Deploy Bastion usando Azure PowerShell

Este artigo mostra-lhe como implementar o Azure Bastion usando o PowerShell. O Azure Bastion é um serviço PaaS que é mantido para si, não um host bastion que instala na sua VM e mantém por si próprio. Uma implementação do Azure Bastion é por rede virtual, não por subscrição/conta ou máquina virtual. Para mais informações sobre Azure Bastion, veja O que é Azure Bastion?

Depois de implantar o Bastion em sua rede virtual, você pode se conectar às suas VMs por meio do endereço IP privado. Essa experiência RDP/SSH perfeita está disponível para todas as VMs na mesma rede virtual. Se a sua VM tiver um endereço IP público de que não necessita para mais nada, pode removê-lo.

Neste artigo, cria uma rede virtual (caso ainda não tenha uma), implementa o Azure Bastion usando PowerShell e liga-se a uma máquina virtual. Os exemplos mostram o Bastion implementado usando o SKU Standard, mas podes usar um SKU diferente, dependendo das funcionalidades que gostarias de usar. Para obter mais informações, consulte Bastion SKUs.

Você também pode implantar Bastion usando os seguintes outros métodos:

Portal Azure - Implementar Bastion
Portal Azure - Implementar Bastion com definições predefinidas e SKU Standard
Deploy usando Azure CLI

Nota

O uso de Azure Bastion com Azure Private DNS zonas é suportado. No entanto, existem restrições. Para mais informações, consulte as perguntas frequentes Azure Bastion.

Antes de começar

Verifique se tem uma subscrição do Azure. Se ainda não tiver uma subscrição Azure, pode ativar os seus benefícios para subscritores MSDN ou inscrever-se numa conta gratuita.

PowerShell

Este artigo usa cmdlets do PowerShell. Para executar os cmdlets, podes usar o Azure Cloud Shell. Cloud Shell é um shell interativo gratuito que pode usar para executar os passos deste artigo. Tem ferramentas comuns do Azure pré-instaladas e configuradas para serem usadas com a tua conta.

Para abrir Cloud Shell, basta selecionar Open Cloudshell no canto superior direito de um bloco de código. Também pode abrir Cloud Shell num separador separado do navegador, indo a https://shell.azure.com/powershell. Selecione Copy para copiar os blocos de código, cole-os no Cloud Shell e selecione a tecla Enter para os executar.

Também pode instalar e executar os cmdlets do Azure PowerShell localmente no seu computador. Os cmdlets do PowerShell são atualizados com frequência. Se você não tiver instalado a versão mais recente, os valores especificados nas instruções podem falhar. Para encontrar as versões de Azure PowerShell instaladas no seu computador, use o cmdlet Get-Module -ListAvailable Az. Para instalar ou atualizar, consulte Instalar o módulo Azure PowerShell.

Valores de exemplo

Você pode usar os seguintes valores de exemplo ao criar essa configuração ou pode substituir o seu próprio.

Exemplo de valores de VNet e VM:

Nome	Value
Máquina virtual	TestVM
Grupo de recursos	TesteRG1
Região	E.U.A. Leste
Rede virtual	VNet1
Espaço de endereços	10.1.0.0/16
Sub-redes	Front-end: 10.1.0.0/24

Valores do Azure Bastion:

Nome	Value
Nome	VNet1-Bastion
Nome da sub-rede	FrontEnd
Nome da sub-rede	AzureBastionSubnet
Endereços do AzureBastionSubnet	Uma sub-rede dentro do espaço de endereço da rede virtual com uma máscara de sub-rede /26 ou maior. Por exemplo, 10.1.1.0/26.
SKU	Standard
Endereço IP público	Criar novo item
Nome do endereço IP público	VNet1-ip
SKU de endereço IP público	Standard
Atribuição	Estático

Implementar o Bastion

Esta secção ajuda-o a criar uma rede virtual, sub-redes e a implementar o Azure Bastion usando o Azure PowerShell.

Importante

O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, consulte Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos excluir esse recurso depois de terminar de usá-lo.

Crie um grupo de recursos, uma rede virtual e uma sub-rede front-end na qual você implanta as VMs às quais se conectará via Bastion. Se estiveres a correr PowerShell localmente, abre a tua consola PowerShell com privilégios elevados e liga-te a Azure usando o comando Connect-AzAccount.

New-AzResourceGroup -Name TestRG1 -Location EastUS ` 
$frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd `
-AddressPrefix "10.1.0.0/24" ` 
$virtualNetwork = New-AzVirtualNetwork `
-Name TestVNet1 -ResourceGroupName TestRG1 `
-Location EastUS -AddressPrefix "10.1.0.0/16" `
-Subnet $frontendSubnet ` 
$virtualNetwork | Set-AzVirtualNetwork

Configure e defina a sub-rede Azure Bastion para a sua rede virtual. Esta sub-rede está reservada exclusivamente para os recursos do Azure Bastion. Você deve criar essa sub-rede usando o valor de nome AzureBastionSubnet. Este valor permite ao Azure saber para que sub-rede deve implementar os recursos do Bastion. O exemplo na secção seguinte ajuda-te a adicionar uma sub-rede do Azure Bastion a um VNet existente.
- O menor tamanho de sub-rede da AzureBastionSubnet que pode criar é /26. Recomendamos que crie um tamanho /26 ou maior para suportar a escalabilidade dos servidores.
  - Para obter mais informações sobre dimensionamento, consulte Definições de configuração - Dimensionamento de host.
  - Para obter mais informações sobre configurações, consulte Definições de configuração - AzureBastionSubnet.
- Crie o AzureBastionSubnet sem tabelas de rotas ou delegações.
- Se você usar Grupos de Segurança de Rede no AzureBastionSubnet, consulte o artigo Trabalhar com NSGs .
Defina a variável.
```
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"
```
Adicione a sub-rede.
```
Add-AzVirtualNetworkSubnetConfig `
-Name "AzureBastionSubnet" -VirtualNetwork $vnet `
-AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork
```
Crie um endereço IP público para o Azure Bastion. O IP público é o endereço IP público do recurso Bastion no qual o RDP/SSH será acessado (pela porta 443). O endereço IP público deve estar na mesma região que o recurso Bastion que você está criando.
```
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" `
-name "VNet1-ip" -location "EastUS" `
-AllocationMethod Static -Sku Standard
```
Crie um novo recurso Azure Bastion na AzureBastionSubnet usando o comando New-AzBastion. O exemplo a seguir usa o Basic SKU. No entanto, você também pode implantar Bastion usando uma SKU diferente alterando o valor -Sku. A SKU que selecionar determina as funcionalidades do Bastion e permite a conexão a VMs utilizando uma maior variedade de tipos de ligação. Para obter mais informações, consulte Bastion SKUs.
```
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" `
-PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" `
-VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" `
-Sku "Basic"
```
Os recursos do Bastion demoram cerca de 10 minutos a ser implementados. Você pode criar uma VM na próxima seção enquanto Bastion implanta em sua rede virtual.

Criar uma VM

Você pode criar uma VM usando o Guia de início rápido: criar uma VM usando o PowerShell ou Guia de início rápido: criar uma VM usando os artigos do portal . Certifique-se de implantar a VM na mesma rede virtual na qual você implantou o Bastion. A VM criada nesta seção não faz parte da configuração Bastion e não se torna um host bastião. Você se conecta a essa VM mais tarde neste tutorial via Bastion.

As seguintes funções necessárias para os seus recursos.

Funções VM necessárias:
- Função de leitor na máquina virtual.
- Função de leitor na NIC com IP privado da máquina virtual.
Portas de entrada necessárias:
- Para Windows VMS - RDP (3389)
- Para VMs Linux - SSH (22)

Ligar a uma VM

Pode usar as etapas de conexão na seção a seguir para se conectar à sua VM. Você também pode usar qualquer um dos seguintes artigos para se conectar a uma VM. Alguns tipos de conexão requerem o Bastion Standard SKU.

Liga-te a uma VM do Windows
- RDP
- SSH
Conectar-se a uma VM Linux
- SSH
Conectar-se a um conjunto de escalas
Ligar através do endereço IP
Conectar-se a partir de um cliente nativo
- Windows cliente
- Cliente Linux/SSH

Etapas de conexão

No portal Azure, aceda à máquina virtual à qual quer conectar-se.
Na parte superior do painel, selecione Conectar>Bastião para ir para o painel Bastião. Você também pode ir para o painel Bastion usando o menu à esquerda.
As opções disponíveis no painel Bastion dependem do Bastion SKU.

Se estiveres a usar o SKU Standard ou superior, tens mais opções de protocolo de ligação e portas disponíveis. Expanda Configurações de conexão para ver as opções. Normalmente, a menos que configure definições diferentes para a sua VM, liga-se a um computador Windows usando RDP e porta 3389. Você se conectar a um computador Linux usando SSH e porta 22.

Se estiveres a usar o SKU Basic, ligas-te a um computador Windows usando RDP e a porta 3389. Também para o Basic SKU, você se conecta a um computador Linux usando SSH e porta 22. Você não tem opções para alterar o número da porta ou o protocolo. No entanto, você pode alterar o idioma do teclado para RDP expandindo Configurações de conexão neste painel.

Se estiveres a usar o SKU Developer, o Bastion é implementado automaticamente quando te ligas pela primeira vez. Liga-se a um computador Windows usando RDP e porta 3389, ou a um computador Linux usando SSH e porta 22. O SKU Developer utiliza uma arquitetura de pool partilhada e está disponível sem custo adicional em regiões selecionadas.
Em Tipo de autenticação, selecione o tipo de autenticação na lista suspensa. O protocolo determina os tipos de autenticação disponíveis. Preencha os valores de autenticação necessários.
Para abrir a sessão da VM em uma nova guia do navegador, deixe a opção Abrir na nova guia do navegador selecionada.
Selecione Conectar para conectar-se à VM.
Confirme que a ligação à máquina virtual se abre diretamente no portal Azure (via HTML5) usando a porta 443 e o serviço Bastion.

Usar teclas de atalho de teclado enquanto você está conectado a uma VM pode não resultar no mesmo comportamento que as teclas de atalho em um computador local. Por exemplo, quando está ligado a uma VM Windows a partir de um cliente Windows, Ctrl+Alt+End é o atalho de teclado para Ctrl+Alt+Delete num computador local. Para fazer isto a partir de um Mac enquanto está ligado a uma máquina virtual Windows, o atalho de teclado é fn+control+opção+delete.

Para ativar a saída de áudio

Você pode habilitar a saída de áudio remota para sua VM. Algumas VMs habilitam automaticamente essa configuração, enquanto outras exigem que você habilite as configurações de áudio manualmente. As configurações são alteradas na própria VM. A sua implementação do Bastion não necessita de nenhuma definição de configuração especial para habilitar a saída de áudio remota. A entrada de áudio não é suportada no momento.

Nota

A saída de áudio utiliza largura de banda na sua ligação à Internet.

Para ativar a saída remota de áudio numa VM Windows:

Depois que você estiver conectado à VM, um botão de áudio aparecerá no canto inferior direito da barra de ferramentas. Clique com o botão direito do rato no botão de áudio e, em seguida, selecione Sons.
Uma mensagem pop-up pergunta se quer ativar o Serviço Windows Audio. Selecione Sim. Você pode configurar mais opções de áudio nas Preferências de Som.
Para verificar a saída de som, passe o mouse sobre o botão de áudio na barra de ferramentas.

Remover endereço IP público da VM

O Azure Bastion não usa o endereço IP público para se ligar à VM cliente. Se você não precisar do endereço IP público para sua VM, poderá desassociar o endereço IP público. Veja Dissocie um endereço IP público de uma Azure VM.

Próximos passos

Para usar Grupos de Segurança de Rede com a sub-rede Azure Bastion, veja Trabalhar com NSGs.
Para compreender o peering VNet, veja Virtual Network peering e Azure Bastion.

Comentários

Esta página foi útil?

Last updated on 2026-03-06