Información sobre la configuración de Bastion

En las secciones de este artículo se habla de los recursos y la configuración de Azure Bastion.

SKU

Una SKU también se conoce como nivel. Azure Bastion admite varios niveles de SKU. Al configurar Bastion, seleccione el nivel de SKU. Decida el nivel de SKU en función de las características que desea usar. En la tabla siguiente se muestra la disponibilidad de las características por SKU correspondiente.

Característica SKU de desarrollador SKU básica SKU Estándar SKU Premium
Conexión a máquinas virtuales de destino en la misma red virtual
Conexión a máquinas virtuales de destino en redes virtuales emparejadas No
Compatibilidad con conexiones simultáneas No
Acceso a claves privadas de VM Linux en Azure Key Vault (AKV) No
Conexión a una máquina virtual Linux mediante SSH
Conexión a una máquina virtual Windows mediante RDP
Conexión a una máquina virtual Linux mediante RDP No No
Conexión mediante SSH a una máquina virtual Windows No No
Especificación del puerto de entrada personalizado No No
Conexión a máquinas virtuales mediante la CLI de Azure No No
Escalado de host No No
Carga o descarga de archivos No No
Autenticación de Kerberos No
Vínculo compartible No No
Conexión a máquinas virtuales a través de la dirección IP No No
Salida de audio de la máquina virtual
Deshabilitar copiar y pegar (clientes basados en web) No No
Grabaciones de sesiones No N.º No
Implementación con la arquitectura Solo privada No N.º No

SKU de desarrollador

La SKU del desarrollador de Bastion es una SKU gratuita y ligera. Esta SKU es ideal para los usuarios de desarrollo/pruebas que desean conectarse de forma segura a sus máquinas virtuales, pero no necesitan características de Bastion ni escalado de host adicionales. Con la SKU para desarrolladores, puede conectarse a una máquina virtual de Azure a la vez directamente a través de la página de conexión de la máquina virtual.

Al implementar Bastion mediante la SKU para desarrolladores, los requisitos de implementación son diferentes de cuando se implementan con otras SKU. Normalmente, cuando se crea un host bastión, se implementa un host en el AzureBastionSubnet en la red virtual. El host bastión está dedicado para su uso. Cuando se usa la SKU para desarrolladores, un host bastión no se implementa en la red virtual y no necesita una instancia de AzureBastionSubnet. Sin embargo, el host bastión de SKU para desarrolladores no es un recurso dedicado. En su lugar, forma parte de un grupo compartido.

Dado que el recurso bastión de SKU para desarrolladores no está dedicado, las características de la SKU para desarrolladores están limitadas. En la sección de SKU de la configuración de Bastión encontrará una lista de características por SKU. Siempre puede actualizar la SKU de desarrollador a una SKU superior si necesita admitir más características. Consulte Actualizar una SKU.

La SKU para desarrolladores está disponible actualmente en las siguientes regiones:

  • EUAP del centro de EE. UU.
  • EUAP de Este de EE. UU. 2
  • Centro-Oeste de EE. UU.
  • Centro-Norte de EE. UU
  • Oeste de EE. UU.
  • Norte de Europa

Nota:

El emparejamiento de red virtual global no se admite actualmente para la SKU de desarrollador.

SKU Prémium (versión preliminar)

SKU Premium es una nueva SKU que admite varias características de Bastion, como la Grabación de sesiones y Bastion solo privado. Al implementar Bastion, se recomienda seleccionar la SKU Premium solo si necesita las características que admite.

Especificar SKU

Método Valor de SKU Vínculos
Azure portal Nivel: Desarrollador Guía de inicio rápido
Azure portal Nivel: básico Guía de inicio rápido
Azure portal Nivel: Básico o superior Tutorial
Azure PowerShell Nivel: Básico o superior Instrucciones
CLI de Azure Nivel: Básico o superior Procedimiento

Actualización de un SKU

Siempre puede actualizar la SKU para agregar más características. Para obtener más información, consulte Actualización de un SKU.

Nota:

No se admite la degradación de la SKU. Para cambiar a una versión anterior, debe eliminar Azure Bastion y volver a crearlo.

Subred de Azure Bastion

Importante

Para los recursos de Azure Bastion implementados el 2 de noviembre de 2021 o más tarde, el tamaño mínimo de AzureBastionSubnet es /26 o mayor (/25, /24, etc.). Todos los recursos de Azure Bastion implementados en subredes de tamaño /27 anteriores a esta fecha no se ven afectados por este cambio y seguirán funcionando, pero se recomienda encarecidamente aumentar el tamaño de cualquier AzureBastionSubnet existente a /26 en caso de que decida aprovechar el escalado de host en el futuro.

Al implementar Azure Bastion mediante cualquier SKU excepto la SKU para desarrolladores, Bastion requiere una subred dedicada denominada AzureBastionSubnet. Debe crear esta subred en la misma red virtual en la que quiera implementar Azure Bastion. La subred debe tener la siguiente configuración:

  • La subred debe llamarse AzureBastionSubnet.
  • El tamaño de la subred debe ser de al menos /26 (/25, /24, etc.).
  • Para el escalado de host, se recomienda una subred de al menos /26. El uso de un espacio de subred más pequeño limita el número de unidades de escalado. Para más información, consulte la sección de Escalado de host de este artículo.
  • La subred debe estar en la misma red virtual y grupo de recursos que el host bastión.
  • La subred no puede contener otros recursos.

Puede configurar este valor con los métodos siguientes:

Método Valor Vínculos
Azure portal Subred Guía de inicio rápido
Tutorial
Azure PowerShell -subnetName cmdlet
Azure CLI --subnet-name command

Dirección IP pública

Las implementaciones de Azure Bastion, requieren una dirección IP pública, excepto SKU para desarrolladores y Solo pública. La dirección IP pública debe tener la siguiente configuración:

  • La SKU de la dirección IP pública debe ser estándar.
  • El método de asignación o asignación de direcciones IP públicas debe ser estático.
  • El nombre de la dirección IP pública es el nombre del recurso por el que desea hacer referencia a esta dirección IP pública.
  • Puede optar por usar una dirección IP pública que ya ha creado, siempre que cumpla los criterios requeridos por Azure Bastion y no esté en uso.

Puede configurar este valor con los métodos siguientes:

Método Valor Vínculos
Azure portal Dirección IP pública Azure Portal
Azure PowerShell -publicIPAddress cmdlet
CLI de Azure --public-ip create comando

Escalado de instancias y hosts

Una instancia es una máquina virtual de Azure optimizada que se crea al configurar Azure Bastion. Azure la administra completamente y ejecuta todos los procesos necesarios para Azure Bastion. Una instancia también se conoce como unidad de escalado. Se conecta a las máquinas virtuales cliente a través de una instancia de Azure Bastion. Al configurar las Azure Bastion con la SKU básica, se crean dos instancias. Si usa SKU Estándar, o cualquier versión superior, puede especificar el número de instancias (con un mínimo de dos). Esto se denomina escalado de host.

Cada instancia puede admitir 20 conexiones RDP simultáneas y 40 conexiones SSH simultáneas para cargas de trabajo medianas (vea Cuotas y límites de suscripción de Azure para obtener más información). El número de conexiones por instancia depende de las acciones que se están llevando a cabo cuando se conecta a la máquina virtual cliente. Por ejemplo, si está realizando un uso intensivo de datos, se crea una carga mayor para que la instancia la procese. Una vez superadas las sesiones simultáneas, se requiere otra unidad de escalado (instancia) más.

Las instancias se crean en AzureBastionSubnet. Para permitir el escalado de host, AzureBastionSubnet debe ser /26 o mayor. El uso de una subred más pequeña limita el número de instancias que puede crear. Para obtener más información sobre AzureBastionSubnet, consulte la sección subredes de este artículo.

Puede configurar este valor con los métodos siguientes:

Método Valor Vínculos Requiere SKU Estándar, o cualquier versión superior
Azure portal Recuento de instancias Procedimiento
Azure PowerShell ScaleUnit Procedimiento Yes

Puertos personalizados

Puede especificar el puerto que quiera usar para conectarse a sus máquinas virtuales. De forma predeterminada, los puertos de entrada usados para conectarse son 3389 para RDP y 22 para SSH. Si configura un valor de puerto personalizado, especifique ese valor cuando se conecte a la VM.

Los valores de puerto personalizados solo se admiten para SKU Estándar, o cualquier versión posterior.

La característica Vínculo compartible de Bastion permite a los usuarios conectarse a un recurso de destino mediante Azure Bastion sin acceder a Azure Portal.

Cuando un usuario sin credenciales de Azure hace clic en un vínculo para compartir, se abre una página web que solicita al usuario que inicie sesión en el recurso de destino a través de RDP o SSH. Los usuarios se autentican mediante el nombre de usuario y la contraseña o la clave privada, en función de lo que se haya configurado en Azure Portal para cada recurso. Los usuarios pueden conectarse a los mismos recursos a los que usted puede conectarse actualmente con Azure Bastion: máquinas virtuales o conjunto de escalado de máquinas virtuales.

Método Valor Vínculos Requiere SKU Estándar, o cualquier versión superior
Azure portal Vínculo compartible Configuración

Implementación con la arquitectura Solo privada

Las implementaciones de Bastion solo privada bloquean cargas de trabajo de un extremo a otro mediante la creación de una implementación de Bastion no enrutable por Internet que solo permite el acceso a direcciones IP privadas. Las implementaciones de Bastion solo privadas no permiten establecer conexiones con el host bastión a través de la dirección IP pública. Por el contrario, las implementaciones de Azure Bastion normales permiten a los usuarios conectarse al host bastión mediante una dirección IP pública. Para más información, consulte Implementación de Bastion como solo privada.

Grabaciones de sesiones

Cuando la característica Grabación de sesión de Azure Bastion esté habilitada, podrá grabar las sesiones gráficas para las conexiones realizadas a máquinas virtuales (RDP y SSH) a través del host bastión. Una vez cerrada o desconectada la sesión, las sesiones grabadas se almacenan en un contenedor de blobs que se encuentra en su cuenta de almacenamiento (a través de la dirección URL de SAS). Cuando se desconecta una sesión, puede acceder a las sesiones grabadas y verlas en Azure Portal desde la página Grabación de sesión. La grabación de sesión requiere la SKU Prémium de Bastion. Para más información, consulte Grabación de sesión de Bastion.

Zonas de disponibilidad

Algunas regiones admiten la capacidad de implementar Azure Bastion en una zona de disponibilidad (o varias, para la redundancia de zona). Para implementar de forma zonal, implemente Bastion mediante la configuración especificada manualmente (no se implemente mediante la configuración predeterminada automática). Especifique las zonas de disponibilidad deseadas en el momento de la implementación. No se puede cambiar la disponibilidad zonal después de implementar Bastion.

La compatibilidad con Availability Zones está actualmente en versión preliminar. Durante la versión preliminar, están disponibles las siguientes regiones:

  • Este de EE. UU.
  • Este de Australia
  • Este de EE. UU. 2
  • Centro de EE. UU.
  • Centro de Catar
  • Norte de Sudáfrica
  • Oeste de Europa
  • Oeste de EE. UU. 2
  • Norte de Europa
  • Centro de Suecia
  • Sur de Reino Unido 2
  • Centro de Canadá

Pasos siguientes

Para ver las preguntas más frecuentes, consulte las preguntas más frecuentes de Azure Bastion.