Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As seções neste artigo abordam os recursos e as configurações do Azure Bastion.
SKUs
Um SKU também é conhecido como Camada. O Azure Bastion dá suporte a várias camadas de SKU. Ao configurar o Bastion, selecione a camada de SKU. Você decide a camada de SKU com base nos recursos que quer usar. A tabela a seguir mostra a disponibilidade de recursos por SKU correspondente.
| Recurso | SKU Básico | SKU Standard | SKU Premium |
|---|---|---|---|
| Conectar-se a VMs de destino na mesma rede virtual | Sim | Sim | Sim |
| Conectar-se a VMs de destino em redes virtuais emparelhadas | Sim | Sim | Sim |
| Oferecer suporte a conexões simultâneas | Sim | Sim | Sim |
| Acessar chaves privadas da VM do Linux no Azure Key Vault (AKV) | Sim | Sim | Sim |
| Conectar-se a uma VM do Linux usando SSH | Sim | Sim | Sim |
| Conectar-se a uma VM do Windows usando RDP | Sim | Sim | Sim |
| Conectar-se a uma VM do Linux usando RDP | Não | Sim | Sim |
| Conectar-se a uma VM do Windows usando SSH | Não | Sim | Sim |
| Especificar porta de entrada personalizada | Não | Sim | Sim |
| Conectar-se a VMs por meio da CLI do Azure | Não | Sim | Sim |
| Dimensionamento de host | Não | Sim | Sim |
| Carregar ou baixar arquivos | Não | Sim | Sim |
| Autenticação do Kerberos | Sim | Sim | Sim |
| Link compartilhável | Não | Sim | Sim |
| Conectar-se a VMs por meio de endereço IP | Não | Sim | Sim |
| Saída de áudio da VM | Sim | Sim | Sim |
| Desabilitar copiar/colar (clientes baseados na Web) | Não | Sim | Sim |
| Gravação de sessões | Não | Não | Sim |
| Implantação apenas privada | Não | Não | Sim |
Desenvolvedor do Bastion
O Bastion Developer é uma oferta leve e gratuita do serviço do Azure Bastion. Essa oferta é ideal para usuários de Desenvolvimento/Teste que desejam se conectar com segurança às suas VMs, mas não precisam de recursos adicionais do Bastion ou dimensionamento de host. Com o Bastion Developer, você pode se conectar a uma VM do Azure de cada vez diretamente por meio da página de conexão da máquina virtual.
Quando você se conecta ao Bastion Developer, os requisitos de implantação são diferentes de quando você implanta usando outras SKUs. Normalmente, ao criar um bastion host, um host é implantado no AzureBastionSubnet em sua rede virtual. O host do Bastion é dedicado para seu uso, enquanto o Desenvolvedor do Bastion não é. Como o recurso de Desenvolvedor do Bastion não é dedicado, os recursos para o Desenvolvedor do Bastion são limitados. Você sempre pode atualizar o Desenvolvedor do Bastion para uma SKU específica se precisar dar suporte a mais recursos. Confira Fazer upgrade de uma SKU.
No momento, o Desenvolvedor do Bastion está disponível nas seguintes regiões:
- Austrália Central
- Leste da Austrália
- Sudeste da Austrália
- Sul do Brasil
- Canadá Central
- Leste do Canadá
- Índia Central
- EUA Central
- EUA Central EUAP
- Ásia Oriental
- Leste dos EUA 2
- Leste dos EUA 2 EUAP
- França Central
- Centro-oeste da Alemanha
- Norte da Itália
- Leste do Japão
- Oeste do Japão
- Coreia Central
- Sul da Coreia
- México Central
- Centro-Norte dos EUA
- Europa Setentrional
- Leste da Noruega
- Norte da África do Sul
- Sul da Índia
- Espanha Central
- Suécia Central
- Norte da Suíça
- Sudeste Asiático
- Norte dos EAU
- Sul do Reino Unido
- Oeste do Reino Unido
- Centro-oeste dos EUA
- Oeste da Europa
- Oeste dos EUA
Observação
Atualmente, não há suporte para emparelhamento de VNet para o Desenvolvedor do Bastion.
SKU Premium
O SKU Premium é um novo SKU que dá suporte a recursos do Bastion, como Gravação de Sessão e Bastion Somente Privado. Ao implantar o Bastion, recomendamos que você selecione a SKU Premium apenas se precisar dos recursos que ela oferece.
Especificar SKU
| Método | Valor do SKU | Links |
|---|---|---|
| portal do Azure | Nível – Desenvolvedor | Início rápido |
| portal do Azure | Camada de serviço = Standard | Início rápido |
| portal do Azure | Camada – Básico ou superior | Tutorial |
| Azure PowerShell | Camada – Básico ou superior | Como fazer |
| CLI do Azure | Camada – Básico ou superior | Como fazer |
Atualizar um SKU
Você sempre pode atualizar um SKU para adicionar mais recursos. Para obter mais informações, confira Atualizar um SKU.
Observação
Não há suporte para downgrade de um SKU. Para downgrade, você deve excluir e recriar o Azure Bastion.
Sub-rede do Azure Bastion
Importante
Para os recursos do Azure Bastion implantados a partir de 2 de novembro de 2021, o tamanho mínimo do AzureBastionSubnet é /26 ou maior (/25, /24 etc.). Todos os recursos do Azure Bastion implantados em sub-redes de tamanho /27 antes dessa data não serão afetados por essa alteração e continuarão funcionando, mas é altamente recomendável aumentar o tamanho de qualquer AzureBastionSubnet existente para /26 caso você opte por aproveitar o dimensionamento de host no futuro.
Quando você implanta o Azure Bastion usando qualquer SKU, exceto a oferta do Bastion Developer, o Bastion requer uma sub-rede dedicada chamada AzureBastionSubnet. Você precisa criar essa sub-rede na mesma rede virtual para a qual deseja implantar o Azure Bastion. A sub-rede deve ter a seguinte configuração:
- O nome da sub-rede deve ser AzureBastionSubnet.
- O tamanho da sub-rede precisa ser /26 ou maior (/25, /24 etc.).
- Para o dimensionamento de host, é recomendável uma sub-rede /26 ou maior. O uso de um espaço de sub-rede menor limita o número de unidades de escala. Para saber mais, consulte a seção Dimensionamento de host deste artigo.
- A sub-rede deve estar na mesma rede virtual e no mesmo grupo de recursos que o bastion host.
- A sub-rede não pode conter outros recursos.
Você pode configurar essa definição usando os seguintes métodos:
| Método | Valor | Links |
|---|---|---|
| portal do Azure | Sub-rede |
Início rápido Tutorial |
| Azure PowerShell | -subnetName | cmdlet |
| CLI do Azure | --subnet-name | comando |
Endereço IP público
As implantações do Azure Bastion, exceto o Bastion Developer e o Private-only, exigem um endereço IP público. O IP Público deve ter a seguinte configuração:
- O SKU do endereço IP Público deve ser Standard.
- O método de atribuição/alocação de endereço IP público deve ser Estático.
- O nome do endereço IP público é o nome do recurso pelo qual você deseja fazer referência a esse endereço IP público.
- Você pode optar por usar um endereço IP público que você já criou, desde que ele atenda aos critérios exigidos pelo Azure Bastion e ainda não esteja em uso.
Você pode configurar essa definição usando os seguintes métodos:
| Método | Valor | Links |
|---|---|---|
| portal do Azure | Endereço IP público | Portal do Azure |
| Azure PowerShell | -PublicIpAddress | cmdlet |
| CLI do Azure | --public-ip create | comando |
Configurar endereços IP públicos com zonas de disponibilidade configuradas
Consulte a tabela abaixo para criar/usar endereços de IP públicos para as implantações zonais do Bastion:
| Scenario | Zonas de disponibilidade do Bastion | Zonas de disponibilidade de IP público |
|---|---|---|
| Criando um novo IP público | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| Usando um IP público existente | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| 0 | todos os IPs públicos, zonais ou não |
Instâncias e dimensionamento de host
Uma instância é uma VM do Azure otimizada que é criada quando você configura o Azure Bastion. Ela é totalmente gerenciada pelo Azure e executa todos os processos necessários para o Azure Bastion. Uma instância também é referida como uma unidade de escala. Você se conecta às VMs do cliente por meio de uma instância do Azure Bastion. Quando você configura o Azure Bastion usando o SKU Básico, duas instâncias são criadas. Se você usar o SKU Standard ou superior, poderá especificar o número de instâncias (com um mínimo de duas instâncias). Isso é chamado de dimensionamento de host.
Cada instância pode dar suporte a 20 conexões RDP simultâneas e a 40 conexões SSH simultâneas para cargas de trabalho médias (confira Limites e cotas de assinatura do Azure para obter mais informações). O número de conexões por instâncias depende de quais ações você está realizando quando conectado à VM do cliente. Por exemplo, se você estiver fazendo algo com uso intensivo de dados, isso criará uma carga maior para a instância processar. Depois que as sessões simultâneas forem excedidas, uma unidade de escala adicional (instância) será necessária.
As instâncias são criadas no AzureBastionSubnet. Para permitir o dimensionamento de host, o AzureBastionSubnet deve ser /26 ou maior. O uso de uma sub-rede menor limita o número de instâncias que você pode criar. Para obter mais informações sobre o AzureBastionSubnet, consulte a seção sub-redes neste artigo.
Você pode configurar essa definição usando os seguintes métodos:
| Método | Valor | Links | Requer SKU Standard ou superior |
|---|---|---|---|
| portal do Azure | Contagem de instâncias | Como fazer | Sim |
| Azure PowerShell | ScaleUnit | Como fazer | Sim |
Portas personalizadas
Você pode especificar a porta que deseja usar para se conectar às suas VMs. Por padrão, as portas de entrada usadas para conexão são 3389 para RDP e 22 para SSH. Se você configurar um valor de porta personalizado, será necessário especificar esse valor ao se conectar à VM.
Há suporte para valores de porta personalizados apenas para o SKU Standard ou superior.
Link compartilhável
O recurso Link Compartilhável do Bastion permite que os usuários se conectem a um recurso de destino usando o Azure Bastion sem acessar o portal do Azure.
Quando um usuário sem credenciais do Azure clica em um link compartilhável, é aberta uma página da Web solicitando que o usuário entre no recurso de destino por meio de RDP ou SSH. Os usuários se autenticam usando nome de usuário e senha ou chave privada, dependendo do que você configurou no portal do Azure para esse recurso de destino. Os usuários podem se conectar aos mesmos recursos aos quais você pode se conectar no momento com o Azure Bastion: VMs ou conjunto de dimensionamento de máquinas virtuais.
| Método | Valor | Links | Requer SKU Standard ou superior |
|---|---|---|---|
| portal do Azure | Link compartilhável | Configurar | Sim |
Implantação apenas privada
As implantações do Bastion somente privado bloqueiam cargas de trabalho de ponta a ponta criando uma implantação roteável não da Internet do Bastion que permite apenas acesso a endereços IP privados. Implantações privadas do Bastion não permitem conexões com o host Bastion por meio de endereço IP público. Por outro lado, uma implantação regular do Azure Bastion permite que os usuários se conectem ao bastion host usando um endereço IP público. Para obter mais informações, confira Implantar o Bastion como somente privado.
Gravação de sessões
Quando o recurso de gravação de sessão do Azure Bastion estiver habilitado, você poderá gravar as sessões gráficas para conexões feitas com máquinas virtuais (RDP e SSH) por meio do bastion host. Depois que a sessão é fechada ou desconectada, as sessões gravadas são armazenadas em um contêiner de blob em sua conta de armazenamento (por meio da URL SAS). Quando uma sessão é desconectada, você pode acessar e exibir suas sessões gravadas no portal do Azure na página Gravação de sessão. A gravação de sessão requer o SKU do Bastion Premium. Para obter mais informações, confira Gravação de sessão do Bastion.
Zonas de disponibilidade
Algumas regiões dão suporte à capacidade de implantar o Azure Bastion em uma zona de disponibilidade (ou múltipla, para redundância de zona). Para implantar zonalmente, implante o Bastion usando configurações especificadas manualmente (não implante usando as configurações padrão automáticas). Especifique as zonas de disponibilidade desejadas no momento da implantação. Você não poderá alterar a disponibilidade zonal depois que o Bastion for implantado.
O suporte para Zonas de Disponibilidade está atualmente em versão prévia. Durante a versão prévia, as seguintes regiões estão disponíveis:
- Leste dos EUA
- Leste da Austrália
- Leste dos EUA 2
- EUA Central
- Catar Central
- Norte da África do Sul
- Oeste da Europa
- Oeste dos EUA 2
- Europa Setentrional
- Suécia Central
- Sul do Reino Unido
- Canadá Central
Próximas etapas
Para perguntas frequentes, confira as Perguntas frequentes sobre o Azure Bastion.