NSG アクセスと Azure Bastion を使用するWorking with NSG access and Azure Bastion

Azure Bastion の使用時にネットワーク セキュリティ グループ (NSG) を使用できます。When working with Azure Bastion, you can use network security groups (NSGs). 詳細については、「セキュリティ グループ」を参照してください。For more information, see Security Groups.

Architecture

この図の内容は次のとおりです。In this diagram:

  • Bastion ホストは仮想ネットワークにデプロイされています。The Bastion host is deployed to the virtual network.
  • ユーザーは任意の HTML5 ブラウザーを使用して Azure portal に接続します。The user connects to the Azure portal using any HTML5 browser.
  • ユーザーは RDP/SSH で接続するために Azure 仮想マシンに移動します。The user navigates to the Azure virtual machine to RDP/SSH.
  • 接続統合 - ブラウザー内でのシングルクリックによる RDP/SSH セッションConnect Integration - Single-click RDP/SSH session inside the browser
  • Azure VM ではパブリック IP が必要ありません。No public IP is required on the Azure VM.

ネットワーク セキュリティ グループNetwork security groups

このセクションでは、ユーザーと Azure Bastion との間のネットワーク トラフィックと、仮想ネットワーク内のターゲット VM へのネットワークトラフィックについて説明します。This section shows you the network traffic between the user and Azure Bastion, and through to target VMs in your virtual network:

AzureBastionSubnetAzureBastionSubnet

Azure Bastion は、AzureBastionSubnet に特定してデプロイされます。Azure Bastion is deployed specifically to the AzureBastionSubnet.

  • イグレス トラフィック:Ingress Traffic:

    • パブリック インターネットからのイグレス トラフィック: Azure Bastion によってパブリック IP が作成されます。このパブリック IP では、イグレス トラフィック用にポート 443 が有効になっている必要があります。Ingress Traffic from public internet: The Azure Bastion will create a public IP that needs port 443 enabled on the public IP for ingress traffic. AzureBastionSubnet でポート 3389/22 が開かれている必要はありません。Port 3389/22 are NOT required to be opened on the AzureBastionSubnet.
    • Azure Bastion からのイグレス トラフィックのコントロール プレーン: コントロール プレーン接続の場合は、GatewayManager サービス タグからのポート 443 受信を有効にします。Ingress Traffic from Azure Bastion control plane: For control plane connectivity, enable port 443 inbound from GatewayManager service tag. これにより、コントロール プレーン、つまりゲートウェイ マネージャーから Azure Bastion への通信が可能になります。This enables the control plane, that is, Gateway Manager to be able to talk to Azure Bastion.
  • エグレス トラフィック:Egress Traffic:

    • ターゲット VM へのエグレス トラフィック: Azure Bastion は、プライベート IP 経由でターゲット VM にリーチします。Egress Traffic to target VMs: Azure Bastion will reach the target VMs over private IP. NSG では、他のターゲット VM サブネットへのエグレス トラフィックをポート 3389 と 22 に許可する必要があります。The NSGs need to allow egress traffic to other target VM subnets for port 3389 and 22.
    • Azure の他のパブリックエンド ポイントへのエグレス トラフィック: Azure Bastion から Azure 内のさまざまなパブリック エンドポイントに接続できる必要があります (たとえば、診断ログや測定ログを格納するため)。Egress Traffic to other public endpoints in Azure: Azure Bastion needs to be able to connect to various public endpoints within Azure (for example, for storing diagnostics logs and metering logs). このため、Azure Bastion には AzureCloud サービス タグに対する 443 への送信が必要です。For this reason, Azure Bastion needs outbound to 443 to AzureCloud service tag.
  • ターゲット VM サブネット: これは、RDP/SSH で接続するターゲット仮想マシンを含むサブネットです。Target VM Subnet: This is the subnet that contains the target virtual machine that you want to RDP/SSH to.

    • Azure Bastion からのイグレス トラフィック: Azure Bastion は、プライベート IP 経由でターゲット VM にリーチします。Ingress Traffic from Azure Bastion: Azure Bastion will reach to the target VM over private IP. プライベート IP 経由のターゲット VM 側で RDP/SSH ポート (それぞれポート 3389/22) が開かれている必要があります。RDP/SSH ports (ports 3389/22 respectively) need to be opened on the target VM side over private IP. ベスト プラクティスとして、この規則に Azure Bastion サブネットの IP アドレス範囲を追加して、ターゲット VM サブネット内のターゲット VM で Bastion によってのみこれらのポートが開かれるよにすることができます。As a best practice, you can add the Azure Bastion Subnet IP address range in this rule to allow only Bastion to be able to open these ports on the target VMs in your target VM subnet.

AzureBastionSubnet への NSG の適用Apply NSGs to AzureBastionSubnet

NSG を作成して AzureBastionSubnet に適用する場合は、NSG に次の規則を追加済みであることを確認してください。If you create and apply an NSG to AzureBastionSubnet, make sure you have added the following rules in your NSG. これらのルールを追加しないと、NSG の作成/更新は失敗します。If you do not add these rules, the NSG creation/update will fail:

  • コントロール プレーンの接続: 443 での GatewayManager からの受信Control plane connectivity: Inbound on 443 from GatewayManager
  • 診断ログとその他: 443 での AzureCloud への送信。Diagnostics logging and others: Outbound on 443 to AzureCloud. このサービス タグ内で地域タグはまだサポートされていません。Regional tags within this service tag are not supported yet.
  • ターゲット VM: 3389 および 22 に対する VirtualNetwork への送信Target VM: Outbound for 3389 and 22 to VirtualNetwork

NSG ルールの例は、このクイックスタート テンプレートで参照できます。An NSG rule example is available for reference in this quickstart template.

次のステップNext steps

Azure Bastion の詳細については、FAQ をご覧ください。For more information about Azure Bastion, see the FAQ.