Implantar o Bastion como somente privado (versão prévia)

Este artigo ajuda você a implantar o Bastion como uma implantação somente privada. As implantações do Bastion somente privadas bloqueiam cargas de trabalho de ponta a ponta, criando uma implantação do Bastion não roteável pela internet, que permite apenas acesso a endereços IP privados. As implantações do Bastion somente privadas não permitem conexões com o host bastion por meio de endereço IP público. Por outro lado, uma implantação regular do Azure Bastion permite que os usuários se conectem ao host bastion usando um endereço IP público.

O diagrama a seguir mostra a arquitetura de implantação somente privada do Bastion. Um usuário conectado ao Azure por meio do emparelhamento privado do ExpressRoute pode se conectar com segurança ao Bastion usando o endereço IP privado do bastion host. Em seguida, o Bastion pode fazer a conexão por meio de um endereço IP privado para uma máquina virtual que está dentro da mesma rede virtual que o bastion host. Em uma implantação do Bastion somente privada, o Bastion não permite o acesso de saída fora da rede virtual.

Diagrama mostrando a arquitetura do Azure Bastion.

Itens a serem considerados:

  • O Bastion somente privado é configurado no momento da implantação e requer a camada de SKU Premium.

  • Não é possível alterar de uma implantação comum do Bastion para uma implantação somente privada.

  • Para implantar o Bastion somente privado em uma rede virtual que já tenha uma implantação do Bastion, primeiro remova o Bastion de sua rede virtual e implante o Bastion novamente na rede virtual como somente privado. Você não precisa excluir e recriar a AzureBastionSubnet.

  • Se desejar criar conectividade privada de ponta a ponta, conecte-se usando o cliente nativo em vez de se conectar por meio do portal do Azure.

  • Se a sua máquina cliente estiver no local e não for do Azure, você precisará implantar um ExpressRoute ou VPN e habilitar a conexão baseada em IP no recurso Bastion

Pré-requisitos

As etapas neste artigo pressupõem que você tenha os seguintes pré-requisitos:

  • Uma assinatura do Azure. Se você não tiver uma conta gratuita, crie uma antes de começar.
  • Uma rede virtual que não tem a implantação do Azure Bastion.

Valores de exemplo

Use os valores de exemplo a seguir ao criar essa configuração ou substitua-os por valores próprios.

Valores básicos de rede virtual e máquina virtual

Nome Valor
Grupo de recursos TestRG1
Região Leste dos EUA
Rede virtual VNet1
Espaço de endereço 10.1.0.0/16
Nome da sub-rede 1: FrontEnd 10.1.0.0/24
Nome da sub-rede 2: AzureBastionSubnet 10.1.1.0/26

Valores do Bastion

Nome Valor
Nome VNet1-bastion
Camada/SKU Premium
Contagem de instâncias (escala de host) 2 ou mais recente
Cessão Estático

Implantar o Bastion somente privado

Esta seção ajuda você a implantar o Bastion como somente privado em sua rede virtual.

Importante

Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso após terminar de usá-lo.

  1. Entre no portal do Azure e acesse sua rede virtual. Caso ainda não tenha uma, poderá criar uma rede virtual. Caso esteja criando uma rede virtual para este exercício, poderá criar o AzureBastionSubnet (a partir da próxima etapa) ao mesmo tempo em que criar sua rede virtual.

  2. Crie a sub-rede na qual os recursos do Bastion serão implantados. No painel esquerdo, selecione Sub-redes -> +Sub-rede para adicionar o AzureBastionSubnet.

    • A sub-rede deve ser /26 ou superior (/26, /25 ou /24) para acomodar recursos disponíveis com a camada de serviço do SKU Premium.
    • A sub-rede precisa ser nomeada AzureBastionSubnet.
  3. Selecione Salvar na parte inferior do painel para salvar os valores.

  4. Em seguida, na página da rede virtual, selecione Bastion no painel esquerdo.

  5. Na página Bastion, expanda Opções de Implantação Dedicada (se essa seção for exibida). Selecione o botão Configurar manualmente. Caso não selecione esse botão, não poderá visualizar as configurações necessárias para implantar o Bastion como somente privado.

    Captura de tela que mostra as opções de implantação dedicadas para o Azure Bastion e o botão para configuração manual.

  6. No painel Criar um Bastion, defina as configurações para o bastion host. Os valores de Detalhes do projeto são preenchidos de seus valores de rede virtual.

    Em Detalhes da instância, configure esses valores:

    Captura de tela dos detalhes da instância do Azure Bastion.

    • Nome: o nome que quer usar para o recurso do Bastion.

    • Região: a região pública do Azure na qual o recurso será criado. Escolha a região na qual sua rede virtual reside.

    • Camada: você deverá selecionar Premium para uma implantação somente privada.

    • Contagem de instâncias: a configuração para escala de host. Você configura a escala de host em incrementos de unidade de escala. Use o controle deslizante ou insira um número para configurar a contagem de instâncias desejada. Para obter mais informações, confira Escala de host e instâncias e Preço do Azure Bastion.

  7. Para definir as Configurações de redes virtuais, selecione sua rede virtual na lista suspensa. Se a rede virtual não estiver na lista de seleção, verifique se selecionou o valor correto de Região na etapa anterior.

  8. O AzureBastionSubnet será preenchido automaticamente, caso já o tenha criado nas etapas anteriores.

  9. A seção Configurar endereço IP é onde você especifica que esta é uma implantação somente privada. Selecione o endereço IP Privado nas opções.

    Ao selecionar o endereço IP Privado, as configurações de endereço IP Público são removidas automaticamente da tela de configuração.

    Captura de tela das definições de configuração de endereço IP do Azure Bastion.

  10. Caso planeja usar o ExpressRoute ou VPN com o Bastion somente privado, acesse o guia Avançado. Selecione a conexão baseada em IP.

  11. Quando terminar de especificar as configurações, selecione Examinar + Criar. Essa etapa valida os valores.

  12. Depois que os valores são validados, você pode implantar o Bastion. Selecione Criar.

  13. Uma mensagem mostra que a implantação está em processo. O status aparece nessa página à medida que os recursos são criados. Leva cerca de dez minutos para o recurso do Bastion ser criado e implantado.

Próximas etapas

Para saber mais sobre definições de configuração, veja Definições de configuração do Azure Bastion e as Perguntas frequentes do Azure Bastion.