Compartir a través de

Implementación de Bastion mediante CLI de Azure

En este artículo se muestra cómo implementar Azure Bastion mediante la CLI. Azure Bastion es un servicio PaaS que Microsoft gestiona por usted, no un host bastión que instale en la máquina virtual y deba mantener usted mismo. Una implementación de Azure Bastion es por red virtual, no por suscripción o cuenta o máquina virtual. Para obtener más información sobre Azure Bastion, consulte ¿Qué es Azure Bastion?

Una vez que implemente Bastion en la red virtual, puede conectarse a las VM a través de una dirección IP privada. Esta experiencia simple de RDP/SSH está disponible para todas las VM en la misma red virtual. Si la máquina virtual dispone de una IP pública que ya no necesita, puede quitarla.

Diagram que muestra Azure Bastion architecture.

En este artículo, creará una red virtual (si aún no tiene una), implementará Azure Bastion mediante la CLI y se conectará a una máquina virtual. También puede implementar Bastion mediante los métodos siguientes:

Nota:

Se admite el uso de Azure Bastion con zonas Azure DNS privado. Sin embargo, hay algunas restricciones. Para obtener más información, consulte las preguntas más frecuentes sobre Azure Bastion.

Antes de comenzar

suscripción de Azure

Compruebe que tiene una suscripción de Azure. Si aún no tiene una suscripción de Azure, puede activar las ventajas del suscriptor de MSDN o registrarse para obtener una cuenta free.

CLI de Azure

En este artículo se usa el CLI de Azure. Para ejecutar comandos, puede usar Azure Cloud Shell. El Azure Cloud Shell es un shell interactivo gratuito que puede usar para ejecutar los pasos descritos en este artículo. Tiene herramientas de Azure comunes preinstaladas y configuradas para usarlas con su cuenta.

Para abrir el Cloud Shell, seleccione Try it en la esquina superior derecha de un bloque de código. También puede iniciar Cloud Shell en una pestaña independiente del explorador; para ello, vaya a https://shell.azure.com y cambie la lista desplegable de la esquina izquierda para reflejar Bash o PowerShell. Seleccione Copy para copiar los bloques de código, péguelo en el Cloud Shell y presione ENTRAR para ejecutarlo.

Implementación de Bastion

Esta sección le ayuda a implementar Azure Bastion mediante CLI de Azure.

Importante

Los precios por hora comienzan desde el momento en el que se implementa Bastion, independientemente del uso de datos salientes. Para más información, consulte Precios y SKU. Si va a implementar Bastion como parte de un tutorial o prueba, se recomienda eliminar este recurso una vez que haya terminado de usarlo.

  1. Si aún no tiene una red virtual, cree un grupo de recursos y una red virtual mediante az group create y az network vnet create.

    az group create --name TestRG1 --location eastus

    az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24

  2. Use az network vnet subnet create para crear la subred en la que se implementará Bastion. La subred que creará debe tener el nombre AzureBastionSubnet. Esta subred se reserva exclusivamente para los recursos de Azure Bastion. Si no tiene una subred con el valor de nomenclatura AzureBastionSubnet, Bastion no se implementará.

    • El tamaño más pequeño de la subred de AzureBastionSubnet que puede crear es /26. Se recomienda crear un tamaño /26 o mayor para adaptarse al escalado de host.
      • Para más información sobre el escalado, consulte Valores de configuración: Escalado de host.
      • Para más información sobre el escalado, consulte Valores de configuración: AzureBastionSubnet.
    • Cree AzureBastionSubnet sin ninguna delegación ni tabla de rutas.
    • Cuando use grupos de seguridad de red en AzureBastionSubnet, consulte el artículo Trabajo con grupos de seguridad de red.
    az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26

  3. Cree una dirección IP pública para Azure Bastion. La IP pública es la dirección IP pública del recurso de Bastion en la que se accederá a RDP/SSH (a través del puerto 443). La dirección debe estar en la misma región que el recurso de Bastion que está creando. Por este motivo, preste especial atención al valor de que especifique.

    az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus

  4. Use az network bastion create para crear un nuevo recurso de Azure Bastion para la red virtual. El recurso de Bastion tarda aproximadamente 10 minutos en crearse e implementarse.

    En el ejemplo siguiente se implementa Bastion mediante la SKU básica . Para realizar la implementación también se pueden usar otras SKU. La SKU determina las características que admite la implementación de Bastion. Si no especifica una SKU en el comando, la SKU tendrá como valor predeterminado Estándar. Para obtener más información, consulte las SKU de Bastion.

    az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic

Conexión a una máquina virtual

Si aún no tiene máquinas virtuales en la red virtual, puede crear una máquina virtual con Quickstart: Creación de una máquina virtual de Windows o Quickstart: Creación de una máquina virtual Linux

Puede usar cualquiera de los siguientes artículos, o bien los pasos de la sección siguiente, para ayudarle a conectarse a una máquina virtual. Algunos tipos de conexión requieren la versión Estándar de la SKU de Bastión, o cualquier versión superior.

  • Conexión a una máquina virtual de Windows
    • RDP
    • SSH
  • Conexión a una máquina virtual Linux
    • SSH
  • Conexión a un conjunto de escalado
  • Conexión a través de la dirección IP
  • Conexión desde un cliente nativo

Conectarse a través del portal

Los pasos siguientes le guiarán por un tipo de conexión mediante el portal de Azure.

  1. En el portal Azure, vaya a la máquina virtual a la que quiere conectarse.

  2. En la parte superior del panel, seleccione ConectarBastion para ir al panel Bastion. También puede ir al panel Bastion con el menú izquierdo.

  3. Las opciones disponibles en el panel Bastion dependen de la SKU de Bastion.

    Si usa la SKU Estándar o superior, tiene más opciones de protocolo de conexión y puerto disponibles. Expanda Configuración de conexión para ver las opciones. Normalmente, a menos que configure opciones diferentes para la máquina virtual, conéctese a un equipo de Windows mediante RDP y el puerto 3389. Se conecta a un equipo Linux mediante SSH y el puerto 22.

    Si usa la SKU básica, se conecta a un equipo Windows mediante RDP y el puerto 3389. También con la SKU básica, se conecta a un equipo Linux mediante SSH y el puerto 22. No tiene opciones para cambiar el número de puerto o el protocolo. Sin embargo, puede cambiar el idioma del teclado para RDP si expande Configuración de conexión en este panel.

    Si usa la SKU de desarrollador, Bastion se implementa automáticamente la primera vez que se conecta. Se conecta a un equipo de Windows mediante RDP y el puerto 3389, o a un equipo Linux mediante SSH y el puerto 22. La SKU de desarrollador usa una arquitectura de grupo compartido y está disponible sin costo adicional en las regiones seleccionadas.

  4. En Tipo de autenticación, seleccione el tipo de autenticación en la lista desplegable. El protocolo determina los tipos de autenticación disponibles. Complete los valores de autenticación necesarios.

  5. Para abrir la sesión de máquina virtual en una nueva pestaña del explorador, deje la opción Abrir en una nueva pestaña del explorador seleccionada.

  6. Seleccione Conectar para conectarse a la máquina virtual.

  7. Confirme que la conexión a la máquina virtual se abre directamente en el portal de Azure (a través de HTML5) mediante el puerto 443 y el servicio Bastion.

Es posible que el uso de teclas de método abreviado de teclado mientras está conectado a una máquina virtual no tenga el mismo comportamiento que las teclas de método abreviado en un equipo local. Por ejemplo, cuando está conectado a una máquina virtual de Windows desde un cliente de Windows, Ctrl+Alt+End es el método abreviado de teclado para Ctrl+Alt+Eliminar en un equipo local. Para hacerlo desde un Mac mientras está conectado a una máquina virtual de Windows, el método abreviado de teclado es fn+control+option+delete.

Para habilitar la salida de audio

Puede habilitar la salida de audio remoto de la máquina virtual. Algunas máquinas virtuales habilitan automáticamente esta configuración, mientras que en otras es necesario que el usuario habilite la configuración de audio manualmente. La configuración se cambia en la propia máquina virtual. La implementación de Bastion no necesita ningún valor de configuración especial para habilitar la salida de audio remoto. La entrada de audio no se admite en este momento.

Nota:

La salida de audio consume ancho de banda de la conexión a Internet.

Para habilitar la salida de audio remoto en una máquina virtual de Windows:

  1. Después de conectarse a la máquina virtual, aparece un botón de audio en la esquina inferior derecha de la barra de herramientas. Haga clic con el botón derecho en el botón de audio y seleccione Sonidos.
  2. Un mensaje emergente pregunta si desea habilitar el servicio de audio de Windows. Seleccione Sí. Puede configurar más opciones de audio en la sección Preferencias de sonido.
  3. Para comprobar la salida de sonido, mantenga el puntero del mouse sobre el botón de audio de la barra de herramientas.

Eliminación de una dirección IP pública de máquina virtual

Azure Bastion no usa la dirección IP pública para conectarse a la máquina virtual cliente. Si no necesita la dirección IP pública para su VM, puede desasociar la dirección IP pública. Consulte Desasociación de una dirección IP pública de una máquina virtual de Azure.

Pasos siguientes

  • Last updated on