Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En las secciones de este artículo se habla de los recursos y la configuración de Azure Bastion.
Subred de Azure Bastion
Importante
Para los recursos de Azure Bastion implementados el 2 de noviembre de 2021 o más tarde, el tamaño mínimo de AzureBastionSubnet es /26 o mayor (/25, /24, etc.). Todos los recursos de Azure Bastion implementados en subredes de tamaño /27 anteriores a esta fecha no se ven afectados por este cambio y seguirán funcionando, pero se recomienda encarecidamente aumentar el tamaño de cualquier AzureBastionSubnet existente a /26 en caso de que decida aprovechar el escalado de host en el futuro.
Cuando implementa Azure Bastion con cualquier SKU a excepción de la oferta Bastion Developer, Bastion requiere una subred dedicada denominada AzureBastionSubnet. Debe crear esta subred en la misma red virtual en la que quiera implementar Azure Bastion. La subred debe tener la siguiente configuración:
- La subred debe llamarse AzureBastionSubnet.
- El tamaño de la subred debe ser de al menos /26 (/25, /24, etc.).
- Para el escalado de host, se recomienda una subred de al menos /26. El uso de un espacio de subred más pequeño limita el número de unidades de escalado. Para más información, consulte la sección de Escalado de host de este artículo.
- La subred debe estar en la misma red virtual y grupo de recursos que el host bastión.
- La subred no puede contener otros recursos.
Puede configurar este valor con los métodos siguientes:
| Método | Value | Vínculos |
|---|---|---|
| Azure portal | Subnet |
Guía de inicio rápido Tutorial |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | command |
Dirección IP pública
Las implementaciones de Azure Bastion, excepto "Bastion Developer" y "Private-only", requieren una dirección IP pública. La dirección IP pública debe tener la siguiente configuración:
- La SKU de la dirección IP pública debe ser estándar.
- El método de asignación o asignación de direcciones IP públicas debe ser estático.
- El nombre de la dirección IP pública es el nombre del recurso por el que desea hacer referencia a esta dirección IP pública.
- Puede optar por usar una dirección IP pública que ya ha creado, siempre que cumpla los criterios requeridos por Azure Bastion y no esté en uso.
Puede configurar este valor con los métodos siguientes:
| Método | Value | Vínculos |
|---|---|---|
| Azure portal | Dirección IP pública | Azure Portal |
| Azure PowerShell | -publicIPAddress | cmdlet |
| Azure CLI | --public-ip create | command |
Configuración de direcciones IP públicas con zonas de disponibilidad configuradas
Consulte la tabla siguiente para crear o usar direcciones IP públicas para implementaciones de Bastion zonales:
| Scenario | Zonas de disponibilidad de Bastion | Zonas de disponibilidad de IP pública |
|---|---|---|
| Creación de una nueva dirección IP pública | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| Uso de una dirección IP pública existente | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| 0 | todas las direcciones IP públicas, zonales o no |
Escalado de instancias y hosts
Una instancia es una máquina virtual de Azure optimizada que se crea al configurar Azure Bastion. Azure la administra completamente y ejecuta todos los procesos necesarios para Azure Bastion. Una instancia también se conoce como unidad de escalado. Se conecta a las máquinas virtuales cliente a través de una instancia de Azure Bastion. Al configurar las Azure Bastion con la SKU básica, se crean dos instancias. Si usa SKU Estándar, o cualquier versión superior, puede especificar el número de instancias (con un mínimo de dos). Esto se denomina escalado de host.
Cada instancia puede admitir 20 conexiones RDP simultáneas y 40 conexiones SSH simultáneas para cargas de trabajo medianas (vea Cuotas y límites de suscripción de Azure para obtener más información). El número de conexiones por instancia depende de las acciones que se están llevando a cabo cuando se conecta a la máquina virtual cliente. Por ejemplo, si está realizando un uso intensivo de datos, se crea una carga mayor para que la instancia la procese. Una vez superadas las sesiones simultáneas, se requiere otra unidad de escalado (instancia) más.
Las instancias se crean en AzureBastionSubnet. Para permitir el escalado de host, AzureBastionSubnet debe ser /26 o mayor. El uso de una subred más pequeña limita el número de instancias que puede crear. Para obtener más información sobre AzureBastionSubnet, consulte la sección subredes de este artículo.
Puede configurar este valor con los métodos siguientes:
| Método | Value | Vínculos | Requiere SKU Estándar, o cualquier versión superior |
|---|---|---|---|
| Azure portal | Recuento de instancias | Procedimiento | Sí |
| Azure PowerShell | ScaleUnit | Procedimiento | Sí |
Puertos personalizados
Puede especificar el puerto que quiera usar para conectarse a sus máquinas virtuales. De forma predeterminada, los puertos de entrada usados para conectarse son 3389 para RDP y 22 para SSH. Si configura un valor de puerto personalizado, especifique ese valor cuando se conecte a la VM.
Los valores de puerto personalizados solo se admiten para SKU Estándar, o cualquier versión posterior.
Vínculo compartible
La característica Vínculo compartible de Bastion permite a los usuarios conectarse a un recurso de destino mediante Azure Bastion sin acceder a Azure Portal.
Cuando un usuario sin credenciales de Azure hace clic en un vínculo para compartir, se abre una página web que solicita al usuario que inicie sesión en el recurso de destino a través de RDP o SSH. Los usuarios se autentican mediante el nombre de usuario y la contraseña o la clave privada, en función de lo que se haya configurado en Azure Portal para cada recurso. Los usuarios pueden conectarse a los mismos recursos a los que usted puede conectarse actualmente con Azure Bastion: máquinas virtuales o conjunto de escalado de máquinas virtuales.
| Método | Value | Vínculos | Requiere SKU Estándar, o cualquier versión superior |
|---|---|---|---|
| Azure portal | Vínculo compartible | Configuración | Sí |
Implementación con la arquitectura Solo privada
Las implementaciones de Bastion solo privada bloquean cargas de trabajo de un extremo a otro mediante la creación de una implementación de Bastion no enrutable por Internet que solo permite el acceso a direcciones IP privadas. Las implementaciones de Bastion solo privadas no permiten establecer conexiones con el host bastión a través de la dirección IP pública. Por el contrario, las implementaciones de Azure Bastion normales permiten a los usuarios conectarse al host bastión mediante una dirección IP pública. Para más información, consulte Implementación de Bastion como solo privada.
Grabación de la sesión
Cuando la característica Grabación de sesión de Azure Bastion esté habilitada, podrá grabar las sesiones gráficas para las conexiones realizadas a máquinas virtuales (RDP y SSH) a través del host bastión. Una vez cerrada o desconectada la sesión, las sesiones grabadas se almacenan en un contenedor de blobs que se encuentra en su cuenta de almacenamiento (a través de la dirección URL de SAS). Cuando se desconecta una sesión, puede acceder a las sesiones grabadas y verlas en Azure Portal desde la página Grabación de sesión. La grabación de sesión requiere la SKU Prémium de Bastion. Para más información, consulte Grabación de sesión de Bastion.
Zonas de disponibilidad
Algunas regiones admiten la capacidad de implementar Azure Bastion en una zona de disponibilidad (o varias, para la redundancia de zona). Para implementar de forma zonal, implemente Bastion mediante la configuración especificada manualmente (no se implemente mediante la configuración predeterminada automática). Especifique las zonas de disponibilidad deseadas en el momento de la implementación. No se puede cambiar la disponibilidad zonal después de implementar Bastion.
La compatibilidad con Availability Zones está actualmente en versión preliminar. Durante la versión preliminar, están disponibles las siguientes regiones:
- Este de EE. UU.
- Este de Australia
- Este de EE. UU. 2
- Centro de EE. UU.
- Centro de Catar
- Norte de Sudáfrica
- Oeste de Europa
- Oeste de EE. UU. 2
- Norte de Europa
- Centro de Suecia
- Sur de Reino Unido
- Centro de Canadá
Pasos siguientes
Para ver las preguntas más frecuentes, consulte las preguntas más frecuentes de Azure Bastion. Elija la SKU de Azure Bastion adecuada para sus necesidades; para ello, lea Elección de las SKU de Azure Bastion adecuadas para satisfacer sus necesidades. Revise las recomendaciones de optimización de costos para Azure Bastion en Optimización de los costos de Azure Bastion.