Bastion の構成設定について
この記事のセクションでは、Azure Bastion のリソースと設定について説明します。
SKU
SKU はサービス レベルとも呼ばれます。 Azure Bastion では、複数の SKU レベルがサポートされています。 Bastion を構成するときに、SKU レベルを選択します。 使用する機能に基づいて SKU レベルを決定します。 次の表は、対応する SKU ごとに機能が使用可能かどうかを示しています。
| 機能 | Developer SKU | Basic SKU | Standard SKU |
|---|---|---|---|
| 同じ仮想ネットワーク内のターゲット VM に接続する | はい | イエス | はい |
| ピアリングされた仮想ネットワーク内のターゲット VM に接続する | いいえ | はい | はい |
| コンカレント接続のサポート | いいえ | イエス | はい |
| Azure Key Vault (AKV) で Linux VM のプライベート キーにアクセスする | いいえ | イエス | はい |
| SSH を使用した Linux VM への接続 | はい | はい | あり |
| RDP を使用した Windows VM への接続 | はい | はい | はい |
| RDP を使用した Linux VM への接続 | いいえ | 番号 | はい |
| SSH を使用した Windows VM への接続 | いいえ | 番号 | はい |
| カスタム受信ポートの指定 | いいえ | 番号 | はい |
| Azure CLI を使用して VM に接続する | いいえ | 番号 | はい |
| ホストのスケーリング | いいえ | 番号 | はい |
| ファイルのアップロードまたはダウンロード | いいえ | 番号 | はい |
| Kerberos 認証 | いいえ | はい | はい |
| 共有可能リンク | いいえ | 番号 | はい |
| IP アドレスを使用して VM に接続する | いいえ | 番号 | はい |
| VM オーディオ出力 | はい | イエス | はい |
| コピー/貼り付けを無効にする (Web ベースのクライアント) | いいえ | 番号 | はい |
Developer SKU (プレビュー)
Bastion Developer SKU は、低コストの新しい軽量 SKU です。 この SKU は、追加の機能やスケーリングが不要で、自分の VM に安全に接続したい Dev/Test ユーザーに最適です。 仮想マシンの接続ページから一度に 1 つの Azure VM に直接接続できます。
Developer SKU には、他の SKU レベルとは異なる要件と制限事項があります。 詳細とデプロイ手順については、「Bastion を自動でデプロイする - Developer SKU」を参照してください。
現在、Developer SKU (プレビュー) は次のリージョンで使用できます。
- 米国中部 EUAP
- 米国東部 2 EUAP
- 米国中西部
- 米国中北部
- 米国西部
- 北ヨーロッパ
Note
現在、VNet ピアリングは、Developer SKU ではサポートされていません。
SKU の指定
| Method | SKU 値 | リンク |
|---|---|---|
| Azure Portal | レベル - Developer | クイックスタート |
| Azure Portal | レベル - Basic | クイックスタート |
| Azure Portal | レベル - Basic または Standard | チュートリアル |
| Azure PowerShell | レベル - Basic または Standard | 使用方法 |
| Azure CLI | レベル - Basic または Standard | 使用方法 |
SKU のアップグレード
より多くの機能を追加するために、いつでも SKU をアップグレードできます。
Note
SKU のダウングレードはサポートされていません。 ダウングレードするには、Azure Bastion を削除して再作成する必要があります。
この設定を構成するには、次の方法を使用します。
| Method | 値 | リンク |
|---|---|---|
| Azure portal | レベル | 使用方法 |
Azure Bastion サブネット
重要
2021 年 11 月 2 日以降にデプロイされた Azure Bastion リソースについては、AzureBastionSubnet の最小サイズは /26 以上 (/25、/24 など) となります。 この日付より前にサイズ /27 のサブネットにデプロイされたすべての Azure Bastion リソースは、この変更の影響を受けず、現状どおり動作します。ただし、今後、ホスト スケーリングを利用する場合に備え、既存の AzureBastionSubnet のサイズを /26 にまで増やすことを強くお勧めします。
Developer SKU 以外の任意の SKU を使用して Azure Bastion をデプロイする場合、AzureBastionSubnet という名前の専用サブネットが Bastion に必要です。 このサブネットは、Azure Bastion をデプロイする同じ仮想ネットワークに作成する必要があります。 サブネットには次の構成が必要です。
- サブネットの名前は AzureBastionSubnet にしてください。
- サブネットのサイズは /26 以上 (/25、/24 など) にしてください。
- ホストのスケーリングの場合は、/26 以上のサブネットをお勧めします。 サブネット領域を小さくすると、スケール ユニットの数が制限されます。 詳細については、この記事のホストのスケーリングに関するセクションをご覧ください。
- このサブネットは、bastion ホストと同じ仮想ネットワークおよびリソース グループに存在する必要があります。
- サブネットに他のリソースを含めることはできません。
この設定を構成するには、次の方法を使用します。
| Method | 値 | リンク |
|---|---|---|
| Azure portal | Subnet | クイックスタート チュートリアル |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | command |
パブリック IP アドレス
Developer SKU のデプロイを除き、Azure Bastion のデプロイにはパブリック IP アドレスが必要です。 パブリック IP には次の構成が必要です。
- パブリック IP アドレスの SKU は、Standard にしてください。
- パブリック IP アドレスの割り当て方法は、静的にしてください。
- パブリック IP アドレスの名前は、このパブリック IP アドレスを参照するためのリソース名です。
- 作成済みのパブリック IP アドレスは、そのアドレスが Azure Bastion で求められる条件を満たし、まだ使用されていないものであれば、使用することができます。
この設定を構成するには、次の方法を使用します。
| Method | 値 | リンク |
|---|---|---|
| Azure Portal | パブリック IP アドレス | Azure Portal |
| Azure PowerShell | -PublicIpAddress | cmdlet |
| Azure CLI | --public-ip create | コマンド |
インスタンスとホストのスケーリング
インスタンスとは、Azure Bastion を構成するときに作成される、最適化された Azure VM のことです。 これは Azure によって完全に管理され、Azure Bastion に必要なすべてのプロセスを実行します。 インスタンスは、スケール ユニットとも呼ばれます。 クライアント VM には、Azure Bastion インスタンス経由で接続します。 Basic SKU を使用して Azure Bastion を構成すると、2 つのインスタンスが作成されます。 Standard SKU をお使いの場合は、インスタンスの数 (少なくとも 2 つのインスタンス) を指定できます。 これはホストのスケーリングと呼ばれます。
各インスタンスは、中程度のワークロードで、20 の同時 RDP 接続と 40 の同時 SSH 接続をサポートできます (詳細については、Azure サブスクリプションの制限とクォータに関する記事を参照してください)。 インスタンスあたりの接続数は、クライアント VM に接続するときに実行するアクションによって異なります。 たとえば、データ処理の多い作業を行っている場合は、インスタンスの処理の負荷が大きくなります。 同時接続セッション数を超えると、他のスケール ユニット (インスタンス) が必要になります。
インスタンスは AzureBastionSubnet 内に作成されます。 ホストのスケーリングを可能にするには、AzureBastionSubnet が /26 以上である必要があります。 サブネットを小さくすると、作成できるインスタンスの数が制限されます。 AzureBastionSubnet の詳細については、この記事のサブネットに関するセクションをご覧ください。
この設定を構成するには、次の方法を使用します。
| Method | 値 | リンク | Standard SKU が必要 |
|---|---|---|---|
| Azure portal | インスタンス数 | 使用方法 | はい |
| Azure PowerShell | ScaleUnit | 使用方法 | はい |
カスタム ポート
VM への接続に使用するポートを指定できます。 既定で、接続に使用される受信ポートは、RDP の場合 3389、SSH の場合 22 です。 カスタム ポート値を構成する場合は、VM に接続するときにその値を指定します。
カスタムポート値は、Standard SKU でのみサポートされています。
共有可能リンク
Bastion の共有可能リンク機能を使用すると、ユーザーは Azure portal にアクセスせずに Azure Bastion を使用してターゲット リソースに接続できます。
Azure 資格情報がないユーザーが共有可能リンクをクリックすると、RDP または SSH を使用してターゲット リソースにサインインするようにユーザーに求める Web ページが開きます。 ユーザーは、そのターゲット リソースに対して Azure portal で構成された内容に基づき、ユーザー名とパスワードまたは秘密キーを使用して認証します。 ユーザーは、Azure Bastion で現在接続できる同じリソース (VM または仮想マシン スケール セット) に接続できます。
| 方法 | 値 | リンク | Standard SKU が必要 |
|---|---|---|---|
| Azure portal | 共有可能リンク | 構成 | はい |
次のステップ
よくあるご質問については、「Azure Bastion に関する FAQ」を参照してください。