Azure Bastion が機能するしくみ

  • 5 分

Azure Bastion のデプロイは、仮想ネットワークまたはピアリングされた仮想ネットワークの単位で行われます。 サブスクリプション、アカウント、または仮想マシン (VM) の単位ではありません。 仮想ネットワークで Azure Bastion サービスをプロビジョニングした後は、同じ仮想ネットワーク内のすべての VM で RDP または SSH のエクスペリエンスを使用できます。

次の図に、ポータル経由で接続するときの Azure Bastion のしくみの概要を示します。

  1. Azure portal で VM に接続してください。Azure portal の [VM の概要] ページで、[接続]>[Bastion]>[Bastion を使用する] を選択し、お使いの VM の資格情報を入力してください。
  2. ブラウザーが Azure Bastion ホストに接続します。ブラウザーは、トランスポート層セキュリティ (TLS) と Azure Bastion ホストのパブリック IP を使用して、インターネット経由で Azure Bastion に接続します。 Azure ゲートウェイ マネージャーにより、ポート 443 または 4443 での Azure Bastion サービスへのポータル接続が管理されます。
  3. Bastion が、RDP または SSH を使用して VM に接続します。Azure Bastion は、仮想ネットワーク内にある AzureBastionSubnet という名前の別個のサブネットにデプロイされます。 このサブネットは、Azure Bastion をデプロイするときに作成します。 このサブネットには、/26 以上のサブネット マスクを持つアドレス空間を使用できます。 このサブネットに他の Azure リソースをデプロイしたり、サブネット名を変更したりしないでください。
  4. Bastion が VM をブラウザーにストリーミングします。Azure Bastion で HTML5 ベースの Web クライアントが使用され、それがローカル デバイスに自動的にストリーミングされます。 Azure Bastion サービスでは、カスタム プロトコルを使用してセッション情報がパッケージ化されます。 パッケージは TLS を通して送信されます。

実際のネットワーク セキュリティ グループで Azure Bastion が動作することを確認する

組織用に特定のネットワーク セキュリティ グループをデプロイおよび構成していない場合は、何も行う必要はありません。 Azure Bastion は、VM と共に作成された既定のネットワーク セキュリティ グループで動作します。

組織のために構成したネットワーク セキュリティ グループがある場合は、RDP または SSH 経由で Azure Bastion が VM に接続できることを確認します。 Azure Bastion のサブネットの IP アドレス範囲から VM への RDP および SSH 接続を許可するインバウンド規則を追加することをお勧めします。

Azure Bastion が機能するには、お使いのネットワーク セキュリティ グループで以下のトラフィックを許可する必要があります。

方向 Allow
受信 Azure Bastion サブネットの IP アドレス範囲から VM サブネットへの RDP および SSH 接続。
受信 Azure Bastion のパブリック IP への、インターネットからのポート 443 での TCP アクセス。
受信 Azure ゲートウェイ マネージャーからの TCP アクセス (ポート 443 または 4443)。 Azure ゲートウェイ マネージャーで、Azure Bastion サービスへのポータル接続が管理されます。
送信 Azure クラウドからの、ポート 443 での TCP アクセス。 このトラフィックは診断ログに使用されます。

Azure portal で Azure Bastion ホストをデプロイする

Azure Bastion をデプロイする前に、仮想ネットワークが必要です。 既存の仮想ネットワークを使用することも、仮想ネットワークを作成するときに Azure Bastion をデプロイすることもできます。 仮想ネットワーク内に AzureBastionSubnet という名前のサブネットを作成します。 VM が、同じ仮想ネットワーク上またはピアリングされた仮想ネットワーク上にある場合は、VM に接続するときに Azure Bastion を選択して、Azure portal でのデプロイを完了します。

次の 2 つのセクションでは、Azure portal でのそれぞれの Azure Bastion デプロイ オプションに伴う手順を示します。 これらの手順は完了する必要はありません。次の演習で行います。

仮想ネットワークを作成するときに Azure Bastion を有効にする

Azure Bastion 用に使用する仮想ネットワークがまだない場合は、[セキュリティ] タブで、仮想ネットワークを作成し、Azure Bastion を有効にします。

Screenshot of the Security tab that allows you to enable and configure the Azure Bastion host in the workflow for creating a virtual network.

  1. [有効] を選択して、Azure Bastion ホストの名前を入力します。
  2. サブネット マスクが /26 またはそれより大きいサブネット アドレスを追加します。
  3. 使用するパブリック IP アドレスがまだない場合は、[ 新規作成] を選択します。
  4. 仮想ネットワークを作成したら、この仮想ネットワークに VM を追加するか、またはこの仮想ネットワークを VM のある仮想ネットワークにピアリングします。

サブネットを既存の仮想ネットワークに追加して Azure Bastion リソースをプロビジョニングする

既存の仮想ネットワークに、AzureBastionSubnet という名前のサブネットを追加します。

Screenshot of the page for adding a subnet, where the subnet name is AzureBastionSubnet.

Azure Bastion をプロビジョニングするには、VM のポータルで、[接続]>[Bastion]>[手動で構成する] の順に選択してください。 Azure Bastion リソースの名前を入力し、サブネットの選択やパブリック IP の作成などを行います。 Azure Bastion のデプロイ後は、VM に接続できます。

Screenshot of the Create a Bastion page with fields filled out by default, like Azure Bastion resource name, subnet, and create public IP address.

Azure PowerShell または Azure CLI を使用して Azure Bastion をデプロイする

Azure PowerShell または Azure CLI を使用して Azure Bastion をデプロイする場合は、コマンドを実行して以下のリソースを作成します。

  • Subnet
  • パブリック IP
  • Azure Bastion リソース

以下のセクションでは、Azure Bastion のデプロイに使用できる例を示します。

Azure PowerShell を使用して Azure Bastion をデプロイする

  1. コマンドレット New-AzVirtualNetworkSubnetConfig を使用して Azure Bastion サブネットを作成し、Add-AzVirtualNetworkSubnetConfig を使用して既存の仮想ネットワークにサブネットを追加します。 たとえば、次のコマンドでは、仮想ネットワークが既にあるものと想定されています。

    $subnetName = "AzureBastionSubnet"
$virtualNetwork = MyVirtualNetwork
$addressPrefix = "10.0.2.0/24"
$subnet = New-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName ` 
-AddressPrefix $addressPrefix `

Add-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName `
-VirtualNetwork $virtualNetwork `
-AddressPrefix $addressprefix

  2. Azure Bastion のパブリック IP アドレスを作成します。 Azure Bastion では、パブリック IP アドレスを使用して、ポート 443 経由の RDP/SSH 接続を許可します。 パブリック IP アドレスは、Azure Bastion リソースと同じリージョンに存在する必要があります。

    $publicip = New-AzPublicIpAddress `
-ResourceGroupName "myBastionRG" `
-name "myPublicIP" `
-location "westus2" `
-AllocationMethod Static `
-Sku Standard

  3. 仮想ネットワークのために、AzureBastionSubnet という名前のサブネット内に Azure Bastion リソースを作成します。

    $bastion = New-AzBastion `
-ResourceGroupName "myBastionRG" `
-Name "myBastion" `
-PublicIpAddress $publicip `
-VirtualNetwork $virtualNetwork

Azure CLI を使用して Azure Bastion をデプロイする

  1. Azure Bastion サブネットを作成します。

    az network vnet subnet create \
  --resource-group myBastionRG \
  --vnet-name MyVirtualNetwork \
  --name AzureBastionSubnet \
  --address-prefixes 10.0.2.0/24

  2. Azure Bastion のパブリック IP アドレスを作成します。

    az network public-ip create \
  --resource-group MyResourceGroup \
  --name MyPublicIp \
  --sku Standard \
  --location westus2

  3. Azure Bastion リソースを作成します。

    az network bastion create \
  --name MyBastion \
  --public-ip-address MyPublicIp \
  --resource-group MyResourceGroup \
  --vnet-name MyVnet \
  --location westus2

Azure Bastion を使用して VM に接続する

必要なリソースが準備されると、同じ仮想ネットワーク上またはピアリングされた仮想ネットワーク上の VM に接続できるようになるはずです。 Azure portal の VM で [Bastion] を選択し、資格情報を入力します。

Screenshot of the Connect using Azure Bastion page with prompt for username and authentication type.

次のユニットでは、既存の仮想ネットワークのために Azure Bastion をデプロイする手順について説明します。