Azure Bastionをさわってみた

現在パブリックプレビューとして公開されている、 「Azure Bastion」 を触ってみた。 「Azure Bastion」 はブラウザ上のAzure Portalから、仮想ネットワーク内の仮想マシンにプライベートIPだけで、リモートデスクトップSSHでアクセスができる。 つまり、仮想マシンにパブリックIPを設定する必要はない。 Bastionという単語は要塞という意味があり、IT業界的には「Bastion Server(踏み台サーバ)」と略されることがある。 読み方は「バッション」

azure.microsoft.com

使用した際のイメージ図は次のようになる。

f:id:yoshitaku_jp:20190712143331p:plain
https://docs.microsoft.com/en-us/azure/bastion/bastion-nsg

必要なもの

  • Virtual Machine
    • 「Azure Bastion」 が利用できるリージョンとVirtual Machineも同じ場所に配置するのが望ましい。
      • West US
      • East US
      • South Central US
      • West Europe
      • West Europe
      • Australia East
      • Japan East
  • Virtual Network
  • Bastion

「Azure Bastion」 は現在パブリックプレビューなので、通常のAzure Portalからでは利用ができない。 次のURLからアクセスする必要がある。アクセスをするとヘッダーがオレンジ色の画面に遷移する。

Azure portal - Bastion Preview

仮想ネットワークの作成

仮想ネットワーク上にBastionをデプロイするためのサブネットを作成する。作成する際の注意は、サブネットの名前を 「AzureBastionSubnet」、アドレス範囲(CIDRブロック)を 「/27」 より大きいものにしなければならない。この2つを指定された値以外にすると「Azure Bastion」 を使うことができない。画像はサブネットを作成したあとのものである。Virtual Machineは 10.0.0.0/24にデプロイしてある。

f:id:yoshitaku_jp:20190712143226p:plain

Bastionの作成

Bastionを作成するが特に難しいことはなく、「サブスクリプション」「リソースグループ」「インスタンス」「仮想ネットワーク」を指定する。 「仮想ネットワーク」は先程の「AzureBastionSubnet」を指定する。

f:id:yoshitaku_jp:20190712144605p:plain

Bastionの作成時のエラー

仮想ネットワークの作成で次のようにと書いた。

作成する際の注意は、サブネットの名前を 「AzureBastionSubnet」、アドレス範囲(CIDRブロック)を 「/27」 より大きいものにしなければならない。

実際に指定の値以外でサブネットを作成したときのエラーメッセージを確認しておく。

To associate a virtual network with a Bastion, 
it must contain a subnet with name AzureBastionSubnet with prefix of at least /27
仮想ネットワークをBastionに関連付けるには、AzureBastionSubnetという名前のサブネットと少なくとも/ 27のプレフィックスを持つサブネットを含める必要があります。

f:id:yoshitaku_jp:20190712150102p:plain

「Azure Bastion」 からログイン

Connectをクリックすると、右側からパネルが出現する。 通常のAzure PortalでConnectをクリックしても出てこない「BASTION」が存在するので、Virtual Machineのユーザ名とパスワードを入力しログインする。 別のタブが開くので、ポップアップブロックに引っかかる可能性がある。動いていないときはポップアップブロックを確認すること。

f:id:yoshitaku_jp:20190712151743p:plain