Implantar o Bastion usando Azure PowerShell

Este artigo mostra como implantar Azure Bastion usando o PowerShell. Azure Bastion é um serviço PaaS que é mantido para você, não um servidor bastião que você instala em sua VM e mantém por conta própria. Uma implantação Azure Bastion é por rede virtual, não por assinatura/conta ou máquina virtual. Para obter mais informações sobre Azure Bastion, consulte O que é Azure Bastion?

Depois de implantar o Bastion em sua rede virtual, você poderá se conectar às VMs por meio do endereço IP privado. Esta experiência de RDP/SSH contínua está disponível para todas as VMs na mesma rede virtual. Se a VM tiver um endereço IP público que não seja mais necessário, remova-o.

Neste artigo, você criará uma rede virtual (caso ainda não tenha uma), implante Azure Bastion usando o PowerShell e conecte-se a uma VM. Os exemplos mostram o Bastion implantado usando o SKU Standard, mas você pode usar um SKU do Bastion diferente, dependendo dos recursos que deseja usar. Para saber mais, acesse SKUs do Bastion.

Você também pode implantar o Bastion usando os seguintes métodos:

Observação

Há suporte para o uso de Azure Bastion com zonas de Azure Private DNS. No entanto, há restrições. Para obter mais informações, consulte as perguntas frequentes Azure Bastion.

Antes de começar

Verifique se você tem uma assinatura Azure. Se você ainda não tiver uma assinatura Azure, poderá ativar os benefícios do assinante MSDN ou inscrever-se em uma conta free.

PowerShell

Este artigo usa cmdlets do PowerShell. Para executar os cmdlets, você pode usar Azure Cloud Shell. Cloud Shell é um shell interativo gratuito que você pode usar para executar as etapas neste artigo. Ele tem ferramentas de Azure comuns pré-instaladas e configuradas para uso com sua conta.

Para abrir Cloud Shell, basta selecionar Open Cloudshell no canto superior direito de um bloco de código. Você também pode abrir Cloud Shell em uma guia separada do navegador acessando https://shell.azure.com/powershell. Selecione Copy para copiar os blocos de código, cole-os em Cloud Shell e selecione a chave Enter para executá-los.

Você também pode instalar e executar os cmdlets Azure PowerShell localmente em seu computador. Os cmdlets do PowerShell são atualizados com frequência. Se você não tiver instalado a versão mais recente, os valores especificados nas instruções poderão falhar. Para localizar as versões de Azure PowerShell instaladas em seu computador, use o cmdlet Get-Module -ListAvailable Az. Para instalar ou atualizar, consulte Instale o módulo Azure PowerShell.

Valores de exemplo

Use os valores de exemplo a seguir ao criar essa configuração ou substitua-os por valores próprios.

Exemplo de valores de VNet e VM:

Nome	Valor
Máquina virtual	TestVM
Grupo de recursos	TestRG1
Região	Leste dos EUA
Rede virtual	VNet1
Espaço de endereço	10.1.0.0/16
Sub-redes	Front-End: 10.1.0.0/24

Valores do Azure Bastion:

Nome	Valor
Nome	VNet1-bastion
Nome da sub-rede	FrontEnd
Nome da sub-rede	AzureBastionSubnet
Endereços de AzureBastionSubnet	Uma sub-rede no espaço de endereço da sua rede virtual com um prefixo de sub-rede /26 ou maior. Por exemplo, 10.1.1.0/26.
SKU	Standard
Endereço IP público	Criar novo
Nome do endereço IP público	VNet1-ip
SKU do endereço IP público	Standard
Atribuição	Estático

Implantar Bastion

Esta seção ajuda você a criar uma rede virtual, sub-redes e implantar Azure Bastion usando Azure PowerShell.

Importante

A cobrança por hora começa assim que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso após terminar de usá-lo.

Crie um grupo de recursos, uma rede virtual e uma sub-rede de front-end para as quais você implantará as VMs às quais se conectará por meio do Bastion. Se você estiver executando o PowerShell localmente, abra o console do PowerShell com privilégios elevados e conecte-se a Azure usando o comando Connect-AzAccount.

New-AzResourceGroup -Name TestRG1 -Location EastUS ` 
$frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd `
-AddressPrefix "10.1.0.0/24" ` 
$virtualNetwork = New-AzVirtualNetwork `
-Name TestVNet1 -ResourceGroupName TestRG1 `
-Location EastUS -AddressPrefix "10.1.0.0/16" `
-Subnet $frontendSubnet ` 
$virtualNetwork | Set-AzVirtualNetwork

Configure e defina a sub-rede Azure Bastion para sua rede virtual. Essa sub-rede é reservada exclusivamente para recursos Azure Bastion. É necessário criar uma sub-rede usando o valor de nome AzureBastionSubnet. Esse valor permite que Azure saiba em qual sub-rede implantar os recursos do Bastion. O exemplo na seção a seguir ajuda você a adicionar uma sub-rede Azure Bastion a uma VNet existente.
- O menor tamanho de sub-rede do AzureBastionSubnet que você pode criar é /26. Recomendamos que você crie com o tamanho /26 ou maior para acomodar a colocação em escala do host.
  - Para obter mais informações sobre dimensionamento, confira Definições de configuração – Dimensionamento de host.
  - Para obter mais informações sobre configurações, confira Definições de configuração – AzureBastionSubnet.
- Crie o AzureBastionSubnet sem tabelas de roteamento ou delegações.
- Se você usar grupos de segurança de rede no AzureBastionSubnet, veja o artigo Trabalhar com NSGs.
Defina a variável.
```
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"
```
Adicione a sub-rede.
```
Add-AzVirtualNetworkSubnetConfig `
-Name "AzureBastionSubnet" -VirtualNetwork $vnet `
-AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork
```
Crie um endereço IP público para Azure Bastion. O endereço IP público é o endereço IP público do recurso do Bastion em que o RDP/SSH será acessado através da porta 443. O endereço IP público precisa estar na mesma região do recurso do Bastion que você está criando.
```
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" `
-name "VNet1-ip" -location "EastUS" `
-AllocationMethod Static -Sku Standard
```
Crie um novo recurso de Azure Bastion no AzureBastionSubnet usando o comando New-AzBastion. O seguinte exemplo usa a SKU Básica. No entanto, você também pode implantar o Bastion usando uma SKU diferente alterando o valor de -Sku. A SKU que você seleciona determina os recursos do Bastion e permite conectar-se a VMs usando mais tipos de conexão. Para saber mais, acesse SKUs do Bastion.
```
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" `
-PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" `
-VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" `
-Sku "Basic"
```
A implantação dos recursos do Bastion demora cerca de 10 minutos. É possível criar uma VM na próxima seção enquanto o Bastion é implantado na rede virtual.

Criar uma máquina virtual

Para criar uma VM, confira os artigos Início rápido: Criar uma VM usando o PowerShell ou Início rápido: Criar uma VM usando do portal. Certifique-se de Implantar a VM na mesma rede virtual do Bastion. A VM que você cria nesta seção não faz parte da configuração do Bastion e não se torna um bastion host. Você se conecta a essa VM posteriormente neste tutorial por meio do Bastion.

As funções necessárias a seguir para seus recursos.

Funções VM necessárias:
- A função de leitor na máquina virtual.
- Função de leitor na NIC com IP privado da máquina virtual.
Portas de entrada necessárias:
- Para Windows VMS – RDP (3389)
- Para VMs do Linux – SSH (22)

Conectar-se a uma VM

Você pode usar as Etapas de Conexão na seção a seguir para conectar-se à sua VM. Você também pode usar qualquer um dos artigos a seguir para se conectar a uma VM. Alguns tipos de conexão exigem o SKU Standard do Bastion.

Conectar-se a uma VM Windows
- RDP
- SSH
Conectar-se a uma VM do Linux
- SSH
Conectar-se a um conjunto de escala
Conectar-se por meio de endereço IP
Conectar-se a partir de um cliente nativo
- Windows cliente
- Cliente Linux/SSH

Etapas de conexão

No Azure portal, vá para a máquina virtual à qual você deseja se conectar.
Na parte superior do painel, selecione Conectar>Bastion para acessar o painel do Bastion. Você também pode acessar o painel do Bastion usando o menu à esquerda.
As opções disponíveis no painel do Bastion dependem da SKU do Bastion.

Se você estiver usando o SKU Standard ou superior, terá mais opções de protocolo de conexão e porta disponíveis. Expanda Configurações da Conexão para ver as opções. Normalmente, a menos que você defina configurações diferentes para sua VM, conecte-se a um computador Windows usando o RDP e a porta 3389. Você se conecta a um computador Linux usando o SSH e a porta 22.

Se você estiver usando o SKU Basic, conecte-se a um computador Windows usando o RDP e a porta 3389. Além disso, para a SKU Básica, você se conecta a um computador Linux usando o SSH e a porta 22. Você não tem opções para alterar o número da porta nem o protocolo. No entanto, você pode alterar o idioma do teclado para RDP expandindo as Configurações de conexão nesse painel.

Se você estiver usando o SKU do Desenvolvedor, o Bastion será implantado automaticamente quando você se conectar pela primeira vez. Você se conecta a um computador Windows usando o RDP e a porta 3389 ou a um computador Linux usando o SSH e a porta 22. O SKU do Desenvolvedor usa uma arquitetura de pool compartilhado e está disponível sem custo adicional em regiões selecionadas.
Em Tipo de Autenticação, selecione o tipo de autenticação na lista suspensa. O protocolo determina os tipos de autenticação disponíveis. Preencha os valores de autenticação necessários.
Para abrir a sessão da VM em uma nova guia do navegador, deixe a opção Abrir na nova guia do navegador selecionada.
Escolha Conectar para se conectar à VM.
Confirme se a conexão com a máquina virtual é aberta diretamente no portal do Azure (por HTML5) usando a porta 443 e o serviço Bastion.

Usar teclas de atalho enquanto você estiver conectado a uma VM pode não resultar no mesmo comportamento que atalhos em um computador local. Por exemplo, quando você está conectado a uma VM Windows de um cliente Windows, Ctrl+Alt+End é o atalho de teclado para Ctrl+Alt+Delete em um computador local. Para fazer isso em um Mac enquanto você estiver conectado a uma VM Windows, o atalho de teclado é fn+control+option+delete.

Para habilitar a saída de áudio

Você pode habilitar a saída de áudio remoto da VM. Algumas VMs habilitam essa configuração automaticamente, enquanto outras exigem que você habilite as configurações de áudio manualmente. As configurações são alteradas na própria VM. A implantação do Bastion não precisa de nenhuma definição de configuração especial para habilitar a saída de áudio remoto. Não há suporte para entrada de áudio no momento.

Observação

A saída de áudio usa largura de banda em sua conexão com a Internet.

Para habilitar a saída de áudio remoto em uma VM Windows:

Depois que você estiver conectado à VM, um botão de áudio será exibido no canto inferior direito da barra de ferramentas. Clique com o botão direito do mouse no botão de áudio e selecione Sons.
Uma mensagem pop-up pergunta se você deseja habilitar o Serviço de Áudio Windows. Selecione Sim. Você pode configurar mais opções de áudio nas Preferências de som.
Para verificar a saída de som, passe o mouse sobre o botão de áudio na barra de ferramentas.

Remover o endereço IP público da VM

Azure Bastion não usa o endereço IP público para se conectar à VM cliente. Se não for precisar de endereço IP público para a sua VM, você pode desassociar o endereço IP público. Consulte Dissociar um endereço IP público de uma VM Azure.

Próximas etapas

Para usar grupos de segurança de rede com a sub-rede Azure Bastion, consulte Work with NSGs.
Para entender o pareamento de VNet, consulte Virtual Network peering e Azure Bastion.

Comentários

Esta página foi útil?

Last updated on 2026-03-06