チュートリアル: 指定した設定を使用して Azure Bastion をデプロイする

  • [アーティクル]

このチュートリアルは、独自の手動設定と、指定した SKU (製品レベル) を使用して、Azure portal から Azure Bastion をデプロイするのに役立ちます。 SKU によって、デプロイに使用できる機能と接続が決まります。 SKU の詳細については、SKU の構成設定に関する記事をご覧ください。

Azure portal で [手動で構成する] オプションを使用して Bastion をデプロイする場合は、デプロイ時にインスタンス数や SKU などの構成値を指定できます。 Bastion のデプロイ後、SSH または RDP を使用し、仮想ネットワーク内の仮想マシン (VM) に Bastion 経由で VM のプライベート IP アドレスを使って接続できます。 VM に接続するときに、パブリック IP アドレス、クライアント ソフトウェア、エージェント、特殊な構成は必要ありません。

次の図は Bastion のアーキテクチャを示しています。

Azure Bastion アーキテクチャを示す図。

このチュートリアルでは、Standard SKU を使用して Bastion をデプロイします。 Standard SKU でサポートされるホスト スケーリング (インスタンス数) を調整します。 デプロイにより低い SKU を使用する場合、ホスト スケーリングを調整することはできません。 また、デプロイするリージョンに応じて、可用性ゾーンを選択することもできます。

デプロイの完了後は、プライベート IP アドレスを使用して VM にアクセスします。 VM のパブリック IP アドレスは、他の用途に必要でなければ削除してかまいません。

このチュートリアルでは、次の作業を行う方法について説明します。

  • 仮想ネットワークに Bastion をデプロイする。
  • 仮想マシンに接続する。
  • 仮想マシンからパブリック IP アドレスを削除する。

前提条件

このチュートリアルを完了するには、これらのリソースが必要です。

  • Azure サブスクリプション。 お持ちでない場合は、開始する前に無料アカウントを作成してください。

  • Bastion をデプロイする仮想ネットワーク

  • 仮想ネットワーク内の仮想マシン この VM は Bastion の構成には含まれず、bastion ホストになることもありません。 このチュートリアルの中で後から、Bastion 経由でこの VM に接続することになります。 VM がない場合は、「クイック スタート: Windows VM を作成する」または「クイック スタート: Linux VM を作成する」を使用して作成してください。

  • 必要な VM ロール:

    • 仮想マシンに対する閲覧者ロール
    • 仮想マシンのプライベート IP を持つネットワーク アダプター (NIC) に対する閲覧者ロール

  • 必要な受信ポート:

    • Windows VM の場合: RDP (3389)
    • Linux VM の場合: SSH (22)

Note

Azure プライベート DNS ゾーンでは、Azure Bastion の使用がサポートされています。 ただし、制限があります。 詳細については、Azure Bastion の FAQ に関する記事を参照してください。

サンプル値

この構成を作成する際は、次の例の値を使用できます。また、独自の値に置き換えることもできます。

基本的な仮想ネットワークと VM の値

名前
仮想マシン TestVM
リソース グループ TestRG1
リージョン 米国東部
Virtual Network VNet1
アドレス空間 10.1.0.0/16
サブネット FrontEnd: 10.1.0.0/24

Bastion の値

名前
名前 VNet1-bastion
+ サブネット名 AzureBastionSubnet
AzureBastionSubnet アドレス サブネット マスクが /26 以上の仮想ネットワーク アドレス空間内のサブネット。例: 10.1.1.0/26
可用性ゾーン 必要に応じて、ドロップダウン リストから値を選択してください。
レベル/SKU 標準
インスタンス数 (ホスト スケーリング) 3 以上
パブリック IP アドレス 新規作成
パブリック IP アドレス名 VNet1-ip
パブリック IP アドレスの SKU 標準
譲渡 Static

Bastion をデプロイする

このセクションは、ご利用の仮想ネットワークに Bastion をデプロイする際に役立ちます。 Bastion のデプロイ後は、仮想ネットワーク内の任意の VM に対し、そのプライベート IP アドレスを使用して安全に接続できます。

重要

時間単位の料金は、送信データの使用量に関係なく、Bastion がデプロイされた時点から発生します。 詳しくは、「価格」および「SKU」を参照してください。 チュートリアルまたはテストの一環で Bastion をデプロイする場合は、使用終了後に該当のリソースを削除することをお勧めします。

  1. Azure portal にサインインします。

  2. 仮想ネットワークに移動します。

  3. 仮想ネットワークのページの左側のペインで、[Bastion] を選択します。

  4. [Bastion] ペインで、[専用デプロイ オプション] を展開します。

  5. [手動で構成する] をクリックします。 このオプションを使用すると、仮想ネットワークに Bastion をデプロイするときに、特定の追加設定 (SKU など) を構成できます。

    Azure Bastion 専用のデプロイ オプションと、手動構成のボタンを示すスクリーンショット。

  6. [Bastion の作成] ペインで、bastion ホストの設定を構成します。 プロジェクトの詳細は、仮想ネットワークの値から設定されます。 [インスタンスの詳細] で、これらの値を構成します。

    • 名前: Bastion リソースに使用する名前。

    • リージョン: リソースが作成される Azure パブリック リージョンです。 仮想ネットワークが存在するリージョンを選びます。

    • 可用性ゾーン: 必要に応じて、ドロップダウンからゾーンを選択します。 特定のリージョンのみがサポートされています。 詳しくは、「可用性ゾーンの概要」に関する記事をご覧ください。

    • レベル: SKU。 このチュートリアルでは、[Standard] を選択します。 各 SKU で使用できる機能の詳細については、「SKU の構成設定」をご覧ください。

    • インスタンス数: Standard SKU で使用できるホスト スケーリングの設定。 スケール ユニット単位でホスト スケーリングを構成します。 スライダーを使用するか、数値を入力して、必要なインスタンス数を構成します。 詳細については、「インスタンスとホストのスケーリング」と「Azure Bastion の価格」を参照してください。

    Azure Bastion インスタンスの詳細のスクリーンショット。

  7. 仮想ネットワークの設定を構成します。 ドロップダウン リストから仮想ネットワークを選択します。 仮想ネットワークがドロップダウン リストにない場合は、前の手順で正しい [リージョン] 値を選択していることを確認してください。

  8. AzureBastionSubnet を構成するには、[サブネット構成の管理] を選択します。

    仮想ネットワークを構成するセクションのスクリーンショット。

  9. [サブネット] ペインで [+サブネット] を選択します。

  10. [サブネットの追加] ペインで、次の値を使用して AzureBastionSubnet サブネットを作成します。 他の値は既定値のままにします。

    • サブネットの名前は AzureBastionSubnet にしてください。
    • Standard SKU で使用できる機能に対応するには、サブネットが /26 以上 (/26/25/24 など) である必要があります。

    ペインの下部にある [保存] を選択して値を保存します。

  11. [サブネット] ペインの上部にある [Bastion の作成] を選択して、Bastion の構成ページに戻ります。

    Azure Bastion サブネットを一覧表示するウィンドウのスクリーンショット。

  12. [パブリック IP アドレス] セクションで、RDP または SSH でアクセスされる (ポート 443 経由) bastion ホスト リソースのパブリック IP アドレスを構成します。 パブリック IP アドレスは、作成している Bastion リソースと同じリージョン内にある必要があります。

    新しい IP アドレスを作成します。 既定の名前付け候補をそのまま使用できます。

  13. 設定の指定が完了したら、 [確認および作成] を選択します。 この手順では値を検証します。

  14. 値が検証に合格したら、Bastion をデプロイできます。 [作成] を選択します

    デプロイが進行中であることを示すメッセージが表示されます。 リソースが作成されると、このページに状態が表示されます。 Bastion リソースを作成してデプロイするには、約 10 分かかります。

VM への接続

次のいずれかの詳細記事を使って、VM に接続できます。 一部の種類の接続では、Bastion Standard SKU が必要です。

これらの基本的な接続手順を使用して、VM に接続することもできます。

  1. Azure portal で、接続先の仮想マシンに移動します。

  2. ペインの上部で、[接続]>[Bastion] を選び、[Bastion] ペインに移動します。 左側のメニューを使って、[Bastion] ペインに移動することもできます。

  3. [Bastion] ペインで使用できるオプションは、Bastion SKU によって異なります。 Basic SKU を使用している場合は、RDP とポート 3389 を使って Windows コンピューターに接続します。 また、Basic SKU の場合、SSH とポート 22 を使って Linux コンピューターに接続します。 ポート番号やプロトコルを変更するオプションはありません。 ただし、[接続設定] を展開することで、RDP のキーボード言語を変更できます。

    Azure Bastion 接続設定のスクリーンショット。

    Standard SKU を使っている場合は、さらに多くの接続プロトコルとポートのオプションを使用できます。 [接続設定] を展開すると、それらのオプションが表示されます。 通常、VM に対して異なる設定を構成しない限り、RDP とポート 3389 を使って Windows コンピューターに接続します。 SSH とポート 22 を使って、Linux コンピューターに接続します。

    展開された接続設定のスクリーンショット。

  4. [認証の種類] については、ドロップダウン リストから選びます。 プロトコルによって、利用できる認証の種類が決まります。 必要な認証の値を指定します。

    認証の種類のドロップダウン リスト ボックスを示すスクリーンショット。

  5. 新しいブラウザー タブで VM セッションを開くには、[新しいブラウザー タブで開く] を選択したままにします。

  6. [接続] を選択して VM に接続します。

  7. ポート 443 と Bastion サービスを使って、(HTML5 を介して) Azure portal で仮想マシンへの接続が直接開かれることを確認します。

    ポート 443 経由で開いている接続を持つコンピューター デスクトップのスクリーンショット。

    Note

    接続したときの VM のデスクトップの外観は、例のスクリーンショットとは異なるものになります。

VM に接続しているときにキーボード ショートカット キーを使うと、ローカル コンピューターのショートカット キーとは同じ動作にならないことがあります。 たとえば、Windows クライアントから Windows VM に接続している場合、Ctrl + Alt + End は、ローカル コンピューターの Ctrl + Alt + Delete のキーボード ショートカットになります。 Windows VM に接続しているときに Mac からこれを行うには、キーボード ショートカットは Fn + Ctrl + Alt + Backspace になります。

オーディオ出力を有効にする

VM のリモートオーディオ出力を有効にすることができます。 この設定が自動的に有効になる VM もありますが、オーディオ設定を手動で有効にすることが必要なものもあります。 設定は VM 自体で変更されます。 Bastion のデプロイでは、リモート オーディオ出力を有効にするための特別な構成設定は必要ありません。

Note

オーディオ出力には、インターネット接続の帯域幅が使用されます。

Windows VM でリモート オーディオ出力を有効にするには:

  1. VM に接続すると、ツール バーの右下隅に [オーディオ] ボタンが表示されます。 [オーディオ] ボタンを右クリックし、[サウンド] を選びます。
  2. Windows オーディオ サービスを有効にするかどうかを確認するポップアップ メッセージが表示されます。 [はい] を選択します。 [サウンド] 設定で、より多くのオーディオ オプションを構成できます。
  3. サウンド出力を確認するには、ツールバーの [オーディオ] ボタンの上にカーソルを合わせます。

VM のパブリック IP アドレスを削除する

Azure Bastion を使用して VM に接続するときは、VM のパブリック IP アドレスは必要ありません。 パブリック IP アドレスを他に使用していない場合は、次のように VM との関連付けを解除しても問題ありません。

  1. 仮想マシンに移動し、[ネットワーク] を選択します。 [NIC パブリック IP] をクリックします。

    仮想ネットワークの [ネットワーク] ウィンドウのスクリーンショット。

  2. [パブリック IP アドレス] ペインの [関連付け先] に VM ネットワーク インターフェイスが一覧表示されます。 ペインの上部にある [関連付け解除] を選択します。

    仮想マシンのパブリック IP アドレスの詳細のスクリーンショット。

  3. [はい] を選択して、VM ネットワーク インターフェイスから IP アドレスの関連付けを解除します。 ネットワーク インターフェイスからパブリック IP アドレスの関連付けを解除した後、それが [関連付け先] に一覧表示されなくなったことを確認します。

  4. IP アドレスの関連付けを解除した後、パブリック IP アドレス リソースを削除できます。 VM の [パブリック IP アドレス] ペインで [削除] を選択します。

    パブリック IP アドレス リソースを削除するボタンのスクリーンショット。

  5. [はい] を選択してパブリック IP アドレスを削除します。

リソースをクリーンアップする

このアプリケーションを使い終えたら、リソースを削除します。

  1. ポータルの上部にある検索ボックスにリソース グループの名前を入力します。 検索結果にリソース グループが表示されたら、それを選択します。
  2. [リソース グループの削除] を選択します。
  3. [リソース グループ名を入力してください] に自分のリソース グループの名前を入力し、[削除] を選択します。

次のステップ

このチュートリアルでは、仮想ネットワークに Bastion をデプロイして VM に接続しました。 その後、VM からパブリック IP アドレスを削除しました。 今度は、その他の Bastion 機能について学習し、その構成を行います。

Azure Bastion の構成設定

VM の接続と機能

仮想ネットワークの Azure DDos 保護を構成する