Trabajo con acceso a grupos de seguridad de red y Azure BastionWorking with NSG access and Azure Bastion

Al trabajar con Azure Bastion, puede usar grupos de seguridad de red (NSG).When working with Azure Bastion, you can use network security groups (NSGs). Para más información, consulte Grupos de seguridad.For more information, see Security Groups.

NSG

En este diagrama:In this diagram:

  • El host de Bastion se implementa en la red virtual.The Bastion host is deployed to the virtual network.
  • El usuario se conecta a Azure Portal con cualquier explorador HTML5.The user connects to the Azure portal using any HTML5 browser.
  • El usuario va a la máquina virtual de Azure para RDP/SSH.The user navigates to the Azure virtual machine to RDP/SSH.
  • Integración de conexión: sesión de RDP/SSH con un solo clic dentro del exploradorConnect Integration - Single-click RDP/SSH session inside the browser
  • No se requiere ninguna dirección IP pública en la máquina virtual de Azure.No public IP is required on the Azure VM.

Grupos de seguridad de redNetwork security groups

En esta sección se muestra el tráfico de red entre el usuario y Azure Bastion, y para dirigirse a las máquinas virtuales de la red virtual:This section shows you the network traffic between the user and Azure Bastion, and through to target VMs in your virtual network:

AzureBastionSubnetAzureBastionSubnet

Azure Bastion se implementa específicamente en *AzureBastionSubnet _.Azure Bastion is deployed specifically to *AzureBastionSubnet _.

_ Tráfico de entrada:_ Ingress Traffic:

  • Tráfico de entrada procedente de Internet pública: Azure Bastion creará una dirección IP pública que necesita el puerto 443 habilitado en la dirección IP pública para el tráfico de entrada.Ingress Traffic from public internet: The Azure Bastion will create a public IP that needs port 443 enabled on the public IP for ingress traffic. El puerto 3389/22 no tiene que abrirse en la subred AzureBastionSubnet.Port 3389/22 are NOT required to be opened on the AzureBastionSubnet.
  • Plano de control del tráfico de entrada procedente de Azure Bastion: Para la conectividad del plano de control, habilite el puerto 443 entrante desde la etiqueta de servicio de GatewayManager.Ingress Traffic from Azure Bastion control plane: For control plane connectivity, enable port 443 inbound from GatewayManager service tag. De este modo, se permite que el plano de control, es decir, el administrador de puerta de enlace, pueda comunicarse con Azure Bastion.This enables the control plane, that is, Gateway Manager to be able to talk to Azure Bastion.
  • Tráfico de entrada desde el plano de datos de Azure Bastion: Para la comunicación del plano de datos entre los componentes subyacentes de Azure Bastion, habilite los puertos 8080 y 5701 de entrada desde la etiqueta de servicio VirtualNetwork a la etiqueta de servicio VirtualNetwork.Ingress Traffic from Azure Bastion data plane: For data plane communication between the underlying components of Azure Bastion, enable ports 8080, 5701 inbound from the VirtualNetwork service tag to the VirtualNetwork service tag. Esto permite que los componentes de Azure Bastion se comuniquen entre sí.This enables the components of Azure Bastion to talk to each other.
  • Tráfico de entrada desde Azure Load Balancer: en el caso de los sondeos de estado, habilite el puerto 443 de entrada desde la etiqueta de servicio AzureLoadBalancer.Ingress Traffic from Azure Load Balancer: For health probes, enable port 443 inbound from the AzureLoadBalancer service tag. Esto permite que Azure Load Balancer detecte la conectividad.This enables Azure Load Balancer to detect connectivity

Captura de pantalla que muestra las reglas de seguridad de entrada para la conectividad de Azure Bastion.

  • Tráfico de salida:Egress Traffic:

    • Tráfico de salida a máquinas virtuales de destino: Azure Bastion se comunicará con las máquinas virtuales de destino a través de la dirección IP privada.Egress Traffic to target VMs: Azure Bastion will reach the target VMs over private IP. Los grupos de seguridad de red tienen que permitir el tráfico de salida a otras subredes de máquinas virtuales de destino para el puerto 3389 y 22.The NSGs need to allow egress traffic to other target VM subnets for port 3389 and 22.
    • Tráfico de salida al plano de datos de Azure Bastion: Para la comunicación del plano de datos entre los componentes subyacentes de Azure Bastion, habilite los puertos 8080 y 5701 de salida desde la etiqueta de servicio VirtualNetwork a la etiqueta de servicio VirtualNetwork.Egress Traffic to Azure Bastion data plane: For data plane communication between the underlying components of Azure Bastion, enable ports 8080, 5701 outbound from the VirtualNetwork service tag to the VirtualNetwork service tag. Esto permite que los componentes de Azure Bastion se comuniquen entre sí.This enables the components of Azure Bastion to talk to each other.
    • Salida del tráfico a otros puntos de conexión públicos de Azure: Azure Bastion debe ser capaz de conectarse a varios puntos de conexión públicos dentro de Azure (por ejemplo, para almacenar registros de diagnóstico y los registros de medición).Egress Traffic to other public endpoints in Azure: Azure Bastion needs to be able to connect to various public endpoints within Azure (for example, for storing diagnostics logs and metering logs). Por esta razón, Azure Bastion necesita una salida hacia 443 para la etiqueta de servicio AzureCloud.For this reason, Azure Bastion needs outbound to 443 to AzureCloud service tag.
    • Tráfico de salida a Internet: Azure Bastion debe ser capaz de comunicarse con Internet para la validación de la sesión y el certificado.Egress Traffic to Internet: Azure Bastion needs to be able to communicate with the Internet for session and certificate validation. Por esta razón, se recomienda habilitar el puerto 80 de salida a Internet.For this reason, we recommend enabling port 80 outbound to the Internet.

    Captura de pantalla que muestra las reglas de seguridad de salida para la conectividad de Azure Bastion.

Subred de máquina virtual de destinoTarget VM Subnet

Se trata de una subred que contiene la máquina virtual de destino a la que quiere conectarse mediante RDP/SSH.This is the subnet that contains the target virtual machine that you want to RDP/SSH to.

  • Tráfico de entrada procedente de Azure Bastion: Azure Bastion se comunicará con la máquina virtual de destino a través de la dirección IP privada.Ingress Traffic from Azure Bastion: Azure Bastion will reach to the target VM over private IP. Los puertos RDP/SSH (puertos 3389/22, respectivamente) tienen que abrirse en la máquina virtual de destino a través de la dirección IP privada.RDP/SSH ports (ports 3389/22 respectively) need to be opened on the target VM side over private IP. Como procedimiento recomendado, puede agregar el intervalo de direcciones IP de la subred de Azure Bastion en esta regla para permitir que solo Bastion pueda abrir estos puertos en las máquinas virtuales de destino de la subred de la máquina virtual de destino.As a best practice, you can add the Azure Bastion Subnet IP address range in this rule to allow only Bastion to be able to open these ports on the target VMs in your target VM subnet.

Pasos siguientesNext steps

Para más información sobre Azure Bastion, consulte las preguntas frecuentes.For more information about Azure Bastion, see the FAQ.