Bastion の構成設定について
この記事のセクションでは、Azure Bastion のリソースと設定について説明します。
SKU
SKU はサービス レベルとも呼ばれます。 Azure Bastion では、複数の SKU レベルがサポートされています。 Bastion を構成するときに、SKU レベルを選択します。 使用する機能に基づいて SKU レベルを決定します。 次の表は、対応する SKU ごとに機能が使用可能かどうかを示しています。
機能 | Developer SKU | Basic SKU | Standard SKU | Premium SKU |
---|---|---|---|---|
同じ仮想ネットワーク内のターゲット VM に接続する | はい | イエス | イエス | はい |
ピアリングされた仮想ネットワーク内のターゲット VM に接続する | いいえ | はい | はい | はい |
コンカレント接続のサポート | いいえ | イエス | イエス | はい |
Azure Key Vault (AKV) で Linux VM のプライベート キーにアクセスする | いいえ | イエス | イエス | はい |
SSH を使用した Linux VM への接続 | はい | はい | はい | あり |
RDP を使用した Windows VM への接続 | はい | はい | はい | はい |
RDP を使用した Linux VM への接続 | いいえ | 番号 | イエス | はい |
SSH を使用した Windows VM への接続 | いいえ | 番号 | はい | はい |
カスタム受信ポートの指定 | いいえ | 番号 | はい | はい |
Azure CLI を使用して VM に接続する | いいえ | 番号 | はい | はい |
ホストのスケーリング | いいえ | 番号 | はい | はい |
ファイルのアップロードまたはダウンロード | いいえ | 番号 | はい | はい |
Kerberos 認証 | いいえ | はい | はい | はい |
共有可能リンク | いいえ | 番号 | はい | はい |
IP アドレスを使用して VM に接続する | いいえ | 番号 | はい | はい |
VM オーディオ出力 | はい | イエス | イエス | はい |
コピー/貼り付けを無効にする (Web ベースのクライアント) | いいえ | 番号 | イエス | はい |
セッションの記録 | いいえ | 番号 | 番号 | はい |
プライベート専用のデプロイ | いいえ | 番号 | 番号 | はい |
Developer SKU
Bastion Developer SKU は、無料の軽量 SKU です。 この SKU は、追加の Bastion 機能やホストのスケーリングが不要で、自分の VM に安全に接続したい Dev/Test ユーザーに最適です。 Developer SKU を使用すると、仮想マシンの接続ページから一度に 1 つの Azure VM に直接接続できます。
Developer SKU を使用して Bastion をデプロイする場合、デプロイ要件は他の SKU を使用してデプロイする場合とは異なります。 通常、bastion ホストを作成すると、仮想ネットワーク内の AzureBastionSubnet にホストがデプロイされます。 bastion ホストは自分専用です。 Developer SKU を使用する場合、bastion ホストは仮想ネットワークにデプロイされず、AzureBastionSubnet は必要ありません。 しかし、Developer SKU bastion ホストは専用リソースではありません。 代わりに、共有プールの一部です。
Developer SKU bastion リソースは専用ではないので、Developer SKU の機能は制限されています。 SKU 別の機能については、Bastion 構成設定の「SKU」セクションを参照してください。 より多くの機能のサポートが必要な場合は、いつでも Developer SKU を上位の SKU にアップグレードできます。 SKU のアップグレードに関するページを参照してください。
現在、Developer SKU は次のリージョンで使用できます。
- 米国中部 EUAP
- 米国東部 2 EUAP
- 米国中西部
- 米国中北部
- 米国西部
- 北ヨーロッパ
Note
現在、VNet ピアリングは、Developer SKU ではサポートされていません。
Premium SKU (プレビュー)
Premium SKU は、セッション記録やプライベート専用の Bastion などの Bastion 機能をサポートする新しい SKU です。 Bastion をデプロイするときは、サポートされている機能が必要な場合にのみ Premium SKU を選択することをお勧めします。
SKU の指定
Method | SKU 値 | リンク |
---|---|---|
Azure Portal | レベル - Developer | クイックスタート |
Azure Portal | レベル - Basic | クイックスタート |
Azure portal | レベル - Basic 以上 | チュートリアル |
Azure PowerShell | レベル - Basic 以上 | 使用方法 |
Azure CLI | レベル - Basic 以上 | 使用方法 |
SKU のアップグレード
より多くの機能を追加するために、いつでも SKU をアップグレードできます。 詳細については、SKU のアップグレードに関する記事を参照してください。
Note
SKU のダウングレードはサポートされていません。 ダウングレードするには、Azure Bastion を削除して再作成する必要があります。
Azure Bastion サブネット
重要
2021 年 11 月 2 日以降にデプロイされた Azure Bastion リソースについては、AzureBastionSubnet の最小サイズは /26 以上 (/25、/24 など) となります。 この日付より前にサイズ /27 のサブネットにデプロイされたすべての Azure Bastion リソースは、この変更の影響を受けず、現状どおり動作します。ただし、今後、ホスト スケーリングを利用する場合に備え、既存の AzureBastionSubnet のサイズを /26 にまで増やすことを強くお勧めします。
Developer SKU 以外の任意の SKU を使用して Azure Bastion をデプロイする場合、AzureBastionSubnet という名前の専用サブネットが Bastion に必要です。 このサブネットは、Azure Bastion をデプロイする同じ仮想ネットワークに作成する必要があります。 サブネットには次の構成が必要です。
- サブネットの名前は AzureBastionSubnet にしてください。
- サブネットのサイズは /26 以上 (/25、/24 など) にしてください。
- ホストのスケーリングの場合は、/26 以上のサブネットをお勧めします。 サブネット領域を小さくすると、スケール ユニットの数が制限されます。 詳細については、この記事のホストのスケーリングに関するセクションをご覧ください。
- このサブネットは、bastion ホストと同じ仮想ネットワークおよびリソース グループに存在する必要があります。
- サブネットに他のリソースを含めることはできません。
この設定を構成するには、次の方法を使用します。
Method | 値 | リンク |
---|---|---|
Azure portal | Subnet | クイックスタート チュートリアル |
Azure PowerShell | -subnetName | cmdlet |
Azure CLI | --subnet-name | command |
パブリック IP アドレス
Developer SKU とプライベート専用を除き、Azure Bastion のデプロイにはパブリック IP アドレスが必要です。 パブリック IP には次の構成が必要です。
- パブリック IP アドレスの SKU は、Standard にしてください。
- パブリック IP アドレスの割り当て方法は、静的にしてください。
- パブリック IP アドレスの名前は、このパブリック IP アドレスを参照するためのリソース名です。
- 作成済みのパブリック IP アドレスは、そのアドレスが Azure Bastion で求められる条件を満たし、まだ使用されていないものであれば、使用することができます。
この設定を構成するには、次の方法を使用します。
Method | 値 | リンク |
---|---|---|
Azure Portal | パブリック IP アドレス | Azure Portal |
Azure PowerShell | -PublicIpAddress | cmdlet |
Azure CLI | --public-ip create | コマンド |
インスタンスとホストのスケーリング
インスタンスとは、Azure Bastion を構成するときに作成される、最適化された Azure VM のことです。 これは Azure によって完全に管理され、Azure Bastion に必要なすべてのプロセスを実行します。 インスタンスは、スケール ユニットとも呼ばれます。 クライアント VM には、Azure Bastion インスタンス経由で接続します。 Basic SKU を使用して Azure Bastion を構成すると、2 つのインスタンスが作成されます。 Standard SKU 以上をお使いの場合は、インスタンスの数 (少なくとも 2 つのインスタンス) を指定できます。 これはホストのスケーリングと呼ばれます。
各インスタンスは、中程度のワークロードで、20 の同時 RDP 接続と 40 の同時 SSH 接続をサポートできます (詳細については、Azure サブスクリプションの制限とクォータに関する記事を参照してください)。 インスタンスあたりの接続数は、クライアント VM に接続するときに実行するアクションによって異なります。 たとえば、データ処理の多い作業を行っている場合は、インスタンスの処理の負荷が大きくなります。 同時接続セッション数を超えると、他のスケール ユニット (インスタンス) が必要になります。
インスタンスは AzureBastionSubnet 内に作成されます。 ホストのスケーリングを可能にするには、AzureBastionSubnet が /26 以上である必要があります。 サブネットを小さくすると、作成できるインスタンスの数が制限されます。 AzureBastionSubnet の詳細については、この記事のサブネットに関するセクションをご覧ください。
この設定を構成するには、次の方法を使用します。
Method | 値 | リンク | Standard SKU 以上が必要かどうか |
---|---|---|---|
Azure portal | インスタンス数 | 使用方法 | はい |
Azure PowerShell | ScaleUnit | 使用方法 | はい |
カスタム ポート
VM への接続に使用するポートを指定できます。 既定で、接続に使用される受信ポートは、RDP の場合 3389、SSH の場合 22 です。 カスタム ポート値を構成する場合は、VM に接続するときにその値を指定します。
カスタムのポート値は、Standard SKU 以上でのみサポートされています。
共有可能リンク
Bastion の共有可能リンク機能を使用すると、ユーザーは Azure portal にアクセスせずに Azure Bastion を使用してターゲット リソースに接続できます。
Azure 資格情報がないユーザーが共有可能リンクをクリックすると、RDP または SSH を使用してターゲット リソースにサインインするようにユーザーに求める Web ページが開きます。 ユーザーは、そのターゲット リソースに対して Azure portal で構成された内容に基づき、ユーザー名とパスワードまたは秘密キーを使用して認証します。 ユーザーは、Azure Bastion で現在接続できる同じリソース (VM または仮想マシン スケール セット) に接続できます。
方法 | 値 | リンク | Standard SKU 以上が必要かどうか |
---|---|---|---|
Azure portal | 共有可能リンク | 構成 | はい |
プライベート専用のデプロイ
プライベート専用の Bastion デプロイでは、プライベート IP アドレスのアクセスのみが許可される、インターネット ルーティングできない Bastion デプロイを作成することで、ワークロードをエンド ツー エンドでロックダウンします。 プライベート専用の Bastion デプロイでは、パブリック IP アドレスを介した bastion ホストへの接続は許可されません。 これに対し、通常の Azure Bastion デプロイでは、ユーザーはパブリック IP アドレスを使用して bastion ホストに接続できます。 詳細については、「プライベート専用として Bastion をデプロイする」を参照してください。
セッションの記録
Azure Bastion のセッション記録機能が有効になっている場合は、bastion ホスト経由で仮想マシンに対して行われた接続 (RDP と SSH) のグラフィカル セッションを記録できます。 セッションが閉じられたり切断されたりすると、記録されたセッションはストレージ アカウント内の BLOB コンテナーに (SAS URL 経由で) 格納されます。 セッションが切断されると、Azure portal の [セッション記録] ページで、記録されたセッションにアクセスして表示できます。 セッションの記録には Bastion Premium SKU が必要です。 詳細については、Bastion セッションの記録に関する説明を参照してください。
可用性ゾーン
一部のリージョンでは、可用性ゾーン (またはゾーンの冗長化のために複数) に Azure Bastion をデプロイする機能をサポートしています。 ゾーンをデプロイするには、手動で指定した設定を使用して Bastion をデプロイします (既定の自動設定を使用してデプロイしないでください)。 デプロイ時に目的の可用性ゾーンを指定します。 Bastion のデプロイ後にゾーンの可用性を変更することはできません。
Availability Zones のサポートは現在プレビュー段階です。 プレビュー期間中は、次のリージョンで利用できます。
- 米国東部
- オーストラリア東部
- 米国東部 2
- 米国中部
- カタール中部
- 南アフリカ北部
- 西ヨーロッパ
- 米国西部 2
- 北ヨーロッパ
- スウェーデン中部
- 英国南部
- カナダ中部
次のステップ
よくあるご質問については、「Azure Bastion に関する FAQ」を参照してください。