次の方法で共有

チュートリアル: 指定した設定を使用して Azure Bastion をデプロイする

  • [アーティクル]

このチュートリアルは、任意の設定と SKU を使用して、Azure portal から仮想ネットワークへの Azure Bastion の専用デプロイを構成するのに役立ちます。 SKU によって、デプロイに使用できる機能と接続が決まります。 SKU と機能の詳細については、構成設定 - SKU に関する記事をご覧ください。 Bastion のデプロイ後、SSH または RDP を使用し、仮想ネットワーク内の仮想マシン (VM) に Bastion 経由で VM のプライベート IP アドレスを使って接続できます。 VM に接続するときに、パブリック IP アドレス、クライアント ソフトウェア、エージェント、特殊な構成は必要ありません。

次のダイアグラムは、このチュートリアルの Azure Bastion 専用のデプロイ アーキテクチャを示しています。 専用のデプロイ アーキテクチャでは、Developer SKU アーキテクチャとは異なり、専用の bastion ホストが仮想ネットワークに直接デプロイされます。

Azure Bastion アーキテクチャを示す図。

このチュートリアルの手順では、専用デプロイ オプションである [手動で構成] から、Standard SKU を使用して Bastion をデプロイします。 このチュートリアルでは、Standard SKU でサポートされるホスト スケーリング (インスタンス数) を調整します。 デプロイにより低い SKU を使用する場合、ホスト スケーリングを調整することはできません。 また、デプロイするリージョンに応じて、可用性ゾーンを選択することもできます。

デプロイの完了後は、プライベート IP アドレスを使用して VM にアクセスします。 VM のパブリック IP アドレスは、他の用途に必要でなければ削除してかまいません。

このチュートリアルでは、次の作業を行う方法について説明します。

  • 仮想ネットワークに Bastion をデプロイする。
  • 仮想マシンに接続する。
  • 仮想マシンからパブリック IP アドレスを削除する。

前提条件

このチュートリアルを完了するには、これらのリソースが必要です。

  • Azure サブスクリプション。 お持ちでない場合は、開始する前に無料アカウントを作成してください。

  • Bastion のデプロイ先の仮想ネットワーク

  • 仮想ネットワーク内の仮想マシン この VM は Bastion の構成には含まれず、bastion ホストになることもありません。 このチュートリアルの中で後から、Bastion 経由でこの VM に接続することになります。 VM がない場合は、「クイック スタート: Windows VM を作成する」または「クイック スタート: Linux VM を作成する」を使用して作成してください。

  • 必要な VM ロール:

    • 仮想マシンに対する閲覧者ロール
    • 仮想マシンのプライベート IP を持つネットワーク アダプター (NIC) に対する閲覧者ロール

  • 必要な受信ポート:

    • Windows VM の場合: RDP (3389)
    • Linux VM の場合: SSH (22)

Note

Azure プライベート DNS ゾーンでは、Azure Bastion の使用がサポートされています。 ただし、制限があります。 詳細については、Azure Bastion の FAQ に関する記事を参照してください。

Bastion をデプロイする

このセクションは、ご利用の仮想ネットワークに Bastion をデプロイする際に役立ちます。 Bastion のデプロイ後は、仮想ネットワーク内の任意の VM に対し、そのプライベート IP アドレスを使用して安全に接続できます。

重要

時間単位の料金は、送信データの使用量に関係なく、Bastion がデプロイされた時点から発生します。 詳しくは、「価格」および「SKU」を参照してください。 チュートリアルまたはテストの一環で Bastion をデプロイする場合は、使用終了後に該当のリソースを削除することをお勧めします。

  1. Azure portal にサインインします。

  2. 仮想ネットワークに移動します。 仮想ネットワークのページの左側のペインで、[Bastion] を選択します。 これらの手順は、ポータルで仮想マシンのページから Bastion を構成する場合にも機能します。

  3. [Bastion] ペインで、[専用デプロイ オプション] を展開して、[手動で構成] ボタンを表示します。 展開するオプションを表示するには、スクロールする必要がある場合があります。

  4. [手動で構成する] をクリックします。 このオプションを使用すると、仮想ネットワークに Bastion をデプロイするときに、特定の追加設定 (SKU など) を構成できます。

  5. [Bastion の作成] ペインで、bastion ホストの設定を構成します。 プロジェクトの詳細は、仮想ネットワークの値から設定されます。 [インスタンスの詳細] で、これらの値を構成します。

    設定
    名前 Bastion リソースに使用する名前を指定します。 たとえば、VNet1-bastion です。
    リージョン 仮想ネットワークが存在するリージョンを選びます。
    可用性ゾーン 必要に応じて、ドロップダウンからゾーンを選択します。 特定のリージョンのみがサポートされています。 詳細については、「可用性ゾーンとは」を参照してください
    レベル このチュートリアルでは、Standard SKU を選択します。 各 SKU で使用できる機能の詳細については、「SKU の構成設定」をご覧ください。
    インスタンス数 スケール ユニット単位でホスト スケーリングを構成します。 スライダーを使用するか、数値を入力して、必要なインスタンス数 (たとえば、3) を構成します。 詳細については、「インスタンスとホストのスケーリング」と「Azure Bastion の価格」を参照してください。

  6. 仮想ネットワークの設定を構成します。 ドロップダウン リストから仮想ネットワークを選択します。 仮想ネットワークがドロップダウン リストにない場合は、前の手順で正しい [リージョン] 値を選択していることを確認してください。

  7. [サブネット] では、AzureBastionSubnet という名前のサブネットが仮想ネットワークに既に構成されている場合、これがポータルで自動的に選択されます。 そうではない場合は、作成できます。 AzureBastionSubnet を作成するには、[サブネット構成の管理] を選択します。 [サブネット] ペインで [+サブネット] を選択します。 次の値を構成して、[追加] します。

    設定 Value
    サブネットの目的 ドロップダウンから [Azure Bastion] を選択します。 これは、名前が AzureBastionSubnet であることを指定します。
    開始アドレス サブネットの開始アドレスを入力します。 たとえば、アドレス空間が 10.1.0.0/16 の場合、開始アドレスに 10.1.1.0 を使用できます。
    サイズ Standard SKU で使用できる機能に対応するには、サブネットが /26 以上 (/26/25/24 など) である必要があります。

  8. 階層リンクを使用して、[サブネット] ペインの上部にある [Bastion の作成] を選択して、Bastion の構成ページに戻ります。

    Azure Bastion サブネットを一覧表示するウィンドウのスクリーンショット。

  9. [パブリック IP アドレス] セクションで、RDP または SSH でアクセスされる (ポート 443 経由) bastion ホスト リソースのパブリック IP アドレスを構成します。 次の設定を構成します。

    設定 Value
    パブリック IP アドレス [新規作成] を選択して、Bastion リソースの新しいパブリック IP アドレスを作成します。 適切な条件を満たし、まだ使用されていない IP アドレスが既に作成されている場合は、[既存のものを使用] を選択し、ドロップダウン リストから既存のパブリック IP アドレスを選択することもできます。 パブリック IP アドレスは、作成している Bastion リソースと同じリージョン内にある必要があります。
    パブリック IP アドレス名 パブリック IP アドレスの名前を入力します。 たとえば、VNet1-bastion-ip です。
    パブリック IP アドレスの SKU パブリック IP アドレスでは、Standard SKU を使用する必要があります。 ポータルでこの値がオートフィルされます。
    譲渡 静的
    可用性ゾーン ゾーン冗長 (使用可能な場合)

  10. 設定の指定が完了したら、 [確認および作成] を選択します。 この手順では値を検証します。

  11. 値が検証に合格したら、Bastion をデプロイできます。 [作成] を選択します

    デプロイが進行中であることを示すメッセージが表示されます。 リソースが作成されると、このページに状態が表示されます。 Bastion リソースを作成してデプロイするには、約 10 分かかります。

VM への接続

次のいずれかの詳細記事を使って、VM に接続できます。 一部の種類の接続では、Bastion Standard SKU が必要です。

これらの基本的な接続手順を使用して、VM に接続することもできます。

  1. Azure portal で、接続先の仮想マシンに移動します。

  2. ペインの上部で、[接続]>[Bastion] を選び、[Bastion] ペインに移動します。 左側のメニューを使って、[Bastion] ペインに移動することもできます。

  3. [Bastion] ペインで使用できるオプションは、Bastion SKU によって異なります。

    Basic SKU を使用している場合は、RDP とポート 3389 を使って Windows コンピューターに接続します。 また、Basic SKU の場合、SSH とポート 22 を使って Linux コンピューターに接続します。 ポート番号やプロトコルを変更するオプションはありません。 ただし、RDP のキーボード言語は、このペインの [接続設定] を展開することで変更できます。

    Standard SKU を使っている場合は、さらに多くの接続プロトコルとポートのオプションを使用できます。 [接続設定] を展開すると、それらのオプションが表示されます。 通常、VM に対して異なる設定を構成しない限り、RDP とポート 3389 を使って Windows コンピューターに接続します。 SSH とポート 22 を使って、Linux コンピューターに接続します。

  4. [認証の種類] には、ドロップダウン リストから認証の種類を選びます。 プロトコルによって、利用できる認証の種類が決まります。 必要な認証の値を指定します。

  5. 新しいブラウザー タブで VM セッションを開くには、[新しいブラウザー タブで開く] を選択したままにします。

  6. [接続] を選択して VM に接続します。

  7. ポート 443 と Bastion サービスを使って、(HTML5 を介して) Azure portal で仮想マシンへの接続が直接開かれることを確認します。

VM に接続しているときにキーボード ショートカット キーを使うと、ローカル コンピューターのショートカット キーとは同じ動作にならないことがあります。 たとえば、Windows クライアントから Windows VM に接続している場合、Ctrl + Alt + End は、ローカル コンピューターの Ctrl + Alt + Delete のキーボード ショートカットになります。 Windows VM に接続しているときに Mac からこれを行うには、キーボード ショートカットは fn + control + option + delete になります。

オーディオ出力を有効にする

VM のリモートオーディオ出力を有効にすることができます。 この設定が自動的に有効になる VM もありますが、オーディオ設定を手動で有効にすることが必要なものもあります。 設定は VM 自体で変更されます。 Bastion のデプロイでは、リモート オーディオ出力を有効にするための特別な構成設定は必要ありません。

Note

オーディオ出力には、インターネット接続の帯域幅が使用されます。

Windows VM でリモート オーディオ出力を有効にするには:

  1. VM に接続すると、ツール バーの右下隅に [オーディオ] ボタンが表示されます。 [オーディオ] ボタンを右クリックし、[サウンド] を選びます。
  2. Windows オーディオ サービスを有効にするかどうかを確認するポップアップ メッセージが表示されます。 [はい] を選択します。 [サウンド] 設定で、より多くのオーディオ オプションを構成できます。
  3. サウンド出力を確認するには、ツールバーの [オーディオ] ボタンの上にカーソルを合わせます。

VM のパブリック IP アドレスを削除する

Azure Bastion を使用して VM に接続するときは、VM のパブリック IP アドレスは必要ありません。 パブリック IP アドレスを他に使用していない場合は、次のように VM との関連付けを解除しても問題ありません。

  1. 仮想マシンに移動します。 [概要] ページで、[パブリック IP アドレス] をクリックして、[パブリック IP アドレス] ページを開きます。

  2. [パブリック IP アドレス] ページで、[概要] に進みます。 この IP アドレスの [関連付け先] であるリソースを表示できます。 ペインの上部にある [関連付け解除] を選択します。

  3. [はい] を選択して、VM ネットワーク インターフェイスから IP アドレスの関連付けを解除します。 ネットワーク インターフェイスからパブリック IP アドレスの関連付けを解除した後、それが [関連付け先] に一覧表示されなくなったことを確認します。

  4. IP アドレスの関連付けを解除した後、パブリック IP アドレス リソースを削除できます。 VM の [パブリック IP アドレス] ペインで、[概要] ページの上部にある [削除] を選択します。

  5. [はい] を選択してパブリック IP アドレスを削除します。

リソースをクリーンアップする

このアプリケーションを使い終えたら、リソースを削除します。

  1. ポータルの上部にある検索ボックスにリソース グループの名前を入力します。 検索結果にリソース グループが表示されたら、それを選択します。
  2. [リソース グループの削除] を選択します。
  3. [リソース グループ名を入力してください] に自分のリソース グループの名前を入力し、[削除] を選択します。

次のステップ

このチュートリアルでは、仮想ネットワークに Bastion をデプロイして VM に接続しました。 その後、VM からパブリック IP アドレスを削除しました。 今度は、その他の Bastion 機能について学習し、その構成を行います。

Azure Bastion の構成設定

VM の接続と機能

仮想ネットワークの Azure DDos 保護を構成する