Desde que nació Azure, uno de sus pilares es el servicio de máquinas virtuales en las que despliego todo tipo de recursos en formato IaaS.
La manera estandar de conectarme a estas VM es vía RDP o SSH, pero en muchos casos está limitado o prohibido el acceso a estos puertos desde redes internas o de invitados, por temas de seguridad
Ahora llega una forma que solo necesita acceso por el puerto 443 para realizar la conexión a una sesión remota de forma sencilla y transparente desde un navegador Web que soporte HTML5.
Primero registrarse a la preview
Lo primero que tengo que hacer es darme de alta en la preview privada de Bastión, para lo cual lanzo el siguiente Powershell en la consola de Azure.
Register-AzureRmProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network
Esperando una respuesta tal que:
FeatureName ProviderName RegistrationState ----------- ------------ ----------------- AllowBastionHost Microsoft.Network Registering
A continuación lanzo el siguiente cmdlet.
Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Network
Y espero la siguiente respuesta:
ProviderNamespace : Microsoft.Network
RegistrationState : Registered
ResourceTypes : {virtualNetworks, natGateways, publicIPAddresses, networkInterfaces…}
Locations : {West US, East US, North Europe, West Europe…}
Por último compruebo si ya estoy registrado luego de unos pocos minutitos de espera.
Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Network
Esperando esta respuesta final que me indica el registro completado.
FeatureName ProviderName RegistrationState ----------- ------------ ----------------- AllowBastionHost Microsoft.Network Registered AllowCortexAccess Microsoft.Network Registered AllowLBPreview Microsoft.Network Registered TrafficManagerHeatMap Microsoft.Network Registered
Dando de alta un Bastión para mi VM
Lo primer es acceder a la versión preview del portal. Cuidado, no vale con entrar a preview.portal.azure.com porqué aquí – en el momento de escribir este artículo – no me aparece el recurso de Bastión.
En el portal de preview creo un grupo de recursos en West Europe, y dentro una máquina virtual con su red, subred, nic, pero sin IP publica. Y «de perdido al rio» configuro no tener NSG ni tener abierto el puerto RDP.
Luego busco el recurso de Bastión, y empiezo a rellenar los datos de configuración hasta encontrar el primer inconveniente: tengo que tener una subred llamada ‘AzureBastionSubnet’ y que sea, como poco, un /27.
Por lo cual borro todos los recursos de la VM para eliminar la subred default y dar de alta la que me pide el Bastión.
A continuación veo que me obliga a crear una IP estática, y me lo apunto como un pequeño coste extra. Y, mientras estoy creando de nuevo la VM, me encuentro con que necesito de todos modos otra subred para la máquina virtual porque no puedo utilizar la que he configurado para Bastión.
Bueno, ya tengo la infraestructura montada: Una red virtual, dos subredes, en una Bastión y en la otra una VM con su NIC.
Usando Bastión para conectarme a mi VM
Ahora me voy a mi VM, al icono de conectar, y observo que hay una pestaña más además de la de RDP y SSH; y es la de Bastión.
Por alguna razón, el primer despliegue ha fallado y, al pulsar en el botón «Use Bastion», me he encontrado con que el recurso había fallado y lo tuve que re desplegar una segunda vez.
Y ahora sí que me ha pedido las credenciales del usuario de Administración para poderme conectar.
Ups, un problema no esperado. Me avisa que el Popup Blocker de Chrome no deja abrir la ventana de conexión a la máquina virtual.
Permito que se abra una nueva pestaña, y veo como me conecto de forma remota a mi flamante servidor en una pestaña del navegador.
Quisiera poder mostrar una captura de pantalla… pero está deshabilitada cada vez que pongo la pestaña con el servidor… curioso.
Lo mejor de este servicio, desde el punto de vista de formación, es que me puedo saltar los inconvenientes que tengo en tantos y tantos clientes que tiene configuradas restricciones en el uso de los puertos RDP desde sus Wifi o redes de invitados.
Por otro lado, fíjate que mi VM ya no tiene IPpública, ni necesita un NSG que cierre o abra puertos. Es decir mi máquina virtual está mucho más segura con una superficie de ataque muchísimo menor.
Si te apetece conocer más de este nuevo recurso, puedes mirar en la propia documentación de Microsoft.
Espero que sea de utilidad.