Configurar o Bastion para conexões de cliente nativo
Este artigo ajuda você a configurar a implantação do Bastion para aceitar conexões do cliente nativo (SSH ou RDP) em seu computador local. O recurso de cliente nativo permite que você se conecte às suas VMs de destino via Bastion usando a CLI do Azure e expande suas opções de logon para incluir o par de chaves SSH local e o Microsoft Entra ID. Além disso, você também pode carregar ou baixar arquivos, dependendo do tipo de conexão e cliente.
Você pode configurar esse recurso modificando uma implantação existente do Bastion ou pode implantar o Bastion com a configuração de recurso já especificada. Ao se conectar por meio do cliente nativo, os recursos na VM dependem do que está habilitado no cliente nativo.
Observação
Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso depois de terminar de usá-lo.
Implantar o Bastion com o recurso de cliente nativo
Se você ainda não implantou o Bastion na VNet, pode implantar com o recurso de cliente nativo especificado ao implantar o Bastion usando as configurações manuais. Para obter as etapas, confira Tutorial – Implantar o Bastion com as configurações manuais. Ao implantar o Bastion, especifique as seguintes configurações:
Na guia Básico, em Detalhes da Instância> – Camada, selecione Standard. O suporte ao cliente nativo requer o SKU Standard.
Antes de criar o bastion host, vá para a guia Avançado e marque a caixa Suporte ao Cliente Nativo, juntamente com as caixas de seleção de outros recursos que você deseja implantar.
Selecione Examinar + criar para validar e selecione Criar para implantar o bastion host.
Modificar uma implantação existente do Bastion
Se você já tiver implantado o Bastion na VNet, modifique as seguintes configurações:
Navegue até a página Configuração do seu recurso do Bastion. Verifique se a Camada de SKU é Standard. Caso contrário, selecione Standard.
Selecione a caixa Suporte ao Cliente Nativo e aplique as alterações.
Proteger sua conexão de cliente nativo
Se desejar proteger ainda mais sua conexão de cliente nativo, você poderá limitar o acesso à porta fornecendo acesso somente à porta 22/3389. Para restringir o acesso à porta, você deve implantar as seguintes regras de NSG em seu AzureBastionSubnet para permitir o acesso a portas selecionadas e negar o acesso de qualquer outra porta.
Conectando-se a VMs
Depois de implantar esse recurso, há diferentes instruções de conexão, dependendo do computador host do qual você está se conectando e da VM cliente à qual você está se conectando.
Use a tabela a seguir para entender como se conectar a partir de clientes nativos. Observe que diferentes combinações com suporte de VMs nativas de cliente e de destino permitem diferentes recursos e exigem comandos específicos.
| Cliente | VM de destino | Método | autenticação do Microsoft Entra | Transferência de arquivos | Sessões de VM simultâneas | Porta personalizada |
|---|---|---|---|---|---|---|
| Cliente nativo do Windows | VM Windows | RDP | Sim | Upload/Download | Sim | Sim |
| VM Linux | SSH | Sim | Não | Sim | Sim | |
| Qualquer VM | az network bastion tunnel | Não | Upload | Não | Não | |
| Cliente nativo do Linux | VM Linux | SSH | Sim | Não | Sim | Sim |
| Windows ou qualquer VM | az network bastion tunnel | Não | Upload | Não | Não | |
| Outro cliente nativo (putty) | Qualquer VM | az network bastion tunnel | Não | Upload | Não | Não |
Limitações:
- Não há suporte para entrar usando uma chave privada SSH armazenada no Azure Key Vault com esse recurso. Antes de entrar em uma VM do Linux usando um par de chaves SSH, baixe sua chave privada em um arquivo em seu computador local.
- A conexão por meio de um cliente nativo não é compatível com o Cloud Shell.