Hola,
Pregunta arriba. La SKU más básica de Azure Bastion cuesta alrededor de 3 veces más que la VPN Gateway más básica. ¿Por qué alguien configuraría Azure Bastion en lugar de una gateway?
¡Gracias!
Azure Bastion es un recurso desplegado en tu entorno que es la solución de Microsoft a una “jump box” tradicional. Te conecta a tus máquinas virtuales vía Bastion a través de Internet. VPN es para proporcionar una conexión privada y segura entre tus instalaciones y Azure. Si solo necesitas acceder remotamente a máquinas virtuales, Bastion podría ser una buena solución. Si tienes un entorno donde los recursos en las instalaciones y en Azure están en comunicación constante y Azure es una extensión de tus instalaciones, entonces querrás VPN o ExpressRoute.
El SKU Developer de Azure Bastion, aunque limitado en disponibilidad regional, es gratuito.
Algunas cosas que Bastion puede hacer que VPN no puede OOTB:
- RDP y SSH en el navegador.
- Comandos de Azure CLI para conectarse a una VM con RDP nativo.
- Grabar una sesión, ideal para motivos de cumplimiento.
- Enlace compartible, puede usarse sin un usuario de Azure en ese tenant.
Si necesitas dar acceso a muchos usuarios externos, creo que Bastion es bastante útil.
Pero honestamente, prefiero VPN P2S con Entra ID SSO. Más flexible, y como dices, incluso más barato que la SKU mejor de Bastion.
Azure Bastion también puede accederse desde cualquier lugar…
Ambos usan Internet, ambos están encriptados (“seguro”).
Con VPN puedes acceder a cualquier IP privada en tu red de Azure.
Con Bastion puedes acceder a cualquier VM privada en tu red de Azure.
Azure Bastion y VPN son dos servicios totalmente diferentes.
Bastion es esencialmente un proxy que te permite RDP o SSH a una VM dentro de tu red virtual.
VPN permite configurar un túnel entre otra red (en instalaciones o en otra nube como Azure VNet o AWS) permitiendo todo el tráfico de red. Entonces, sobre una VPN puedes hacer cosas como conectar a bases de datos, servicios web o RDP o SSH. Solo RDP y SSH están cubiertos por Bastion, así que usarías VPN si necesitas algo más que esos dos servicios o rutas de red más complicadas, etc.
Amigo, necesita alejarse ahora y emplear a alguien que sepa lo que hace. Estos conceptos son básicos, no fundamentos de Azure.
¿Necesito conectarme a una base de datos, esto sería correcto hacerlo con Bastion? // ¡Quizá configure mi propia Jumpbox!
¿Alguna otra limitación además de la región?
Creo que simplemente configuraré una Jump Box. Tengo una startup, y es mi primera vez configurando una vNet, necesito esto para acceder a las bases de datos (para ejecutar los comandos CREATE TABLE, etc.)
Entonces puede un VPN.
¿Pero no es Bastion como una jump box, así que también puede acceder a cualquier IP privada? Dado que está dentro de la red.
¿Bastion es solo para VMs y no para servidores gestionados de Postgres, por ejemplo? ¿Estás seguro de esto? Yo pensaba que solo era una jump box glorificada. (La jump box te permite estar dentro de la vNet y saltar a otros recursos, como una base de datos!)
Puedes ver la diferencia entre las SKUs aquí
En mi opinión, la mayor limitación es que solo puedes conectarte a las VMs en la misma red virtual que el host de Bastion.
No estoy al tanto de eso, pero no he profundizado porque no estaba en las regiones en las que tenía laboratorios hasta la fecha.
Si eres una startup y quieres menos complejidad, sobrecarga de mantenimiento y costos recurrentes:
-
¿Por qué tener una jump box cuando puedes configurar VPN P2S para llegar a todo directamente? Luego solo conectas tu cliente a VPN P2S y apuntas los comandos SQL a la IP local vNet de tu VM de base de datos.
-
Esto también funcionará para servicios de PaaS de bases de datos con endpoint privado.
-
Esto no funcionará para servicios PaaS usando endpoint de servicio, ya que el endpoint de servicio solo es alcanzable desde dentro de una Azure VNet. Aquí tiene sentido una VM de jump box.
Información sobre usar VPN P2S con Entra ID SSO:
El SKU más barato sin carga adicional será suficiente para tu caso:
- https://learn.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpngateways#gwsku
- https://azure.microsoft.com/en-us/pricing/details/vpn-gateway/
Y guarda este enlace:
Ah, no mencioné pero iba a usar esa VM como jump box para luego conectarme a una base de datos dentro de la vNet.
Sí, ese era mi plan. Iniciar una VM con IP pública para conectarse y, a través de ella, poner mi portátil en la vNet para ejecutar comandos en bases de datos, etc.
‘Pero sí, VPN P2S directo a una VNet es muy común, usando Azure Virtual Network Gateway.’ ¡Genial, haré esto!
No sabía que había diferentes tipos de VPN, así que al revisar mi publicación, era muy vago. Me refería a VPN P2S en mi publicación. Gracias.
Sí, hay muchas abreviaturas en la nube y redes. 
- P2S = Punto a Sitio
- S2S = Sitio a Sitio