この記事のセクションでは、Azure Bastion のリソースと設定について説明します。
Azure Bastion サブネット
重要
2021 年 11 月 2 日以降にデプロイされた Azure Bastion リソースについては、AzureBastionSubnet の最小サイズは /26 以上 (/25、/24 など) となります。 この日付より前にサイズ /27 のサブネットにデプロイされたすべての Azure Bastion リソースは、この変更の影響を受けず、現状どおり動作します。ただし、今後、ホスト スケーリングを利用する場合に備え、既存の AzureBastionSubnet のサイズを /26 にまで増やすことを強くお勧めします。
Bastion Developer オファリング以外の SKU を使用して Azure Bastion をデプロイする場合、Bastion には AzureBastionSubnet という名前の専用サブネットが必要です。 このサブネットは、Azure Bastion をデプロイする同じ仮想ネットワークに作成する必要があります。 サブネットには次の構成が必要です。
- サブネットの名前は AzureBastionSubnet にしてください。
- サブネットのサイズは /26 以上 (/25、/24 など) にしてください。
- ホストのスケーリングの場合は、/26 以上のサブネットをお勧めします。 サブネット領域を小さくすると、スケール ユニットの数が制限されます。 詳細については、この記事のホストのスケーリングに関するセクションをご覧ください。
- このサブネットは、bastion ホストと同じ仮想ネットワークおよびリソース グループに存在する必要があります。
- サブネットに他のリソースを含めることはできません。
この設定を構成するには、次の方法を使用します。
| メソッド | 価値 | リンク |
|---|---|---|
| Azure portal | サブネット |
クイックスタート チュートリアル |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | コマンド |
パブリック IP アドレス
Bastion Developer と Private-only を除く Azure Bastion デプロイには、パブリック IP アドレスが必要です。 パブリック IP には次の構成が必要です。
- パブリック IP アドレスの SKU は、Standard にしてください。
- パブリック IP アドレスの割り当て方法は、静的にしてください。
- パブリック IP アドレスの名前は、このパブリック IP アドレスを参照するためのリソース名です。
- 作成済みのパブリック IP アドレスは、そのアドレスが Azure Bastion で求められる条件を満たし、まだ使用されていないものであれば、使用することができます。
この設定を構成するには、次の方法を使用します。
| メソッド | 価値 | リンク |
|---|---|---|
| Azure portal | パブリック IP アドレス | Azure Portal |
| Azure PowerShell | パブリックIPアドレス | cmdlet |
| Azure CLI | --public-ip create | コマンド |
可用性ゾーンを構成してパブリック IP アドレスを構成する
ゾーン Bastion デプロイ用のパブリック IP アドレスの作成と使用については、次の表を参照してください。
| Scenario | Bastion の可用性ゾーン | パブリック IP の可用性ゾーン |
|---|---|---|
| 新しいパブリック IP の作成 | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| 既存のパブリック IP の使用 | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| 0 | すべてのパブリック IP (ゾーンまたはゾーン以外) |
インスタンスとホストのスケーリング
インスタンスとは、Azure Bastion を構成するときに作成される、最適化された Azure VM のことです。 これは Azure によって完全に管理され、Azure Bastion に必要なすべてのプロセスを実行します。 インスタンスは、スケール ユニットとも呼ばれます。 クライアント VM には、Azure Bastion インスタンス経由で接続します。 Basic SKU を使用して Azure Bastion を構成すると、2 つのインスタンスが作成されます。 Standard SKU 以上をお使いの場合は、インスタンスの数 (少なくとも 2 つのインスタンス) を指定できます。 これはホストのスケーリングと呼ばれます。
各インスタンスは、中程度のワークロードで、20 の同時 RDP 接続と 40 の同時 SSH 接続をサポートできます (詳細については、Azure サブスクリプションの制限とクォータに関する記事を参照してください)。 インスタンスあたりの接続数は、クライアント VM に接続するときに実行するアクションによって異なります。 たとえば、データ処理の多い作業を行っている場合は、インスタンスの処理の負荷が大きくなります。 同時接続セッション数を超えると、他のスケール ユニット (インスタンス) が必要になります。
インスタンスは AzureBastionSubnet 内に作成されます。 ホストのスケーリングを可能にするには、AzureBastionSubnet が /26 以上である必要があります。 サブネットを小さくすると、作成できるインスタンスの数が制限されます。 AzureBastionSubnet の詳細については、この記事のサブネットに関するセクションをご覧ください。
この設定を構成するには、次の方法を使用します。
| メソッド | 価値 | リンク | Standard SKU 以上が必要です |
|---|---|---|---|
| Azure portal | インスタンス数 | 使用方法 | はい |
| Azure PowerShell | ScaleUnit | 使用方法 | はい |
カスタム ポート
VM への接続に使用するポートを指定できます。 既定で、接続に使用される受信ポートは、RDP の場合 3389、SSH の場合 22 です。 カスタム ポート値を構成する場合は、VM に接続するときにその値を指定します。
カスタムのポート値は、Standard SKU 以上でのみサポートされています。
共有可能リンク
Bastion の共有可能リンク機能を使用すると、ユーザーは Azure portal にアクセスせずに Azure Bastion を使用してターゲット リソースに接続できます。
Azure 資格情報がないユーザーが共有可能リンクをクリックすると、RDP または SSH を使用してターゲット リソースにサインインするようにユーザーに求める Web ページが開きます。 ユーザーは、そのターゲット リソースに対して Azure portal で構成された内容に基づき、ユーザー名とパスワードまたは秘密キーを使用して認証します。 ユーザーは、Azure Bastion で現在接続できる同じリソース (VM または仮想マシン スケール セット) に接続できます。
| メソッド | 価値 | リンク | Standard SKU 以上が必要です |
|---|---|---|---|
| Azure portal | 共有可能リンク | 設定する | はい |
プライベート専用のデプロイ
プライベート専用の Bastion デプロイでは、プライベート IP アドレスのアクセスのみが許可される、インターネット ルーティングできない Bastion デプロイを作成することで、ワークロードをエンド ツー エンドでロックダウンします。 プライベート専用の Bastion デプロイでは、パブリック IP アドレスを介した bastion ホストへの接続は許可されません。 これに対し、通常の Azure Bastion デプロイでは、ユーザーはパブリック IP アドレスを使用して bastion ホストに接続できます。 詳細については、「プライベート専用として Bastion をデプロイする」を参照してください。
セッションの記録
Azure Bastion のセッション記録機能が有効になっている場合は、bastion ホスト経由で仮想マシンに対して行われた接続 (RDP と SSH) のグラフィカル セッションを記録できます。 セッションが閉じられたり切断されたりすると、記録されたセッションはストレージ アカウント内の BLOB コンテナーに (SAS URL 経由で) 格納されます。 セッションが切断されると、Azure portal の [セッション記録] ページで、記録されたセッションにアクセスして表示できます。 セッションの記録には Bastion Premium SKU が必要です。 詳細については、Bastion セッションの記録に関する説明を参照してください。
可用性ゾーン
一部のリージョンでは、可用性ゾーン (またはゾーンの冗長化のために複数) に Azure Bastion をデプロイする機能をサポートしています。 ゾーンをデプロイするには、手動で指定した設定を使用して Bastion をデプロイします (既定の自動設定を使用してデプロイしないでください)。 デプロイ時に目的の可用性ゾーンを指定します。 Bastion のデプロイ後にゾーンの可用性を変更することはできません。
Availability Zones のサポートは現在プレビュー段階です。 プレビュー期間中は、次のリージョンで利用できます。
- 米国東部
- オーストラリア東部
- 米国東部 2
- 米国中部
- カタール中部
- 南アフリカ北部
- 西ヨーロッパ
- 米国西部 2
- 北ヨーロッパ
- スウェーデン中部
- 英国南部
- カナダ中部
次のステップ
よくあるご質問については、「Azure Bastion に関する FAQ」を参照してください。 ニーズに適した Azure Bastion SKU を選択するには、「ニーズを 満たす適切な Azure Bastion SKU を選択する」を参照してください。 Azure Bastion のコストの最適化に関するページで 、Azure Bastion のコスト最適化に関する推奨事項を確認します。