Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo ajuda você a implantar o Bastion como uma implantação somente privada. As implantações do Bastion somente privadas bloqueiam cargas de trabalho de ponta a ponta, criando uma implantação do Bastion não roteável pela internet, que permite apenas acesso a endereços IP privados. As implantações do Bastion somente privadas não permitem conexões com o host bastion por meio de endereço IP público. Por outro lado, uma implantação regular do Azure Bastion permite que os usuários se conectem ao host bastion usando um endereço IP público.
O diagrama a seguir mostra a arquitetura de implantação dedicada somente privada do Azure Bastion. O Bastion é implantado na rede virtual. Um usuário conectado ao Azure por meio do emparelhamento privado do ExpressRoute pode se conectar com segurança ao Bastion usando o endereço IP privado do bastion host. Em seguida, o Bastion pode fazer a conexão por meio de um endereço IP privado para uma máquina virtual que está dentro da mesma rede virtual que o host bastion ou em uma rede virtual emparelhada. Em uma implantação do Bastion somente privada, o Bastion não permite o acesso de saída fora da rede virtual.
Itens a serem considerados:
O Bastion somente privado é configurado no momento da implantação e requer a camada de SKU Premium.
Não é possível alterar de uma implantação comum do Bastion para uma implantação somente privada.
Para implantar o Bastion somente privado em uma rede virtual que já tenha uma implantação do Bastion, primeiro remova o Bastion de sua rede virtual e implante o Bastion novamente na rede virtual como somente privado. Você não precisa excluir e recriar a AzureBastionSubnet.
Se desejar criar conectividade privada de ponta a ponta, conecte-se usando o cliente nativo em vez de se conectar por meio do portal do Azure.
Se o computador cliente for local e não a do Azure, você precisará implantar um ExpressRoute ou VPN e habilitar a conexão baseada em IP no recurso do Bastion.
Verifique se as regras de segurança de rede não bloqueiam o acesso da porta 443 ao AzureBastionSubnet para tráfego de rede virtual de entrada.
Prerequisites
As etapas neste artigo pressupõem que você tenha os seguintes pré-requisitos:
- Uma assinatura do Azure. Se você não tiver uma, crie uma conta gratuita antes de começar.
- Uma rede virtual que não tem a implantação do Azure Bastion.
Valores de exemplo
Use os valores de exemplo a seguir ao criar essa configuração ou substitua-os por valores próprios.
Valores básicos de rede virtual e máquina virtual
| Name | Value |
|---|---|
| Grupo de recursos | TestRG1 |
| Region | Leste dos EUA |
| Rede virtual | VNet1 |
| Espaço de endereço | 10.1.0.0/16 |
| Nome da sub-rede 1: FrontEnd | 10.1.0.0/24 |
| Nome da sub-rede 2: AzureBastionSubnet | 10.1.1.0/26 |
Valores de bastion
| Name | Value |
|---|---|
| Name | VNet1-bastion |
| Tier/SKU | Premium |
| Contagem de instâncias (escala de host) | 2 ou superior |
| Assignment | Static |
Implantar o Bastion somente privado
Esta seção ajuda você a implantar o Bastion como somente privado em sua rede virtual.
Important
Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, consulte Preços e SKUs. Se estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso após terminar de usá-lo.
Entre no portal do Azure e acesse sua rede virtual. Caso ainda não tenha uma, poderá criar uma rede virtual. Caso esteja criando uma rede virtual para este exercício, poderá criar o AzureBastionSubnet (a partir da próxima etapa) ao mesmo tempo em que criar sua rede virtual.
Crie a sub-rede na qual os recursos do Bastion serão implantados. No painel esquerdo, selecione Sub-redes -> +Sub-rede para adicionar o AzureBastionSubnet.
- A sub-rede deve ser /26 ou maior (por exemplo, /26, /25 ou /24) para acomodar recursos disponíveis com a camada de SKU Premium.
- A sub-rede deve ser denominada AzureBastionSubnet.
Selecione Salvar na parte inferior do painel para salvar seus valores.
Em seguida, na página da rede virtual, selecione Bastion no painel esquerdo.
Na página Bastion , expanda Opções de Implantação Dedicada (se essa seção for exibida). Selecione o botão Configurar manualmente . Caso não selecione esse botão, não poderá visualizar as configurações necessárias para implantar o Bastion como somente privado.
No painel Criar um Bastion, defina as configurações para o bastion host. Os valores de detalhes do Projeto são preenchidos de seus valores de rede virtual.
Em detalhes da Instância, configure estes valores:
Nome: o nome que você deseja usar para o recurso do Bastion.
Região: a região pública do Azure na qual o recurso será criado. Escolha a região na qual sua rede virtual reside.
Camada: você deve selecionar Premium para uma implantação somente privada.
Contagem de instâncias: a configuração para dimensionamento de host. Você configura a escala de host em incrementos de unidade de escala. Use o controle deslizante ou insira um número para configurar a contagem de instâncias desejada. Para obter mais informações, confira Escala de host e instâncias e Preço do Azure Bastion.
Para definir as Configurações de redes virtuais, selecione sua rede virtual na lista suspensa. Se sua rede virtual não estiver na lista suspensa, verifique se você selecionou o valor de Região correto na etapa anterior.
O AzureBastionSubnet será preenchido automaticamente se você já o tiver criado nas etapas anteriores.
A seção Configurar endereço IP é onde você especifica que esta é uma implantação somente privada. Selecione o endereço IP Privado nas opções.
Ao selecionar o endereço IP Privado, as configurações de endereço IP Público são removidas automaticamente da tela de configuração.
Se você planeja usar o ExpressRoute ou VPN com o Bastion somente privado, vá para a guia Avançado . Selecione a conexão baseada em IP.
Quando terminar de especificar as configurações, selecione Examinar + Criar. Essa etapa valida os valores.
Depois que os valores são validados, você pode implantar o Bastion. Selecione Criar.
Uma mensagem mostra que a implantação está em processo. O status aparece nessa página à medida que os recursos são criados. Leva cerca de dez minutos para o recurso do Bastion ser criado e implantado.
Próximas etapas
Para saber mais sobre definições de configuração, veja Definições de configuração do Azure Bastion e as Perguntas frequentes do Azure Bastion.