación, Bastion puede establecer la conexión a través de una dirección IP privada a una máquina virtual que se encuentra dentro de la misma red virtual que el servidor bastión o en una red virtual emparejada. En una implementación de Bastion solo privada, Bastion no permite el acceso saliente fuera de la red virtual.
Elementos que se deben tener en cuenta:
Bastion solo privado se configura en el momento de la implementación y requiere el nivel de SKU Prémium.
No se puede cambiar de una implementación normal de Bastion a una implementación solo privada.
Para implementar Bastion solo privado en una red virtual que ya tenga una implementación de Bastion, primero quite Bastion de la red virtual y vuelva a implementarlo como solo privado. No es necesario eliminar ni volver a crear AzureBastionSubnet.
Si desea crear conectividad privada de un extremo a otro, conéctese mediante el cliente nativo en lugar de conectarse a través del portal de Azure.
Si el equipo cliente es local y no Azure, deberá implementar una VPN o ExpressRoute y habilitar conexión basada enIP en el recurso bastión.
Asegúrese de que las reglas de seguridad de red no bloquean el acceso del puerto 443 a AzureBastionSubnet para el tráfico entrante Virtual Network.
Prerequisites
En los pasos de este artículo se presupone que dispone de los siguientes requisitos previos:
- Una suscripción Azure. Si no tiene una, cree una cuenta gratuita antes de comenzar.
- Una red virtual que no tiene implementación de Azure Bastion.
Valores de ejemplo
Puede usar los siguientes valores de ejemplo al crear esta configuración, o puede sustituirlos por los propios.
Valores básicos de red virtual y máquina virtual
| Name | Value |
|---|---|
| Grupo de recursos | TestRG1 |
| Region | Este de EE. UU. |
| Red virtual | VNet1 |
| Espacio de direcciones | 10.1.0.0/16 |
| Nombre de subred 1: FrontEnd | 10.1.0.0/24 |
| nombre de subred 2: AzureBastionSubnet | 10.1.1.0/26 |
Valores de Bastion
| Name | Value |
|---|---|
| Name | VNet1-bastion |
| SKU | Premium |
| Recuento de instancias (escalado de host) | 2 o superior |
| Assignment | Static |
Implementación de Bastion solo privado
Esta sección encontrará ayuda para implementar Bastion como solo privado en la red virtual.
Important
Los precios por hora comienzan a partir del momento en que se implementa Bastion, independientemente del uso de datos salientes. Para obtener más información, consulte Precios y SKU. Si va a implementar Bastion como parte de un tutorial o prueba, se recomienda eliminar este recurso una vez que haya terminado de usarlo.
Inicie sesión en el portal Azure y vaya a la red virtual. Si aún no tiene una, puede crear una red virtual. Si va a crear una red virtual para este ejercicio, puede crear la AzureBastionSubnet (desde el paso siguiente) al mismo tiempo que crea la red virtual.
Cree la subred a la que se implementarán los recursos de Bastion. En el panel izquierdo, seleccione Subredes: +Subred para agregar la AzureBastionSubnet.
- La subred debe ser /26 o superior (por ejemplo, /26, /25 o /24) para dar cabida a las características disponibles con la SKU Premium.
- La subred debe denominarse AzureBastionSubnet.
Seleccione Guardar en la parte inferior del panel para guardar los valores.
A continuación, en la página de la red virtual, seleccione Bastion en el panel izquierdo.
En la página Bastion , expanda Opciones de implementación dedicadas (si aparece esa sección). Seleccione el botón Configurar manualmente . Si no selecciona este botón, no podrá ver la configuración necesaria para implementar Bastion como solo privado.
En el panel Crear una instancia de Bastion, configure las opciones del host bastión. Los valores de detalles del proyecto se rellenan a partir de los valores de la red virtual.
En Detalles de la instancia, configure estos valores:
Nombre: el nombre que desea usar para el recurso de Bastion.
Region: la región pública Azure en la que se creará el recurso. Elija la región donde reside la red virtual.
Nivel: debe seleccionar Premium para una implementación solo privada.
Recuento de instancias: la configuración del escalado del host. Configure el escalado de host en incrementos de unidades de escalado. Use el control deslizante o escriba un número para configurar el recuento de instancias que desee. Para obtener más información, consulte Instances and host scaling and Azure Bastion pricing.
En Configuración de redes virtuales, seleccione la red virtual en la lista desplegable. Si la red virtual no está en la lista desplegable, asegúrese de seleccionar el valor de Región correcto en el paso anterior.
La AzureBastionSubnet se rellenará automáticamente si ya la creó en los pasos anteriores.
La sección Configuración de dirección IP es donde se especifica que se trata de una implementación solo privada. Debe seleccionar Dirección IP privada en las opciones.
Al seleccionar Dirección IP privada, la configuración de dirección IP pública se quitará automáticamente de la pantalla de configuración.
Si planea usar ExpressRoute o VPN con Bastion solo privado, vaya a la pestaña Opciones avanzadas . Seleccione Conexión basada en IP.
Cuando termine de especificar la configuración, seleccione Revisar y crear. Este paso valida los valores.
Después de pasar la validación de los valores, puede implementar Bastion. Selecciona Crear.
Un mensaje muestra que la implementación está en proceso. El estado aparece en esta página a medida que se crean los recursos. El recurso de Bastion tarda aproximadamente diez minutos en crearse e implementarse.
Pasos siguientes
Para obtener más información sobre las opciones de configuración, consulte Azure Bastion opciones de configuración y las preguntas más frecuentes Azure Bastion.