VNet ピアリングと Azure Bastion
Azure Bastion と VNet ピアリングは一緒に使用できます。 VNet ピアリングが構成されている場合、ピアリングされた各 VNet に Azure Bastion をデプロイする必要はありません。 つまり、Azure Bastion ホストが 1 つの仮想ネットワーク (VNet) 内に構成されている場合は、追加の bastion ホストをデプロイしなくても、ピアリングされた VNet にデプロイされている VM に接続するために使用できます。 VNet ピアリングの詳細については、仮想ネットワーク ピアリングに関するページを参照してください。
Azure Bastion は、次の種類のピアリングで動作します。
- 仮想ネットワーク ピアリング: 同じ Azure リージョン内の仮想ネットワークを接続します。
- グローバル仮想ネットワーク ピアリング: Azure リージョン間で仮想ネットワークを接続します。
注意
Virtual WAN ハブ内には Azure Bastion をデプロイできません。 スポーク VNet に Azure Bastion をデプロイし、IP ベースの接続機能を使用して Virtual WAN ハブ経由で、別の VNet にデプロイされた仮想マシンに接続できます。
Architecture
VNet ピアリングが構成されている場合、Azure Bastion はハブ アンド スポークまたはフルメッシュのトポロジにデプロイできます。 Azure Bastion デプロイは、サブスクリプションやアカウント、仮想マシン単位ではなく、仮想ネットワーク単位です。
仮想ネットワーク内に Azure Bastion サービスをプロビジョニングすると、同じ VNet やピアリングされた VNet 内のすべての VM で RDP/SSH エクスペリエンスを利用できます。 これは、Bastion デプロイを単一 VNet に統合しても、ピアリングされた VNet にデプロイされた VM にはアクセスすることができ、全体的なデプロイが一元化されることを意味します。
この図は、ハブ アンド スポーク モデルでの Azure Bastion デプロイのアーキテクチャを示しています。 図では、以下の構成を確認できます。
- Bastion ホストは、一元化されたハブ仮想ネットワーク内にデプロイされています。
- 一元化されたネットワーク セキュリティ グループ (NSG) がデプロイされています。
- Azure VM にパブリック IP は必要ありません。
デプロイの概要
- Vnet、および Vnet 内に仮想マシンが構成されていることを確認します。
- VNet ピアリングを構成します。
- Vnet のいずれかで basion を構成します。
- アクセス許可を確認します。
- Azure Bastion を使用して VM に接続します。 Azure Bastion 経由で接続するには、サインインしているサブスクリプションに対する適切なアクセス許可が必要です。
アクセス許可を確認するには
このアーキテクチャを使用する場合は、次のアクセス許可を確認します。
- ターゲット VM とピアリングされた VNet の両方に読み取りアクセス権を持っていることを確認します。
- YourSubscription | IAM でアクセス許可をチェックして、次のリソースへの読み取り権限を持っているか確認します。
- 仮想マシンに対する閲覧者ロール。
- 仮想マシンのプライベート IP を使用する NIC に対する閲覧者ロール。
- Azure Bastion リソースに対する閲覧者ロール。
- 対象の仮想マシンの仮想ネットワークに対する閲覧者ロール。
Bastion VNet ピアリングに関するよくある質問
よくある質問については、Bastion VNet ピアリングの FAQ を参照してください。