指定したプライベート IP アドレスを使用して VM に接続する

  • [アーティクル]

IP ベースの接続を使用すると、ExpressRoute 経由の Azure Bastion または指定されたプライベート IP アドレスを使用した VPN サイト間接続を使用して、オンプレミス、Azure 以外、および Azure の仮想マシンに接続できます。 この記事のステップでは、Bastion デプロイを構成し、IP ベースの接続を使用してオンプレミス リソースに接続する方法を示します。 Azure Bastion の詳細については、概要に関する記事をご覧ください。

Diagram that shows the Azure Bastion architecture.

Note

この構成には、Azure Bastion の Standard SKU が必要です。 アップグレードするには、「SKU のアップグレード」を参照してください。

制限事項

  • IP ベースの接続は、VPN 経由の強制トンネリングを使用している場合や、ExpressRoute 回線経由で既定のルートがアドバタイズされている場合には機能しません。 Azure Bastion では、インターネットへのアクセスと強制トンネリングが必要です。そうでないと、既定のルート アドバタイズによってトラフィックのブラックホールが生じます。

  • Microsoft Entra 認証は、RDP 接続ではサポートされていません。 Microsoft Entra 認証は、ネイティブ クライアント経由の SSH 接続でサポートされています。

  • ネイティブ クライアント経由で VM に接続する場合、カスタムのポートとプロトコルは現在サポートされていません。

  • UDR は、IP ベースの接続を含め、Bastion サブネットではサポートされていません。

前提条件

これらのステップを開始する前に、次の環境が設定されていることを確認します。

  • Bastion が既にデプロイされている VNet。

    • 仮想ネットワークに Bastion がデプロイされていることを確認します。 Bastion サービスをプロビジョニングし、仮想ネットワークにデプロイしたら、それを使用して、Bastion から到達可能ないずれかの仮想ネットワークにデプロイされている任意の VM に接続できます。
    • Bastion をデプロイするには、「クイック スタート: 既定の設定で Bastion をデプロイする」を参照してください。

  • 到達可能な仮想ネットワーク内の仮想マシン。 これは、接続先の仮想マシンです。

Bastion を構成する

  1. Azure portal にサインインします。

  2. Azure portal で、Bastion デプロイに移動します。

  3. IP ベースの接続には、Standard SKU レベルが必要です。 [構成] ページの [レベル] で、レベルが Standard SKU に設定されていることを確認します。 レベルが Basic SKU に設定されている場合は、ドロップダウンから [Standard] を選択します。

  4. IP ベースの接続を有効にするには、[IP based connection](IP ベースの接続) を選択します。

    Screenshot that shows the Configuration page.

  5. [適用] を選択して変更を適用します。 Bastion の構成が完了するまで数分かかります。

VM に接続する - Azure portal

  1. 指定したプライベート IP アドレスを使用して VM に接続するには、VM ページから直接ではなく、Bastion から VM への接続を行います。 Bastion ページで、[接続] を選択して [接続] ページを開きます。

  2. Bastion の [接続] ページの [IP アドレス] に、ターゲット VM のプライベート IP アドレスを入力します。

    Screenshot of the Connect using Azure Bastion page.

  3. 接続設定を調整して [プロトコル][ポート] を目的の値にします。

  4. [ユーザー名][パスワード] に資格情報を入力します。

  5. [接続] を選択して仮想マシンに接続します。

VM に接続する - ネイティブ クライアント

SSH、RDP、またはトンネリングを介して、指定された IP アドレスをネイティブ クライアントで使用して VM に接続できます。 ネイティブ クライアント サポートの構成の詳細については、Bastion ネイティブ クライアント サポートの構成に関するページを参照してください。

Note

この機能は現在、Microsoft Entra 認証またはカスタム ポートとプロトコルをサポートしていません。

次のコマンドを例として使用します。

RDP:

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>

SSH:

az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"

トンネル:

az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"

次のステップ

詳細については、Bastion に関する FAQ に関するページを参照してください。