Si alguna vez intentaste conectarte a una máquina virtual dentro de una red privada en Azure, sabes el dolor: certificados, cliente VPN, configuración punto a punto y horas perdidas. Azure Bastion elimina todo eso y te deja entrar a tu VM directamente desde el navegador, sin exponer una IP pública ni tocar tu equipo local.

Esta guía es para quien trabaja con infraestructura en Azure y necesita acceso seguro a máquinas virtuales aisladas dentro de una VNet, sin montar una VPN completa.

¿Qué es Azure Bastion y para qué sirve?

Bastion abre una especie de puerta trasera a tu red privada y crea un túnel seguro hacia tus máquinas virtuales. Tú entras desde el portal de Azure, en tu navegador, y caes directo en el escritorio remoto de la VM.

¿Qué problema resuelve Azure Bastion? Te permite conectarte por RDP o SSH a una máquina virtual que solo tiene IP privada, sin instalar cliente VPN, sin certificados y sin abrir puertos públicos en la VM.

La diferencia con el método tradicional es enorme. Antes tenías que desplegar componentes adicionales, descargar un cliente VPN, instalar certificados y dejar tu equipo local conectado a la VNet. Con Bastion, todo eso desaparece.

¿Cómo se despliega Bastion paso a paso?

El despliegue se hace con la Azure CLI y sigue una secuencia bastante directa. La idea es crear el grupo de recursos, la red virtual, una subnet especial, una IP pública y finalmente el recurso de Bastion más la VM.

¿Qué recursos necesitas crear antes de Bastion?

Estos son los pasos que se ejecutan en orden, todos con az desde la terminal:

• Crear el grupo de recursos para mantener todo agrupado.
• Crear la red virtual con az network vnet create, usando los mismos parámetros de cualquier VNet.
• Crear una subnet dedicada con az network vnet subnet create.
• Crear una dirección IP pública estándar con tres zonas de disponibilidad.
• Ejecutar az network bastion create apuntando al grupo, la IP pública y la VNet.
• Crear la máquina virtual sin IP pública (en el ejemplo, una imagen de Windows 2022 Data Center).

Después de la lista, ten paciencia. Bastion es uno de los recursos que más tarda en crearse en Azure, así que aprovecha para tomarte un café mientras se despliega.

¿Por qué Bastion exige una subnet con un nombre específico?

Aquí viene una regla que no puedes saltarte: Bastion requiere su propia subnet exclusiva dentro de la VNet, y debe llamarse AzureBastionSubnet. No es opcional. Si le pones otro nombre o metes más recursos en esa subred, el despliegue falla.

¿Qué es AzureBastionSubnet? Es la subnet dedicada exclusivamente a Bastion dentro de tu red virtual. Solo Bastion vive ahí, y el nombre debe ser exactamente ese para que Azure lo reconozca.

El resto de la red virtual queda libre para tus máquinas, bases de datos o lo que necesites desplegar.

¿Cómo verificar que Bastion funciona?

Una vez creada la VM sin IP pública, intentar conectarte por RDP tradicional falla. Si descargas el archivo RDP desde el portal e intentas abrirlo, te aparece un error de escritorio remoto. Es exactamente lo que esperas: la VM no tiene IP pública, así que el acceso directo es imposible.

Luego cambias a la pestaña de Bastion dentro de la sección Conectar de la máquina virtual. Ahí ingresas el usuario (en el ejemplo, azureuser) y la contraseña. Bastion incluye un botón Mostrar para confirmar que la contraseña esté bien escrita, marcas la opción de abrir en una nueva pestaña y das clic en Conectar.

¿Qué navegador funciona mejor con Azure Bastion?

Un detalle práctico: Bastion no se comporta bien en Firefox. La recomendación es usar Microsoft Edge, que ofrece compatibilidad completa con la sesión remota. Si ves mensajes intermitentes de conexión inestable al inicio, es normal, espera unos segundos. Si tarda demasiado, cierra la pestaña y vuelve a cargarla.

El resultado: caes en el escritorio remoto de Windows Server directamente desde el navegador, sin VPN, sin certificados y sin tocar la configuración de tu equipo local.

¿Cuánto cuesta Azure Bastion y cómo optimizar el gasto?

Aquí está la otra cara de la moneda. Bastion es una maravilla, pero es uno de los recursos más costosos del catálogo de Azure. Por eso, el control de costos no es opcional.

La estrategia recomendada incluye prácticas concretas:

• Usa Bastion solo cuando lo necesites de verdad.
• Apaga la máquina virtual al terminar tu trabajo.
• Si trabajas con Bastion a diario, considera crear y destruir la VM cada día para ahorrar las horas que no la usas.
• Al cerrar tu práctica o entorno de pruebas, elimina todos los recursos del grupo.

El alcance de precios en la nube es brutal. Una sesión olvidada de Bastion puede inflar tu factura mensual sin que te des cuenta.

¿Ya probaste Bastion en algún proyecto real? Cuéntame en los comentarios cómo manejas el balance entre comodidad de acceso y control de costos.