次の方法で共有


Azure 仮想ネットワークで Cloud Shell を使用する

既定では、Azure Cloud Shell セッションは、リソースとは別の Microsoft ネットワーク内のコンテナーで実行されます。 コンテナー内で実行されるコマンドは、プライベート仮想ネットワーク内のリソースにアクセスできません。 たとえば、Secure Shell (SSH) を使用して、Cloud Shell からプライベート IP アドレスのみを持つ仮想マシンに接続したり、kubectl を使って、アクセスがロックダウンされた Kubernetes クラスターに接続したりすることはできません。

プライベート リソースへのアクセスを提供するために、制御する Azure 仮想ネットワークに Cloud Shell をデプロイできます。 この手法は、''仮想ネットワークの分離'' と呼ばれます。

Cloud Shell を使用した仮想ネットワークの分離の利点

プライベート仮想ネットワークに Cloud Shell をデプロイすると、次の利点があります。

  • 管理するリソースにパブリック IP アドレスは必要はありません。
  • Cloud Shell コンテナーからコマンドライン ツール、SSH、PowerShell リモート処理を使用して、リソースを管理できます。
  • Cloud Shell が使用するストレージ アカウントにパブリックにアクセスできる必要はありません。

仮想ネットワークに Azure Cloud Shell をデプロイする前に考慮すべきこと

  • 通常、仮想ネットワークで Cloud Shell を開始するには、標準の Cloud Shell セッションよりも時間がかかります。
  • 仮想ネットワークの分離では、有料サービスである Azure Relay を使用する必要があります。 Cloud Shell シナリオでは、Cloud Shell を使用している間、管理者ごとに 1 つのハイブリッド接続が使用されます。 Cloud Shell セッションが終了すると、接続は自動的に閉じられます。

アーキテクチャ

次の図は、このシナリオを有効にするために構築する必要があるリソース アーキテクチャを示しています。

Cloud Shell 分離仮想ネットワーク アーキテクチャの図。

  • 顧客クライアント ネットワーク: クライアント ユーザーは、インターネット上の任意の場所で、Azure portal に安全にアクセスして認証し、Cloud Shell を使用して顧客のサブスクリプションに含まれるリソースを管理できます。 セキュリティをより厳重にするために、ユーザーがサブスクリプションに含まれる仮想ネットワークからのみ Cloud Shell を開けるようにすることができます。
  • Microsoft ネットワーク: 顧客は Microsoft のネットワーク上の Azure portal に接続して認証し、Cloud Shell を開きます。
  • 顧客仮想ネットワーク: これは、仮想ネットワークの分離をサポートするサブネットを含むネットワークです。 仮想マシンやサービスなどのリソースには、パブリック IP アドレスを割り当てる必要なく、Cloud Shell から直接アクセスできます。
  • Azure Relay: Azure Relay を使用すると、直接到達できない 2 つのエンドポイントが通信できるようになります。 この場合、これは管理者のブラウザーがプライベート ネットワーク内のコンテナーと通信できるようにするために使用されます。
  • ファイル共有: Cloud Shell には、仮想ネットワークからアクセスできるストレージ アカウントが必要です。 ストレージ アカウントは、Cloud Shell ユーザーが使用するファイル共有を提供します。

価格

Cloud Shell では、セッション間でファイルを保持するために、新規または既存の Azure ファイル共有をマウントする必要があります。 ストレージには正規のコストが発生します。 プライベート仮想ネットワークに Azure Cloud Shell をデプロイした場合は、ネットワーク リソースの料金が課金されます。 価格情報については、「Azure Cloud Shell の価格」を参照してください。

次のステップ

独自の Cloud Shell インスタンスをデプロイする準備ができたら、「クイックスタート テンプレートを使用して仮想ネットワークに Azure Cloud Shell をデプロイする」を参照してください。