Azure Bastion (en versión preliminar) es un servicio PaaS totalmente administrado que nos proporciona acceso seguro y sin problemas a sus máquinas virtuales mediante RDP y SSH directamente desde Azure Portal. Azure Bastion se aprovisiona directamente en su red virtual (VNet) y admite todas las VM que formen parte de ella usando SSL, de esta manera, no es necesario exponerlas a direcciones IP públicas.
Montar un Azure Bastion
Montar Azure Bastion no nos debería llevar mucho tiempo. Empezaremos creando un grupo de recursos en que en nuestro caso se llamará RG_Bastion.
Para participar en esta versión preliminar, necesitamos registrarnos. Para ello necesitaremos hacerlo mediante Powershell en nuestra cuenta de Azure.
Register-AzureRmProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network
Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Network
Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Network
Una vez registrados, necesitaremos entrar en la versión preliminar del portal de Azure mediante la siguiente preview portal
En el buscador ponemos Bastion y nos lo mostrará como preview:
Y le damos a añadir Bastion:
En la creación del Bastion rellenamos los campos que nos piden, pero debemos poner atención en la parte de red, pues ahí tendremos que configurar 1 subnet con un nombre concreto para que nos lo valide. La subnet deberá llamarse AzureBastionSubnet, y esta subnet deberá estar dentro del espacio de red que estén las máquinas. Para ello, nosotros tendremos una subred para las máquinas virtuales y otra para Bastion.
Ahora veremos cómo se despliega el Bastion:
Ahora crearemos una máquina virtual. Para ello, crearemos otro grupo de recursos que, en nuestro caso, se llamará RG_VM, y conectaremos dicha VM a la Vnet que se ha creado con el Bastion.
Una vez tengamos creada la VM deberemos tenerlo de la siguiente manera:
Ahora accedemos a la máquina virtual y dando a «Connect» nos mostrará varias opciones para poder conectarnos y entre ellas estará Bastion. Elegimos esta opción y metiendo el usuario y contraseña le damos a conectar.
Se nos abrirá en una pestaña nueva usando HTML5 la conexión a la máquina virtual que hemos seleccionado.
Si nos vamos a las propiedades de la VM en Azure, vemos que la máquina no tiene IP pública, por lo que segurizamos en ese sentido, y no necesitamos ningún cliente RDP ni SSH para conectarnos a dicha máquina virtual.
Y ya tendríamos montado Azure Bastión y así podernos conectar de forma segura a nuestras máquinas virtuales que tengamos en Azure.
AUTOR: Jesús Vaquero, Cloud Architect & DevOps at Bravent