この記事は、プライベート専用のデプロイとして Bastion をデプロイする際に役立ちます。 プライベート専用の Bastion デプロイでは、プライベート IP アドレスのアクセスのみが許可される、インターネット ルーティングできない Bastion デプロイを作成することで、ワークロードをエンド ツー エンドでロックダウンします。 プライベート専用の Bastion デプロイでは、パブリック IP アドレスを介した bastion ホストへの接続は許可されません。 これに対し、通常の Azure Bastion デプロイでは、ユーザーはパブリック IP アドレスを使用して bastion ホストに接続できます。
次のダイアグラムは、プライベート専用の Azure Bastion 展開アーキテクチャを示しています。 Bastion ホストは仮想ネットワークに展開されています。 ExpressRoute プライベート ピアリング経由で Azure に接続されているユーザーは、bastion ホストのプライベート IP アドレスを使用して Bastion に安全に接続できます。 その後、Bastion は、要塞ホストと同じ仮想ネットワーク内またはピアリングされた仮想ネットワーク内にある仮想マシンへのプライベート IP アドレスを介して接続できます。 プライベート専用の Bastion デプロイでは、Bastion は仮想ネットワークの外部への送信アクセスを許可しません。
考慮すべき項目:
プライベート専用の Bastion はデプロイ時に構成され、Premium SKU レベルが必要です。
通常の Bastion デプロイからプライベート専用のデプロイに変更することはできません。
プライベート専用の Bastion を、既に Bastion のデプロイがある仮想ネットワークにデプロイするには、まず仮想ネットワークから Bastion を削除してから、プライベート専用として仮想ネットワークに Bastion をデプロイし直します。 AzureBastionSubnet を削除して再作成する必要はありません。
エンド ツー エンドのプライベート接続を作成する場合は、Azure portal 経由で接続するのではなく、ネイティブ クライアントを使用して接続します。
クライアント マシンがオンプレミスで Azure 以外の場合は、ExpressRoute または VPN をデプロイし、Bastion リソースで IP ベースの接続 を有効にする必要があります。
ネットワーク セキュリティ規則で、受信仮想ネットワーク トラフィックの AzureBastionSubnet へのポート 443 アクセスがブロックされていないことを確認します。
Prerequisites
この記事の手順では、次の条件を前提としています。
値の例
この構成を作成する際は、次の例の値を使用できます。また、独自の値に置き換えることもできます。
基本的な仮想ネットワークと仮想マシンの値
| Name | Value |
|---|---|
| リソース グループ | TestRG1 |
| Region | 米国東部 |
| Virtual Network | VNet1 |
| アドレス空間 | 10.1.0.0/16 |
| サブネット 1 名: FrontEnd | 10.1.0.0/24 |
| サブネット 2 の名前: AzureBastionSubnet | 10.1.1.0/26 |
Bastion の値
| Name | Value |
|---|---|
| Name | VNet1-bastion |
| Tier/SKU | Premium |
| インスタンス数 (ホスト スケーリング) | 2 以上 |
| Assignment | Static |
プライベート専用の Bastion をデプロイする
このセクションは、ご利用の仮想ネットワークに Bastion をプライベート専用としてデプロイする際に役立ちます。
Important
時間単位の料金は、送信データの使用量に関係なく、Bastion がデプロイされた時点から発生します。 詳細については、「 価格 と SKU」 を参照してください。 チュートリアルまたはテストの一環で Bastion をデプロイする場合は、使用終了後にこのリソースを削除することをお勧めします。
Azure portal にサインインし、仮想ネットワークに移動します。 まだお持ちでない場合は、仮想ネットワークを作成できます。 この演習用の仮想ネットワークを作成している場合は、仮想ネットワークの作成と同時に (次の手順から) AzureBastionSubnet を作成できます。
Bastion リソースのデプロイ先となるサブネットを作成します。 左側のウィンドウで、[サブネット] -> [+ サブネット] を選択して AzureBastionSubnet を追加します。
- Premium SKU レベルで使用できる機能に対応するには、サブネットが /26 以上 ( /26、 /25、 /24 など) である必要があります。
- サブネットには AzureBastionSubnet という名前を付ける必要があります。
ウィンドウの下部にある [保存] を選択して値を保存します。
次に、仮想ネットワーク ページで、左側のウィンドウから Bastion を選択します。
[ Bastion ] ページで、[ 専用展開オプション] を展開します (そのセクションが表示される場合)。 [ 手動で構成 ] ボタンを選択します。 このボタンを選択しないと、Bastion をプライベート専用として展開するために必要な設定が表示されません。
[Bastion の作成] ペインで、bastion ホストの設定を構成します。 Project の詳細の値は、仮想ネットワークの値から設定されます。
[ インスタンスの詳細] で、次の値を構成します。
名前: Bastion リソースに使用する名前。
リージョン: リソースが作成される Azure パブリック リージョン。 仮想ネットワークが存在するリージョンを選びます。
レベル: プライベートのみのデプロイには Premium を選択する必要があります。
インスタンス数: ホストスケーリングの設定。 スケール ユニット単位でホスト スケーリングを構成します。 スライダーを使用するか、数値を入力して、必要なインスタンス数を構成します。 詳細については、「インスタンスとホストのスケーリング」と「Azure Bastion の価格」を参照してください。
[仮想ネットワークの構成] 設定で、ドロップダウン リストから使用している仮想ネットワークを選択します。 仮想ネットワークがドロップダウン リストにない場合は、前の手順で正しい リージョン 値を選択していることを確認します。
前の手順で既に作成した場合、 AzureBastionSubnet は自動的に設定されます。
[Configure IP address]\(IP アドレスの構成\) セクションでは、これがプライベート専用のデプロイであることを指定します。 オプションから [プライベート IP アドレス] を選択する必要があります。
[プライベート IP アドレス] を選択すると、パブリック IP アドレスの設定が構成画面から自動的に削除されます。
プライベートのみの Bastion で ExpressRoute または VPN を使用する場合は、[ 詳細設定 ] タブに移動します。 IP ベースの接続を選択します。
設定の指定が完了したら、 [確認および作成] を選択します。 この手順では値を検証します。
値が検証に合格したら、Bastion をデプロイできます。 を選択してを作成します。
デプロイが進行中であることを示すメッセージが表示されます。 リソースが作成されると、このページに状態が表示されます。 Bastion リソースを作成してデプロイするには、約 10 分かかります。
次のステップ
構成設定の詳細については、「Azure Bastion の構成設定」と「Azure Bastion に関する FAQ」を参照してください。