プライベート専用として Bastion をデプロイする
この記事は、プライベート専用のデプロイとして Bastion をデプロイする際に役立ちます。 プライベート専用の Bastion デプロイでは、プライベート IP アドレスのアクセスのみが許可される、インターネット ルーティングできない Bastion デプロイを作成することで、ワークロードをエンド ツー エンドでロックダウンします。 プライベート専用の Bastion デプロイでは、パブリック IP アドレスを介した bastion ホストへの接続は許可されません。 これに対し、通常の Azure Bastion デプロイでは、ユーザーはパブリック IP アドレスを使用して bastion ホストに接続できます。
次の図は、プライベート専用の Bastion デプロイ アーキテクチャを示しています。 ExpressRoute プライベート ピアリング経由で Azure に接続されているユーザーは、bastion ホストのプライベート IP アドレスを使用して Bastion に安全に接続できます。 その後、Bastion は、bastion ホストと同じ仮想ネットワーク内にある仮想マシンへのプライベート IP アドレス経由で接続を確率できます。 プライベート専用の Bastion デプロイでは、Bastion は仮想ネットワークの外部への送信アクセスを許可しません。
考慮すべき項目:
プライベート専用の Bastion はデプロイ時に構成され、Premium SKU レベルが必要です。
通常の Bastion デプロイからプライベート専用のデプロイに変更することはできません。
プライベート専用の Bastion を、既に Bastion のデプロイがある仮想ネットワークにデプロイするには、まず仮想ネットワークから Bastion を削除してから、プライベート専用として仮想ネットワークに Bastion をデプロイし直します。 AzureBastionSubnet を削除して再作成する必要はありません。
エンド ツー エンドのプライベート接続を作成する場合は、Azure portal 経由で接続するのではなく、ネイティブ クライアントを使用して接続します。
クライアント マシンがオンプレミスで Azure 以外の場合は、ExpressRoute または VPN をデプロイし、Bastion リソースで IP ベースの接続を有効にする必要があります
前提条件
この記事の手順では、次の条件を前提としています。
サンプル値
この構成を作成する際は、次の例の値を使用できます。また、独自の値に置き換えることもできます。
基本的な仮想ネットワークと仮想マシンの値
名前 | 値 |
---|---|
リソース グループ | TestRG1 |
リージョン | 米国東部 |
Virtual Network | VNet1 |
アドレス空間 | 10.1.0.0/16 |
サブネット 1 名: FrontEnd | 10.1.0.0/24 |
サブネット 2 の名前: AzureBastionSubnet | 10.1.1.0/26 |
Bastion の値
名前 | 値 |
---|---|
名前 | VNet1-bastion |
レベル/SKU | Premium |
インスタンス数 (ホスト スケーリング) | 2 以上 |
譲渡 | 静的 |
プライベート専用の Bastion をデプロイする
このセクションは、ご利用の仮想ネットワークに Bastion をプライベート専用としてデプロイする際に役立ちます。
重要
時間単位の料金は、送信データの使用量に関係なく、Bastion がデプロイされた時点から発生します。 詳しくは、「価格」および「SKU」を参照してください。 チュートリアルまたはテストの一環で Bastion をデプロイする場合は、使用終了後にこのリソースを削除することをお勧めします。
Azure portal にサインインし、仮想ネットワークに移動します。 まだお持ちでない場合は、仮想ネットワークを作成できます。 この演習用の仮想ネットワークを作成している場合は、仮想ネットワークの作成と同時に (次の手順から) AzureBastionSubnet を作成できます。
Bastion リソースのデプロイ先となるサブネットを作成します。 左側のウィンドウで、[サブネット] -> [+ サブネット] を選択して AzureBastionSubnet を追加します。
- Premium SKU レベルで使用できる機能に対応するには、サブネットが /26 以上 (/26、/25、/24 など) である必要があります。
- サブネットの名前は「AzureBastionSubnet」とする必要があります。
ペインの下部にある [保存] を選択して値を保存します。
次に、仮想ネットワーク ページで、左側のウィンドウから [Bastion] を選択します。
[Bastion] ページで、[Dedicated Deployment Options]\(専用デプロイ オプション\) を展開します (そのセクションが表示される場合)。 [手動で構成] ボタンを選択します。 このボタンを選択しないと、Bastion をプライベート専用として展開するために必要な設定が表示されません。
[Bastion の作成] ペインで、bastion ホストの設定を構成します。 [プロジェクトの詳細] の値は、仮想ネットワークの値から設定されます。
[インスタンスの詳細] で、これらの値を構成します。
名前: Bastion リソースに使用する名前。
リージョン: リソースが作成される Azure パブリック リージョンです。 仮想ネットワークが存在するリージョンを選びます。
[レベル]: プライベート専用のデプロイには [Premium] を選択する必要があります。
[インスタンス数]: ホスト スケーリングの設定です。 スケール ユニット単位でホスト スケーリングを構成します。 スライダーを使用するか、数値を入力して、必要なインスタンス数を構成します。 詳細については、「インスタンスとホストのスケーリング」と「Azure Bastion の価格」を参照してください。
[仮想ネットワークの構成] 設定で、ドロップダウン リストから使用している仮想ネットワークを選択します。 仮想ネットワークがドロップダウン リストにない場合は、前の手順で正しい [リージョン] 値を選択していることを確認してください。
前の手順で既に作成した場合は、AzureBastionSubnet が自動的に設定されます。
[Configure IP address]\(IP アドレスの構成\) セクションでは、これがプライベート専用のデプロイであることを指定します。 オプションから [プライベート IP アドレス] を選択する必要があります。
[プライベート IP アドレス] を選択すると、パブリック IP アドレスの設定が構成画面から自動的に削除されます。
プライベート専用の Bastion で ExpressRoute または VPN を使用する場合は、[詳細設定] タブに移動します。[IP ベースの接続] を選択します。
設定の指定が完了したら、 [確認および作成] を選択します。 この手順では値を検証します。
値が検証に合格したら、Bastion をデプロイできます。 [作成] を選択します
デプロイが進行中であることを示すメッセージが表示されます。 リソースが作成されると、このページに状態が表示されます。 Bastion リソースを作成してデプロイするには、約 10 分かかります。
次のステップ
構成設定の詳細については、「Azure Bastion の構成設定」と「Azure Bastion に関する FAQ」を参照してください。