Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se muestra cómo implementar Azure Bastion mediante PowerShell. Azure Bastion es un servicio PaaS administrado por el proveedor, no simplemente un host bastión que instala y mantiene usted mismo en su máquina virtual. Una implementación de Azure Bastion es por red virtual, no por suscripción o cuenta o máquina virtual. Para obtener más información sobre Azure Bastion, consulte ¿Qué es Azure Bastion?
Una vez que implemente Bastion en la red virtual, puede conectarse a las VM a través de una dirección IP privada. Esta experiencia simple de RDP/SSH está disponible para todas las VM en la misma red virtual. Si la máquina virtual dispone de una IP pública que ya no necesita, puede quitarla.
En este artículo, creará una red virtual (si aún no tiene una), implementará Azure Bastion mediante PowerShell y se conectará a una máquina virtual. Los ejemplos muestran Bastion implementado mediante la SKU estándar, pero puede usar una SKU de Bastion diferente, en función de las características que quiera usar. Para obtener más información, consulte las SKU de Bastion.
También puede implementar Bastion mediante los métodos siguientes:
- Portal de Azure - Implementar Bastion
- Azure portal: implementación de Bastion con la configuración predeterminada y la SKU estándar
- Deploy mediante Azure CLI
Nota:
Se admite el uso de Azure Bastion con zonas Azure Private DNS. Sin embargo, hay algunas restricciones. Para obtener más información, consulte las preguntas más frecuentes sobre Azure Bastion.
Antes de comenzar
Compruebe que tiene una suscripción de Azure. Si aún no tiene una suscripción de Azure, puede activar las ventajas del suscriptor de MSDN o registrarse para obtener una cuenta free.
PowerShell
En este artículo se usan cmdlets de PowerShell. Para ejecutar los cmdlets, puede usar Azure Cloud Shell. Cloud Shell es un shell interactivo gratuito que puede usar para ejecutar los pasos descritos en este artículo. Tiene herramientas de Azure comunes preinstaladas y configuradas para usarlas con su cuenta.
Para abrir Cloud Shell, seleccione Open Cloudshell en la esquina superior derecha de un bloque de código. También puede abrir Cloud Shell en una pestaña independiente del explorador; para ello, vaya a https://shell.azure.com/powershell. Seleccione Copy para copiar los bloques de código, péguelos en Cloud Shell y seleccione la tecla Entrar para ejecutarlos.
También puede instalar y ejecutar los cmdlets de Azure PowerShell localmente en el equipo. Los cmdlets de PowerShell se actualizan con frecuencia. Si no ha instalado la última versión, los valores especificados en las instrucciones pueden dar lugar a errores. Para buscar las versiones de Azure PowerShell instaladas en el equipo, use el cmdlet Get-Module -ListAvailable Az. Para instalar o actualizar, consulte Instalar el módulo Azure PowerShell.
Valores de ejemplo
Puede usar los siguientes valores de ejemplo al crear esta configuración, o puede sustituirlos por los propios.
Valores de red virtual y máquina virtual de ejemplo:
| Nombre | Valor |
|---|---|
| Máquina virtual | TestVM |
| Grupo de recursos | TestRG1 |
| Region | Este de EE. UU. |
| Red de área virtual | VNet1 |
| Espacio de direcciones | 10.1.0.0/16 |
| Subredes | FrontEnd: 10.1.0.0/24 |
Valores de Azure Bastion:
| Nombre | Valor |
|---|---|
| Nombre | VNet1-bastion |
| Nombre de subred | FrontEnd |
| Nombre de subred | AzureBastionSubnet |
| Direcciones de AzureBastionSubnet | Una subred dentro del espacio de direcciones de red virtual con una máscara de subred /26 o superior. Por ejemplo, 10.1.1.0/26. |
| SKU | Estándar |
| Dirección IP pública | Crear nuevo |
| Nombre de la dirección IP pública | VNet1-ip |
| SKU de la dirección IP pública | Estándar |
| Asignación | estática |
Implementación de Bastion
Esta sección le ayuda a crear una red virtual, subredes e implementar Azure Bastion mediante Azure PowerShell.
Importante
Los precios por hora comienzan desde el momento en el que se implementa Bastion, independientemente del uso de datos salientes. Para más información, consulte Precios y SKU. Si va a implementar Bastion como parte de un tutorial o prueba, se recomienda eliminar este recurso una vez que haya terminado de usarlo.
Cree un grupo de recursos, una red virtual y una subred de front-end en la que implementará las máquinas virtuales a las que se conectará a través de Bastion. Si ejecuta PowerShell localmente, abra la consola de PowerShell con privilegios elevados y conéctese a Azure mediante el comando
Connect-AzAccount.New-AzResourceGroup -Name TestRG1 -Location EastUS ` $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd ` -AddressPrefix "10.1.0.0/24" ` $virtualNetwork = New-AzVirtualNetwork ` -Name TestVNet1 -ResourceGroupName TestRG1 ` -Location EastUS -AddressPrefix "10.1.0.0/16" ` -Subnet $frontendSubnet ` $virtualNetwork | Set-AzVirtualNetworkConfigure y establezca la subred Azure Bastion para la red virtual. Esta subred está reservada exclusivamente para Azure Bastion recursos. Debe crear esta subred con el valor de nombre AzureBastionSubnet. Este valor permite Azure saber en qué subred se van a implementar los recursos de Bastion. El ejemplo de la sección siguiente le ayuda a agregar una subred Azure Bastion a una red virtual existente.
- El tamaño más pequeño de la subred de AzureBastionSubnet que puede crear es /26. Se recomienda crear un tamaño /26 o mayor para adaptarse al escalado de host.
- Para más información sobre el escalado, consulte Valores de configuración: Escalado de host.
- Para más información sobre el escalado, consulte Valores de configuración: AzureBastionSubnet.
- Cree AzureBastionSubnet sin ninguna delegación ni tabla de rutas.
- Cuando use grupos de seguridad de red en AzureBastionSubnet, consulte el artículo Trabajo con grupos de seguridad de red.
Establezca la variable.
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"Agregue la subred.
Add-AzVirtualNetworkSubnetConfig ` -Name "AzureBastionSubnet" -VirtualNetwork $vnet ` -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork- El tamaño más pequeño de la subred de AzureBastionSubnet que puede crear es /26. Se recomienda crear un tamaño /26 o mayor para adaptarse al escalado de host.
Cree una dirección IP pública para Azure Bastion. La IP pública es la dirección del recurso de Bastion mediante la que se accederá a RDP/SSH (a través del puerto 443). La dirección debe estar en la misma región que el recurso de Bastion que está creando.
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" ` -name "VNet1-ip" -location "EastUS" ` -AllocationMethod Static -Sku StandardCree un nuevo recurso de Azure Bastion en AzureBastionSubnet mediante el comando New-AzBastion. En el ejemplo siguiente, se usa la SKU básica. Sin embargo, también puede implementar Bastion mediante una SKU diferente cambiando el valor -Sku. La SKU que seleccione determina las características de Bastion y se conecta a las máquinas virtuales con más tipos de conexión. Para obtener más información, consulte las SKU de Bastion.
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" ` -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" ` -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" ` -Sku "Basic"Los recursos de Bastion tardarán aproximadamente 10 minutos en implementarse. En la siguiente sección, obtendrá información sobre cómo crear una máquina virtual mientras Bastion se implementa en la red virtual.
Creación de una máquina virtual
Para crear una máquina virtual, puede seguir los artículos Inicio rápido: Creación de una máquina virtual Windows en Azure con PowerShell o Inicio rápido: Creación de una máquina virtual de Windows en Azure Portal. Asegúrese de implementar la máquina virtual en la misma red virtual en la que implementó Bastion. La máquina virtual que creará en esta sección no formará parte de la configuración de Bastion y no se convertirá en un host bastión. Se conectará a esta máquina virtual más adelante en este tutorial a través de Bastion.
Los siguientes roles necesarios para los recursos.
Roles de máquina virtual obligatorios:
- Rol de lector en la máquina virtual.
- Rol de lector en la tarjeta de interfaz de red con la IP privada de la máquina virtual.
Puertos de entrada necesarios:
- Para vmS de Windows: RDP (3389)
- SSH (22) para máquinas virtuales Linux
Conexión a una máquina virtual
Para conectarse a la máquina virtual, puede seguir los pasos de conexión que se detallan en la siguiente sección. También puede usar cualquiera de los artículos siguientes para conectarse a una máquina virtual. Algunos tipos de conexión requieren la SKU estándar de Bastion.
- Conexión a una máquina virtual de Windows
- RDP
- SSH
- Conexión a una máquina virtual Linux
- Conexión a un conjunto de escalado
- Conexión a través de la dirección IP
- Conexión desde un cliente nativo
Pasos de conexión
En el portal Azure, vaya a la máquina virtual a la que quiere conectarse.
En la parte superior del panel, seleccione Conectar>Bastion para ir al panel Bastion. También puede ir al panel Bastion con el menú izquierdo.
Las opciones disponibles en el panel Bastion dependen de la SKU de Bastion.
Si usa la SKU Estándar o superior, tiene más opciones de protocolo de conexión y puerto disponibles. Expanda Configuración de conexión para ver las opciones. Normalmente, a menos que configure opciones diferentes para la máquina virtual, conéctese a un equipo de Windows mediante RDP y el puerto 3389. Se conecta a un equipo Linux mediante SSH y el puerto 22.
Si estás usando la SKU Basic, te conectas a un equipo de Windows mediante RDP y el puerto 3389. También con la SKU básica, se conecta a un equipo Linux mediante SSH y el puerto 22. No tiene opciones para cambiar el número de puerto o el protocolo. Sin embargo, puede cambiar el idioma del teclado para RDP si expande Configuración de conexión en este panel.
Si usa la SKU de desarrollador, Bastion se implementa automáticamente la primera vez que se conecta. Se conecta a un equipo de Windows mediante RDP y el puerto 3389, o a un equipo Linux mediante SSH y el puerto 22. La SKU de desarrollador usa una arquitectura de grupo compartido y está disponible sin costo adicional en las regiones seleccionadas.
En Tipo de autenticación, seleccione el tipo de autenticación en la lista desplegable. El protocolo determina los tipos de autenticación disponibles. Complete los valores de autenticación necesarios.
Para abrir la sesión de máquina virtual en una nueva pestaña del explorador, deje la opción Abrir en una nueva pestaña del explorador seleccionada.
Seleccione Conectar para conectarse a la máquina virtual.
Confirme que la conexión a la máquina virtual se abre directamente en el portal de Azure (a través de HTML5) mediante el puerto 443 y el servicio Bastion.
Es posible que el uso de teclas de método abreviado de teclado mientras está conectado a una máquina virtual no tenga el mismo comportamiento que las teclas de método abreviado en un equipo local. Por ejemplo, cuando está conectado a una máquina virtual de Windows desde un cliente de Windows, Ctrl+Alt+End es el método abreviado de teclado para Ctrl+Alt+Eliminar en un equipo local. Para hacerlo desde un Mac cuando esté conectado a una VM de Windows, el método abreviado de teclado es fn+control+option+delete.
Para habilitar la salida de audio
Puede habilitar la salida de audio remoto de la máquina virtual. Algunas máquinas virtuales habilitan automáticamente esta configuración, mientras que en otras es necesario que el usuario habilite la configuración de audio manualmente. La configuración se cambia en la propia máquina virtual. La implementación de Bastion no necesita ningún valor de configuración especial para habilitar la salida de audio remoto. La entrada de audio no se admite en este momento.
Nota:
La salida de audio consume ancho de banda de la conexión a Internet.
Para habilitar la salida de audio remoto en una máquina virtual de Windows:
- Después de conectarse a la máquina virtual, aparece un botón de audio en la esquina inferior derecha de la barra de herramientas. Haga clic con el botón derecho en el botón de audio y seleccione Sonidos.
- Un mensaje emergente pregunta si desea habilitar el servicio de audio de Windows. Seleccione Sí. Puede configurar más opciones de audio en la sección Preferencias de sonido.
- Para comprobar la salida de sonido, mantenga el puntero del mouse sobre el botón de audio de la barra de herramientas.
Eliminación de una dirección IP pública de máquina virtual
Azure Bastion no usa la dirección IP pública para conectarse a la máquina virtual cliente. Si no necesita la dirección IP pública para su VM, puede desasociar la dirección IP pública. Vea Desasociar una dirección IP pública de una máquina virtual de Azure.
Pasos siguientes
- Para usar grupos de seguridad de red con la subred de Azure Bastion, consulte Work with NSG.
- Para comprender el apareo de VNet, vea Virtual Network Peering y Azure Bastion.