¿Qué es Azure Bastion?What is Azure Bastion?

Azure Bastion es un servicio que se implementa que le permite conectarse a una máquina virtual mediante el explorador y Azure Portal.Azure Bastion is a service you deploy that lets you connect to a virtual machine using your browser and the Azure portal. Azure Bastion es un nuevo servicio PaaS totalmente administrado por la plataforma que se aprovisiona en las redes virtuales.The Azure Bastion service is a fully platform-managed PaaS service that you provision inside your virtual network. Proporciona una conectividad RDP/SSH segura e ininterrumpida a las máquinas virtuales directamente desde Azure Portal a través de TLS.It provides secure and seamless RDP/SSH connectivity to your virtual machines directly from the Azure portal over TLS. Cuando se conecta a través de Azure Bastion, las máquinas virtuales no necesitan una dirección IP pública, un agente o software cliente especial.When you connect via Azure Bastion, your virtual machines do not need a public IP address, agent, or special client software.

Bastion proporciona conectividad segura de RDP y SSH a todas las máquinas virtuales de la red virtual en la que se aprovisiona.Bastion provides secure RDP and SSH connectivity to all of the VMs in the virtual network in which it is provisioned. El uso de Azure Bastion protege las máquinas virtuales frente a la exposición de los puertos de RDP/SSH al mundo exterior, al tiempo que ofrece acceso seguro mediante RDP/SSH.Using Azure Bastion protects your virtual machines from exposing RDP/SSH ports to the outside world, while still providing secure access using RDP/SSH.

ArchitectureArchitecture

La implementación de Azure Bastion se realiza por red virtual, no por suscripción o cuenta, ni por máquina virtual.Azure Bastion deployment is per virtual network, not per subscription/account or virtual machine. Una vez que haya aprovisionado un servicio Azure Bastion en su red virtual, la experiencia de RDP/SSH estará disponible para todas las máquinas virtuales de la misma red virtual.Once you provision an Azure Bastion service in your virtual network, the RDP/SSH experience is available to all your VMs in the same virtual network.

RDP y SSH son algunos de los medios fundamentales a mediante los que puede conectarse a las cargas de trabajo que se ejecutan en Azure.RDP and SSH are some of the fundamental means through which you can connect to your workloads running in Azure. La exposición de los puertos RDP/SSH a través de Internet no se conveniente y se considera una superficie de amenaza considerable.Exposing RDP/SSH ports over the Internet isn't desired and is seen as a significant threat surface. Esto suele deberse a las vulnerabilidades del protocolo.This is often due to protocol vulnerabilities. Para contener esta superficie de amenaza, puede implementar hosts de bastión (también conocidos como servidores de salto) en la parte pública de la red perimetral.To contain this threat surface, you can deploy bastion hosts (also known as jump-servers) at the public side of your perimeter network. Los servidores host de bastión están diseñados y configurados para resistir los ataques.Bastion host servers are designed and configured to withstand attacks. Los servidores de bastión también proporcionan conectividad RDP y SSH con las cargas de trabajo que se encuentran detrás del bastión, así como más adentro en la red.Bastion servers also provide RDP and SSH connectivity to the workloads sitting behind the bastion, as well as further inside the network.

Arquitectura de Azure Bastion

Esta ilustración muestra la arquitectura de una implementación de Azure Bastion.This figure shows the architecture of an Azure Bastion deployment. En este diagrama:In this diagram:

  • El host de Bastion se implementa en la red virtual.The Bastion host is deployed in the virtual network.
  • El usuario se conecta a Azure Portal con cualquier explorador HTML5.The user connects to the Azure portal using any HTML5 browser.
  • El usuario selecciona la máquina virtual a la que conectarse.The user selects the virtual machine to connect to.
  • Con un solo clic, la sesión RDP/SSH se abre en el explorador.With a single click, the RDP/SSH session opens in the browser.
  • No se requiere ninguna dirección IP pública en la máquina virtual de Azure.No public IP is required on the Azure VM.

Principales característicasKey features

Las siguientes características están disponibles:The following features are available:

  • RDP y SSH directamente en Azure Portal: Puede ir directamente a la sesión RDP y SSH en Azure Portal con un solo clic y sin problemas.RDP and SSH directly in Azure portal: You can directly get to the RDP and SSH session directly in the Azure portal using a single click seamless experience.
  • Sesión remota a través de TLS y firewall traversal para RDP/SSH: Azure Bastion usa un cliente web basado en HTML5 que automáticamente se transmite al dispositivo local, para que obtenga la sesión de RDP/SSH a través de SSL en el puerto 443, lo que le permite recorrer los firewalls corporativos de forma segura.Remote Session over TLS and firewall traversal for RDP/SSH: Azure Bastion uses an HTML5 based web client that is automatically streamed to your local device, so that you get your RDP/SSH session over TLS on port 443 enabling you to traverse corporate firewalls securely.
  • No se requiere ninguna dirección IP pública en la máquina virtual de Azure: Azure Bastion abre la conexión RDP/SSH a la máquina virtual de Azure con la dirección IP privada en la máquina virtual.No Public IP required on the Azure VM: Azure Bastion opens the RDP/SSH connection to your Azure virtual machine using private IP on your VM. No necesita una dirección IP pública en su máquina virtual.You don't need a public IP on your virtual machine.
  • No hay problemas de administración de los NSG: Azure Bastion es un servicio PaaS de Azure de plataforma totalmente administrada que se refuerza internamente para proporcionar una conexión RDP/SSH segura.No hassle of managing NSGs: Azure Bastion is a fully managed platform PaaS service from Azure that is hardened internally to provide you secure RDP/SSH connectivity. No es necesario aplicar los NSG en la subred de Azure Bastion.You don't need to apply any NSGs on Azure Bastion subnet. Dado que Azure Bastion se conecta a las máquinas virtuales a través de la dirección IP privada, puede configurar los NSG para permitir RDP o SSH solo desde Azure Bastion.Because Azure Bastion connects to your virtual machines over private IP, you can configure your NSGs to allow RDP/SSH from Azure Bastion only. De este modo se evita tener que administrar los NSG cada vez que necesite conectarse de forma segura a las máquinas virtuales.This removes the hassle of managing NSGs each time you need to securely connect to your virtual machines.
  • Protección frente al examen de puertos: Ya no es necesario exponer las máquinas virtuales a Internet pública, las máquinas virtuales están protegidas contra la exploración de puertos por parte de usuarios malintencionados o no autorizados que se encuentran fuera de la red virtual.Protection against port scanning: Because you do not need to expose your virtual machines to public Internet, your VMs are protected against port scanning by rogue and malicious users located outside your virtual network.
  • Protección frente a explotaciones de día cero. Protección en un solo lugar: Azure Bastion es un servicio PaaS totalmente administrado de plataforma.Protect against zero-day exploits. Hardening in one place only: Azure Bastion is a fully platform-managed PaaS service. Dado que se encuentra en el perímetro de la red virtual, no es necesario preocuparse por proteger cada una de las máquinas virtuales de la red virtual.Because it sits at the perimeter of your virtual network, you don’t need to worry about hardening each of the virtual machines in your virtual network. La plataforma de Azure protege contra ataques de día cero manteniendo automáticamente el servicio Azure Bastion protegido y siempre actualizado.The Azure platform protects against zero-day exploits by keeping the Azure Bastion hardened and always up to date for you.

NovedadesWhat's new?

Suscríbase a la fuente RSS y vea las actualizaciones más recientes de las características de Azure Bastion en la página Actualizaciones de Azure.Subscribe to the RSS feed and view the latest Azure Bastion feature updates on the Azure Updates page.

Preguntas más frecuentesFAQ

¿En qué regiones está disponible?Which regions are available?

Nota

Estamos trabajando para agregar regiones adicionales.We are working hard to add additional regions. Cuando se agregue una región, se incorporará a esta lista.When a region is added, we will add it to this list.

AméricaAmericas

  • Sur de BrasilBrazil South
  • Centro de CanadáCanada Central
  • Centro de EE. UU.Central US
  • Este de EE. UU.East US
  • Este de EE. UU. 2East US 2
  • Centro-Norte de EE. UUNorth Central US
  • Centro-sur de EE. UU.South Central US
  • Centro-Oeste de EE. UU.West Central US
  • Oeste de EE. UU.West US
  • Oeste de EE. UU. 2West US 2

EuropaEurope

  • Centro de FranciaFrance Central
  • Norte de EuropaNorth Europe
  • Este de NoruegaNorway East
  • Oeste de NoruegaNorway West
  • Norte de SuizaSwitzerland North
  • Sur de Reino Unido 2UK South
  • Oeste de Reino UnidoUK West
  • Oeste de EuropaWest Europe

Asia PacíficoAsia Pacific

  • Centro de Australia 2Australia Central 2
  • Este de AustraliaAustralia East
  • Sudeste de AustraliaAustralia Southeast
  • Este de AsiaEast Asia
  • Japón OrientalJapan East
  • Japón OccidentalJapan West
  • Centro de Corea del SurKorea Central
  • Corea del SurKorea South
  • Sudeste de AsiaSoutheast Asia
  • Centro de la IndiaCentral India
  • Oeste de la IndiaWest India

Oriente Medio y ÁfricaMiddle East and Africa

  • Norte de SudáfricaSouth Africa North
  • Centro de Emiratos Árabes UnidosUAE Central

Azure GovernmentAzure Government

  • US DoD (centro)US DoD Central
  • US DoD (este)US DoD East
  • US Gov: ArizonaUS Gov Arizona
  • US Gov TexasUS Gov Texas
  • US Gov - VirginiaUS Gov Virginia

Azure en ChinaAzure China

  • Este de China 2China East 2
  • Norte de China 2China North 2

¿Necesito una dirección IP pública en mi máquina virtual?Do I need a public IP on my virtual machine?

Si va a conectar una máquina virtual mediante Azure Bastion, NO necesitará ninguna dirección IP pública en la máquina virtual de Azure a la que se va a conectar.When you connect to a VM using Azure Bastion, you do NOT need a public IP on the Azure Virtual Machine that you are connecting to. El servicio Bastion abrirá la sesión o conexión RDP/SSH a la máquina virtual a través de la dirección IP privada de su máquina virtual dentro de su red virtual.The Bastion service will open the RDP/SSH session/connection to your virtual machine over the private IP of your virtual machine, within your virtual network.

¿Se admite IPv6?Is IPv6 supported?

Actualmente, IPv6 no se admite.At this time, IPv6 is not supported. Azure Bastion solo admite IPv4.Azure Bastion supports IPv4 only.

¿Necesito un cliente RDP o SSH?Do I need an RDP or SSH client?

No es necesario un cliente RDP o SSH para que el protocolo de escritorio remoto/Secure Shell accedan a su máquina virtual de Azure en Azure Portal.You do not need an RDP or SSH client to access the RDP/SSH to your Azure virtual machine in your Azure portal. Use Azure Portal para que RDP/SSH acceda a su máquina virtual directamente en el explorador.Use the Azure portal to let you get RDP/SSH access to your virtual machine directly in the browser.

¿Es necesario que un agente se ejecute en la máquina virtual de Azure?Do I need an agent running in the Azure virtual machine?

No es preciso instalar un agente ni ningún otro software en el explorador ni en la máquina virtual de Azure.You don't need to install an agent or any software on your browser or your Azure virtual machine. El servicio Bastion no utiliza agentes y no requiere software adicional para RDP/SSH.The Bastion service is agentless and does not require any additional software for RDP/SSH.

¿Cuántas sesiones RDP y SSH simultáneas admite cada instancia de Azure Bastion?How many concurrent RDP and SSH sessions does each Azure Bastion support?

Tanto RDP como SSH son protocolos basados en el uso.Both RDP and SSH are a usage-based protocol. El uso intensivo de las sesiones hará que el host bastión admita un número total de sesiones inferior.High usage of sessions will cause the bastion host to support a lower total number of sessions. Las siguientes cifras presuponen unos flujos de trabajo normales rutinarios.The numbers below assume normal day-to-day workflows.

ResourceResource LímiteLimit
Conexiones RDP simultáneasConcurrent RDP connections 25*25*
Conexiones SSH simultáneasConcurrent SSH connections 50**50**

*Puede variar debido a otras sesiones de RDP en curso u otras sesiones de SSH en curso.*May vary due to other on-going RDP sessions or other on-going SSH sessions.
**Puede variar si hay conexiones RDP existentes o el uso de otras sesiones SSH en curso.**May vary if there are existing RDP connections or usage from other on-going SSH sessions.

¿Qué características se admiten en una sesión de RDP?What features are supported in an RDP session?

En este momento, solo se admiten las operaciones de copiado y pegado de texto.At this time, only text copy/paste is supported. No se admiten características como la copia de archivos.Features such as file copy are not supported. No dude en compartir sus comentarios sobre las nuevas características en la página de comentarios de Azure Bastion.Please feel free to share your feedback about new features on the Azure Bastion Feedback page.

¿Qué exploradores se admiten?Which browsers are supported?

Utilice el explorador Microsoft Edge o Google Chrome en Windows.Use the Microsoft Edge browser or Google Chrome on Windows. Para Apple Mac, use Google Chrome.For Apple Mac, use Google Chrome browser. Microsoft Edge Chromium también es compatible tanto con Windows como con Mac.Microsoft Edge Chromium is also supported on both Windows and Mac, respectively.

¿Dónde se almacenan los datos de los clientes en Azure Bastion?Where does Azure Bastion store customer data?

Azure Bastion no mueve ni almacena los datos de los clientes fuera de la región en la que se implementa.Azure Bastion doesn't move or store customer data out of the region it is deployed in.

¿Se necesitan roles para acceder a una máquina virtual?Are any roles required to access a virtual machine?

Para crear una conexión, se requieren los siguientes roles:In order to make a connection, the following roles are required:

  • Rol de lector en la máquina virtualReader role on the virtual machine
  • Rol de lector en la tarjeta de interfaz de red con la dirección IP privada de la máquina virtualReader role on the NIC with private IP of the virtual machine
  • Rol de lector en el recurso de Azure BastionReader role on the Azure Bastion resource

¿Cuáles son los precios?What is the pricing?

Consulte la página de preciospara obtener más información.For more information, see the pricing page.

¿Requiere Azure Bastion una CAL de RDS con fines administrativos en máquinas virtuales hospedadas en Azure?Does Azure Bastion require an RDS CAL for administrative purposes on Azure-hosted VMs?

No, el acceso a las máquinas virtuales Windows Server con Azure Bastion no requiere una CAL de RDS cuando se utiliza únicamente con fines administrativos.No, access to Windows Server VMs by Azure Bastion does not require an RDS CAL when used solely for administrative purposes.

¿Qué distribuciones de teclado se admiten durante la sesión remota Bastion?What keyboard layouts are supported during the Bastion remote session?

Actualmente, Azure Bastion admite la distribución de teclado en-US-QWERTY dentro de la máquina virtual.Azure Bastion currently supports en-us-qwerty keyboard layout inside the VM. La compatibilidad con otras configuraciones regionales para la distribución del teclado está en curso.Support for other locales for keyboard layout is work in progress.

¿Se admite el enrutamiento definido por el usuario (UDR) en las subredes de Azure Bastion?Is user-defined routing (UDR) supported on an Azure Bastion subnet?

No.No. UDR no es compatible con las subredes de Azure Bastion.UDR is not supported on an Azure Bastion subnet. En los escenarios que incluyen Azure Bastion y Azure Firewall/Aplicación virtual de red (NVA) en la misma red virtual, no es preciso forzar el tráfico de una subred de Azure Bastion a Azure Firewall, ya que la comunicación entre Azure Bastion y las máquinas virtuales es privada.For scenarios that include both Azure Bastion and Azure Firewall/Network Virtual Appliance (NVA) in the same virtual network, you don’t need to force traffic from an Azure Bastion subnet to Azure Firewall because the communication between Azure Bastion and your VMs is private. Para más información, consulte Acceso a las máquinas virtuales que están detrás de Azure Firewall con Bastion.For more information, see Accessing VMs behind Azure Firewall with Bastion.

¿Por qué obtengo el error "Su sesión ha expirado" antes de iniciar la sesión de Bastion?Why do I get "Your session has expired" error message before the Bastion session starts?

Las sesiones deben iniciarse solo en Azure Portal.A session should be initiated only from the Azure portal. Inicie sesión en Azure Portal y vuelva a iniciar una sesión.Sign in to the Azure portal and begin your session again. Si va a la dirección URL directamente desde otra sesión del explorador o pestaña, este error es previsible.If you go to the URL directly from another browser session or tab, this error is expected. Ayuda a garantizar que la sesión sea más segura y que se solo se pueda acceder a la sesión desde Azure Portal.It helps ensure that your session is more secure and that the session can be accessed only through the Azure portal.

¿Cómo controlo los errores de implementación?How do I handle deployment failures?

Examine los mensajes de error y cree una solicitud de soporte técnico en Azure Portal si fuera necesario.Review any error messages and raise a support request in the Azure portal as needed. Los errores de implementación pueden estar motivados por límites, cuotas y restricciones de la suscripción de Azure.Deployment failures may result from Azure subscription limits, quotas and constraints. Más concretamente, los clientes pueden encontrar un límite en cuanto al número de direcciones IP públicas que se permiten por suscripción y que provoca un error en la implementación de Azure Bastion.Specifically, customers may encounter a limit on the number of public IP addresses allowed per subscription that causes the Azure Bastion deployment to fail.

Pasos siguientesNext steps