Bastion の構成設定について
この記事のセクションでは、Azure Bastion のリソースと設定について説明します。
SKU
SKU はサービス レベルとも呼ばれます。 Azure Bastion では、Basic と Standard の 2 種類の SKU がサポートされています。 SKU は、Bastion を構成するときのワークフロー中に Azure portal 内で構成されます。 Basic SKU は Standard SKU にアップグレードできます。
- Basic SKU は基本機能を備えています。この機能により、Azure Bastion では、ターゲット アプリケーションの VM 上でパブリック IP アドレスを公開することなく、Virtual Machines (VM) への RDP/SSH 接続を管理できます。
- Standard SKU では、Premium 機能が有効になります。
次の表は、対応する SKU ごとに機能が使用可能かどうかを示しています。
| 特徴量 | Basic SKU | Standard SKU |
|---|---|---|
| ピアリングされた仮想ネットワーク内のターゲット VM に接続する | あり | あり |
| Azure Key Vault (AKV) で Linux VM のプライベート キーにアクセスする | はい | はい |
| SSH を使用した Linux VM への接続 | あり | あり |
| RDP を使用した Windows VM への接続 | あり | はい |
| Kerberos 認証 | はい | あり |
| VM オーディオ出力 | はい | はい |
| 共有可能リンク | いいえ | あり |
| ネイティブ クライアントを使用して仮想マシンに接続する | いいえ | はい |
| IP アドレスを使用して VM に接続する | いいえ | はい |
| ホストのスケーリング | いいえ | あり |
| カスタム受信ポートの指定 | いいえ | あり |
| RDP を使用した Linux VM への接続 | いいえ | あり |
| SSH を使用した Windows VM への接続 | いいえ | あり |
| ファイルのアップロードまたはダウンロード | いいえ | あり |
| コピー/貼り付けを無効にする (Web ベースのクライアント) | いいえ | はい |
SKU の指定
現時点では、Standard SKU を指定する場合は Azure portal を使用する必要があります。 Azure CLI または Azure PowerShell を使用して Bastion を構成する場合、SKU を指定することはできません。既定値は Basic SKU です。
| Method | SKU 値 | リンク |
|---|---|---|
| Azure portal | レベル - Basic または Standard | チュートリアル |
| Azure portal | レベル - Basic | クイック スタート |
| Azure PowerShell | Basic | 使用方法 |
| Azure CLI | Basic | 使用方法 |
SKU のアップグレード
Azure Bastion では、Basic SKU から Standard SKU へのアップグレードがサポートされています。
Note
Standard SKU から Basic SKU へのダウングレードはサポートされていません。 ダウングレードするには、Azure Bastion を削除して再作成する必要があります。
この設定を構成するには、次の方法を使用します。
| Method | 値 | リンク |
|---|---|---|
| Azure portal | レベル | 使用方法 |
Azure Bastion サブネット
重要
2021 年 11 月 2 日以降にデプロイされた Azure Bastion リソースについては、AzureBastionSubnet の最小サイズは /26 以上 (/25、/24 など) となります。 この日付より前にサイズ /27 のサブネットにデプロイされたすべての Azure Bastion リソースは、この変更の影響を受けず、現状どおり動作します。ただし、今後、ホスト スケーリングを利用する場合に備え、既存の AzureBastionSubnet のサイズを /26 にまで増やすことを強くお勧めします。
Azure Bastion では、専用サブネット AzureBastionSubnet が必要です。 このサブネットは、Azure Bastion をデプロイする同じ仮想ネットワークに作成する必要があります。 サブネットには次の構成が必要です。
- サブネットの名前は AzureBastionSubnet にしてください。
- サブネットのサイズは /26 以上 (/25、/24 など) にしてください。
- ホストのスケーリングの場合は、/26 以上のサブネットをお勧めします。 サブネット領域を小さくすると、スケール ユニットの数が制限されます。 詳細については、この記事のホストのスケーリングに関するセクションをご覧ください。
- サブネットは、bastion ホストと同じ VNet およびリソース グループに存在する必要があります。
- サブネットに追加のリソースを含めることはできません。
この設定を構成するには、次の方法を使用します。
| Method | 値 | リンク |
|---|---|---|
| Azure portal | Subnet | クイックスタート チュートリアル |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | command |
パブリック IP アドレス
Azure Bastion にはパブリック IP アドレスが必要です。 パブリック IP には次の構成が必要です。
- パブリック IP アドレスの SKU は、Standard にしてください。
- パブリック IP アドレスの割り当て方法は、静的にしてください。
- パブリック IP アドレスの名前は、このパブリック IP アドレスを参照するためのリソース名です。
- 作成済みのパブリック IP アドレスは、そのアドレスが Azure Bastion で求められる条件を満たし、まだ使用されていないものであれば、使用することができます。
この設定を構成するには、次の方法を使用します。
| Method | 値 | リンク | Standard SKU が必要 |
|---|---|---|---|
| Azure portal | パブリック IP アドレス | Azure Portal | はい |
| Azure PowerShell | -PublicIpAddress | cmdlet | はい |
| Azure CLI | --public-ip create | command | はい |
インスタンスとホストのスケーリング
インスタンスとは、Azure Bastion を構成するときに作成される、最適化された Azure VM のことです。 これは Azure によって完全に管理され、Azure Bastion に必要なすべてのプロセスを実行します。 インスタンスは、スケール ユニットとも呼ばれます。 クライアント VM には、Azure Bastion インスタンス経由で接続します。 Basic SKU を使用して Azure Bastion を構成すると、2 つのインスタンスが作成されます。 Standard SKU を使用する場合は、インスタンスの数を指定できます。 これはホストのスケーリングと呼ばれます。
各インスタンスは、中程度のワークロードで、20 の同時 RDP 接続と 40 の同時 SSH 接続をサポートできます (詳細については、Azure サブスクリプションの制限とクォータに関する記事を参照してください)。 インスタンスあたりの接続数は、クライアント VM に接続するときに実行するアクションによって異なります。 たとえば、データ処理の多い作業を行っている場合は、インスタンスの処理の負荷が大きくなります。 同時接続セッション数を超えると、追加のスケール ユニット (インスタンス) が必要になります。
インスタンスは AzureBastionSubnet 内に作成されます。 ホストのスケーリングを可能にするには、AzureBastionSubnet が /26 以上である必要があります。 サブネットを小さくすると、作成できるインスタンスの数が制限されます。 AzureBastionSubnet の詳細については、この記事のサブネットに関するセクションをご覧ください。
この設定を構成するには、次の方法を使用します。
| Method | 値 | リンク | Standard SKU が必要 |
|---|---|---|---|
| Azure portal | インスタンス数 | 使用方法 | はい |
| Azure PowerShell | ScaleUnit | 使用方法 | はい |
カスタム ポート
VM への接続に使用するポートを指定できます。 既定で、接続に使用される受信ポートは、RDP の場合 3389、SSH の場合 22 です。 カスタム ポート値を構成する場合は、VM に接続するときにその値を指定します。
カスタムポート値は、Standard SKU でのみサポートされています。
共有可能リンク (プレビュー)
Bastion の共有可能リンク機能を使用すると、ユーザーは Azure portal にアクセスせずに Azure Bastion を使用してターゲット リソースに接続できます。
Azure 資格情報がないユーザーが共有可能リンクをクリックすると、RDP または SSH を使用してターゲット リソースにサインインするようにユーザーに求める Web ページが開きます。 ユーザーは、そのターゲット リソースに対して Azure portal で構成された内容に基づき、ユーザー名とパスワードまたは秘密キーを使用して認証します。 ユーザーは、Azure Bastion で現在接続できる同じリソース (VM または仮想マシン スケール セット) に接続できます。
| 方法 | 値 | リンク | Standard SKU が必要 |
|---|---|---|---|
| Azure portal | 共有可能リンク | 構成 | はい |
次のステップ
よくあるご質問については、「Azure Bastion に関する FAQ」を参照してください。