Información sobre la configuración de Bastion
En las secciones de este artículo se habla de los recursos y la configuración de Azure Bastion.
SKU
Una SKU también se conoce como nivel. Azure Bastion admite varios niveles de SKU. Al configurar Bastion, seleccione el nivel de SKU. Decida el nivel de SKU en función de las características que desea usar. En la tabla siguiente se muestra la disponibilidad de las características por SKU correspondiente.
| Característica | SKU para desarrolladores | SKU Básico | SKU Estándar |
|---|---|---|---|
| Conexión a máquinas virtuales de destino en la misma red virtual | Sí | Sí | Sí |
| Conexión a máquinas virtuales de destino en redes virtuales emparejadas | No | Sí | Sí |
| Compatibilidad con conexiones simultáneas | No | Sí | Sí |
| Acceso a claves privadas de VM Linux en Azure Key Vault (AKV) | No | Sí | Sí |
| Conexión a una máquina virtual Linux mediante SSH | Sí | Sí | Sí |
| Conexión a una máquina virtual Windows mediante RDP | Sí | Sí | Sí |
| Conexión a una máquina virtual Linux mediante RDP | No | No | Sí |
| Conexión mediante SSH a una máquina virtual Windows | No | No | Sí |
| Especificación del puerto de entrada personalizado | No | No | Sí |
| Conexión a máquinas virtuales mediante la CLI de Azure | No | No | Sí |
| Escalado de host | No | No | Sí |
| Carga o descarga de archivos | No | No | Sí |
| Autenticación de Kerberos | No | Sí | Sí |
| Vínculo compartible | No | No | Sí |
| Conexión a máquinas virtuales a través de la dirección IP | No | No | Sí |
| Salida de audio de la máquina virtual | Sí | Sí | Sí |
| Deshabilitar copiar y pegar (clientes basados en web) | No | No | Sí |
SKU para desarrolladores (versión preliminar)
La SKU para desarrolladores de Bastion es una SKU nueva, de menor costo y ligera. Esta SKU es ideal para los usuarios de desarrollo/pruebas que desean conectarse de forma segura a sus máquinas virtuales y que no necesitan características ni escalado adicionales. Puede conectarse a una máquina virtual de Azure a la vez directamente a través de la página Conexión de máquina virtual.
La SKU para desarrolladores tiene requisitos y limitaciones diferentes a los demás niveles de SKU. Consulte Implementación automática de Bastion: SKU para desarrolladores para obtener más información y los pasos de implementación.
La SKU para desarrolladores (versión preliminar) está disponible actualmente en las siguientes regiones:
- EUAP del centro de EE. UU.
- EUAP de Este de EE. UU. 2
- Centro-Oeste de EE. UU.
- Centro-Norte de EE. UU
- Oeste de EE. UU.
- Norte de Europa
Nota:
El emparejamiento de red virtual global no se admite actualmente para la SKU de desarrollador.
Especificar SKU
| Método | Valor de SKU | Vínculos |
|---|---|---|
| Azure portal | Nivel: Desarrollador | Guía de inicio rápido |
| Azure portal | Nivel: básico | Guía de inicio rápido |
| Azure portal | Nivel: básico o estándar | Tutorial |
| Azure PowerShell | Nivel: básico o estándar | Instrucciones |
| Azure CLI | Nivel: básico o estándar | Procedimiento |
Actualización de un SKU
Siempre puede actualizar la SKU para agregar más características.
Nota:
No se admite la degradación de la SKU. Para cambiar a una versión anterior, debe eliminar Azure Bastion y volver a crearlo.
Puede configurar este valor con el método siguiente:
| Método | Valor | Vínculos |
|---|---|---|
| Azure portal | Nivel | Procedimiento |
Subred de Azure Bastion
Importante
Para los recursos de Azure Bastion implementados el 2 de noviembre de 2021 o más tarde, el tamaño mínimo de AzureBastionSubnet es /26 o mayor (/25, /24, etc.). Todos los recursos de Azure Bastion implementados en subredes de tamaño /27 anteriores a esta fecha no se ven afectados por este cambio y seguirán funcionando, pero se recomienda encarecidamente aumentar el tamaño de cualquier AzureBastionSubnet existente a /26 en caso de que decida aprovechar el escalado de host en el futuro.
Al implementar Azure Bastion mediante cualquier SKU excepto la SKU para desarrolladores, Bastion requiere una subred dedicada denominada AzureBastionSubnet. Debe crear esta subred en la misma red virtual en la que quiera implementar Azure Bastion. La subred debe tener la siguiente configuración:
- La subred debe llamarse AzureBastionSubnet.
- El tamaño de la subred debe ser de al menos /26 (/25, /24, etc.).
- Para el escalado de host, se recomienda una subred de al menos /26. El uso de un espacio de subred más pequeño limita el número de unidades de escalado. Para más información, consulte la sección de Escalado de host de este artículo.
- La subred debe estar en la misma red virtual y grupo de recursos que el host bastión.
- La subred no puede contener otros recursos.
Puede configurar este valor con los métodos siguientes:
| Método | Valor | Vínculos |
|---|---|---|
| Azure portal | Subred | Guía de inicio rápido Tutorial |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | command |
Dirección IP pública
Las implementaciones de Azure Bastion requieren una dirección IP pública, excepto las implementaciones de SKU para desarrolladores. La dirección IP pública debe tener la siguiente configuración:
- La SKU de la dirección IP pública debe ser estándar.
- El método de asignación o asignación de direcciones IP públicas debe ser estático.
- El nombre de la dirección IP pública es el nombre del recurso por el que desea hacer referencia a esta dirección IP pública.
- Puede optar por usar una dirección IP pública que ya ha creado, siempre que cumpla los criterios requeridos por Azure Bastion y no esté en uso.
Puede configurar este valor con los métodos siguientes:
| Método | Valor | Vínculos |
|---|---|---|
| Azure portal | Dirección IP pública | Azure Portal |
| Azure PowerShell | -publicIPAddress | cmdlet |
| CLI de Azure | --public-ip create | comando |
Escalado de instancias y hosts
Una instancia es una máquina virtual de Azure optimizada que se crea al configurar Azure Bastion. Azure la administra completamente y ejecuta todos los procesos necesarios para Azure Bastion. Una instancia también se conoce como unidad de escalado. Se conecta a las máquinas virtuales cliente a través de una instancia de Azure Bastion. Al configurar las Azure Bastion con la SKU básica, se crean dos instancias. Si usa la SKU Estándar, puede especificar el número de instancias (con un mínimo de dos). Esto se denomina escalado de host.
Cada instancia puede admitir 20 conexiones RDP simultáneas y 40 conexiones SSH simultáneas para cargas de trabajo medianas (vea Cuotas y límites de suscripción de Azure para obtener más información). El número de conexiones por instancia depende de las acciones que se están llevando a cabo cuando se conecta a la máquina virtual cliente. Por ejemplo, si está realizando un uso intensivo de datos, se crea una carga mayor para que la instancia la procese. Una vez superadas las sesiones simultáneas, se requiere otra unidad de escalado (instancia) más.
Las instancias se crean en AzureBastionSubnet. Para permitir el escalado de host, AzureBastionSubnet debe ser /26 o mayor. El uso de una subred más pequeña limita el número de instancias que puede crear. Para obtener más información sobre AzureBastionSubnet, consulte la sección subredes de este artículo.
Puede configurar este valor con los métodos siguientes:
| Método | Valor | Vínculos | Requiere SKU estándar |
|---|---|---|---|
| Azure portal | Recuento de instancias | Procedimiento | Sí |
| Azure PowerShell | ScaleUnit | Procedimiento | Yes |
Puertos personalizados
Puede especificar el puerto que quiera usar para conectarse a sus máquinas virtuales. De forma predeterminada, los puertos de entrada usados para conectarse son 3389 para RDP y 22 para SSH. Si configura un valor de puerto personalizado, especifique ese valor cuando se conecte a la VM.
Los valores de puerto personalizados solo se admiten para la SKU estándar.
Vínculo compartible
La característica Vínculo compartible de Bastion permite a los usuarios conectarse a un recurso de destino mediante Azure Bastion sin acceder a Azure Portal.
Cuando un usuario sin credenciales de Azure hace clic en un vínculo para compartir, se abre una página web que solicita al usuario que inicie sesión en el recurso de destino a través de RDP o SSH. Los usuarios se autentican mediante el nombre de usuario y la contraseña o la clave privada, en función de lo que se haya configurado en Azure Portal para ese recurso de destino. Los usuarios pueden conectarse a los mismos recursos a los que usted puede conectarse actualmente con Azure Bastion: máquinas virtuales o conjunto de escalado de máquinas virtuales.
| Método | Valor | Vínculos | Requiere SKU estándar |
|---|---|---|---|
| Azure portal | Vínculo compartible | Configuración | Sí |
Pasos siguientes
Para ver las preguntas más frecuentes, consulte las preguntas más frecuentes de Azure Bastion.