現在パブリックプレビューとして公開されている、 「Azure Bastion」 を触ってみた。 「Azure Bastion」 はブラウザ上のAzure Portalから、仮想ネットワーク内の仮想マシンにプライベートIPだけで、リモートデスクトップやSSHでアクセスができる。 つまり、仮想マシンにパブリックIPを設定する必要はない。 Bastionという単語は要塞という意味があり、IT業界的には「Bastion Server(踏み台サーバ)」と略されることがある。 読み方は「バッション」
使用した際のイメージ図は次のようになる。
必要なもの
- Virtual Machine
- 「Azure Bastion」 が利用できるリージョンとVirtual Machineも同じ場所に配置するのが望ましい。
- West US
- East US
- South Central US
- West Europe
- West Europe
- Australia East
- Japan East
- 「Azure Bastion」 が利用できるリージョンとVirtual Machineも同じ場所に配置するのが望ましい。
- Virtual Network
- Bastion
「Azure Bastion」 は現在パブリックプレビューなので、通常のAzure Portalからでは利用ができない。 次のURLからアクセスする必要がある。アクセスをするとヘッダーがオレンジ色の画面に遷移する。
Azure portal - Bastion Preview
仮想ネットワークの作成
仮想ネットワーク上にBastionをデプロイするためのサブネットを作成する。作成する際の注意は、サブネットの名前を 「AzureBastionSubnet」、アドレス範囲(CIDRブロック)を 「/27」 より大きいものにしなければならない。この2つを指定された値以外にすると「Azure Bastion」 を使うことができない。画像はサブネットを作成したあとのものである。Virtual Machineは 10.0.0.0/24にデプロイしてある。
Bastionの作成
Bastionを作成するが特に難しいことはなく、「サブスクリプション」「リソースグループ」「インスタンス」「仮想ネットワーク」を指定する。 「仮想ネットワーク」は先程の「AzureBastionSubnet」を指定する。
Bastionの作成時のエラー
仮想ネットワークの作成で次のようにと書いた。
作成する際の注意は、サブネットの名前を 「AzureBastionSubnet」、アドレス範囲(CIDRブロック)を 「/27」 より大きいものにしなければならない。
実際に指定の値以外でサブネットを作成したときのエラーメッセージを確認しておく。
To associate a virtual network with a Bastion, it must contain a subnet with name AzureBastionSubnet with prefix of at least /27
仮想ネットワークをBastionに関連付けるには、AzureBastionSubnetという名前のサブネットと少なくとも/ 27のプレフィックスを持つサブネットを含める必要があります。
「Azure Bastion」 からログイン
Connectをクリックすると、右側からパネルが出現する。 通常のAzure PortalでConnectをクリックしても出てこない「BASTION」が存在するので、Virtual Machineのユーザ名とパスワードを入力しログインする。 別のタブが開くので、ポップアップブロックに引っかかる可能性がある。動いていないときはポップアップブロックを確認すること。
