Azure CLI を使用して Bastion をデプロイする

この記事では、CLI を使用して Azure Bastion をデプロイする方法について示します。 Azure Bastion は、お客様に代わって保守管理が行われる PaaS サービスであり、お客様が VM にご自分でインストールして保守管理する bastion ホストではありません。 Azure Bastion デプロイは、サブスクリプション/アカウントや仮想マシン単位ではなく、仮想ネットワーク単位です。 Azure Bastion の詳細については、「Azure Bastion とは」を参照してください。

Bastion を仮想ネットワークにデプロイすると、プライベート IP アドレスを使用して VM に接続できるようになります。 このシームレスな RDP/SSH エクスペリエンスは、同じ仮想ネットワーク内のすべての VM で使用できます。 VM のパブリック IP アドレスは、他の用途に必要でなければ削除してかまいません。

次の他の方法を使用して Bastion をデプロイすることもできます。

• Azure Portal
• Azure PowerShell
• クイックスタート - 既定の設定でデプロイする

前提条件

Azure サブスクリプション

Azure サブスクリプションを持っていることを確認します。 Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。

Azure CLI

この記事では Azure CLI を使用します。 コマンドを実行するには、Azure Cloud Shell を使用できます。 Azure Cloud Shell は無料のインタラクティブ シェルです。この記事の手順は、Azure Cloud Shell を使って実行することができます。 一般的な Azure ツールが事前にインストールされており、アカウントで使用できるように構成されています。

Cloud Shell を開くには、コード ブロックの右上隅にある [使ってみる] を選択します。 また、https://shell.azure.com に移動して別のブラウザー タブで Cloud Shell を起動し、左上隅のドロップダウンを切り替えて Bash または PowerShell を反映することもできます。 [コピー] を選択してコードのブロックをコピーし、Cloud Shell に貼り付けてから、Enter キーを押して実行します。

Note

現時点では、Azure プライベート DNS ゾーンでの Azure Bastion の使用はサポートされていません。 開始する前に、Bastion リソースをデプロイする予定の仮想ネットワークが、プライベート DNS ゾーンにリンクされていないことを確認してください。

Bastion をデプロイする

このセクションでは、Azure CLI を使用して Azure Bastion をデプロイする方法について説明します。

Note

例に示すように、すべてのコマンドで --resource-group と共に --location パラメーターを使用すると、リソースが確実にまとめてデプロイされます。

1. 仮想ネットワークと Azure Bastion サブネットを作成します。 名前の値として AzureBastionSubnet を使用して Azure Bastion サブネットを作成する必要があります。 この値によって、Azure でリソースをデプロイするサブネットを把握できます。 これは VPN ゲートウェイ サブネットとは異なります。

   重要

   2021 年 11 月 2 日以降にデプロイされた Azure Bastion リソースについては、AzureBastionSubnet の最小サイズは /26 以上 (/25、/24 など) となります。 この日付より前にサイズ /27 のサブネットにデプロイされたすべての Azure Bastion リソースは、この変更の影響を受けず、現状どおり動作します。ただし、今後、ホスト スケーリングを利用する場合に備え、既存の AzureBastionSubnet のサイズを /26 にまで増やすことを強くお勧めします。

   • 作成できる最小のサブネット AzureBastionSubnet サイズは /26 です。 ホストのスケーリングに対応するために、/26 以上のサイズを作成することをお勧めします。
     • スケーリングの詳細については、ホスト スケーリングの構成設定に関する記事を参照してください。
     • 設定の詳細については、AzureBastionSubnet の構成設定に関する記事を参照してください。
   • ルート テーブルまたは委任なしで AzureBastionSubnet を作成します。
   • AzureBastionSubnet でネットワーク セキュリティ グループを使用する場合、NSG の使用に関する記事を参照してください。

   az network vnet create --resource-group MyResourceGroup --name MyVnet --address-prefix 10.0.0.0/16 --subnet-name AzureBastionSubnet --subnet-prefix 10.0.0.0/24 --location northeurope
   

2. Azure Bastion のパブリック IP アドレスを作成します。 このパブリック IP は (ポート 443 経由で) RDP/SSH がアクセスされる Bastion リソースのパブリック IP アドレスです。 パブリック IP アドレスは、作成している Bastion リソースと同じリージョン内にある必要があります。

   次の例では、Standard SKU を使用します。 Standard SKU では、より多くの Bastion 機能を構成し、より多くの接続の種類を使用して VM に接続できます。 詳細については、Bastion SKU に関する記事を参照してください。

   az network public-ip create --resource-group MyResourceGroup --name MyIp --sku Standard --location northeurope
   

3. 仮想ネットワークの AzureBastionSubnet 内に新しい Azure Bastion リソースを作成します。 Bastion リソースを作成してデプロイするには、約 10 分かかります。

   az network bastion create --name MyBastion --public-ip-address MyIp --resource-group MyResourceGroup --vnet-name MyVnet --location northeurope
   

VM への接続

下のセクションの「接続ステップ」を参照して、VM に接続できます。 次のいずれかの記事を使用して VM に接続することもできます。 一部の種類の接続では、Bastion Standard SKU が必要です。

• Windows - RDP
• Windows - SSH
• Linux - SSH
• Linux - RDP
• ネイティブ クライアントを使用してローカル コンピューターから接続する
• スケール セットへの接続

接続ステップ

1. Azure portal で、接続先の仮想マシンに移動します。

2. ページの上部で [接続] -> [Bastion] を選択し、[Bastion] ページに移動します。 左側のメニューを使用して [Bastion] ページに移動することもできます。

3. [Bastion] ページで利用できるオプションは、Bastion の SKU レベルによって異なります。 Basic SKU を使っている場合は、Windows コンピューターには RDP とポート 3389 を使って、また Linux コンピューターには SSH とポート 22 を使って接続します。 ポート番号やプロトコルを変更するオプションはありません。 ただし、[接続設定] を展開することで、RDP のキーボード言語を変更できます。

   

   Standard SKU を使っている場合は、さらに多くの接続プロトコルとポートのオプションを使用できます。 [接続設定] を展開すると、それらのオプションが表示されます。 VM に異なる設定を構成した場合を除き、通常、Windows コンピューターには RDP とポート 3389 を使って、また Linux コンピュータには SSH とポート 22 を使って接続します。

   

4. ドロップダウンから [認証の種類] を選びます。 プロトコルによって、利用できる認証の種類が決まります。 必要な認証の値を指定します。

   

5. 新しいブラウザー タブで VM セッションを開くには、[新しいブラウザー タブで開く] をオンのままにします。

6. [接続] をクリックして VM に接続します。

7. Bastion を使用したこの仮想マシンへの接続は、ポート 443 と Bastion サービスを使用して (HTML5 を介して) Azure portal で直接開きます。

   • 接続したとき、VM のデスクトップの外観は、サンプルのスクリーンショットとは違うものになることがあります。
   • VM に接続しているとき、キーボード ショートカット キーを使用すると、ローカル コンピューターのショートカット キーとは同じ動作にならないことがあります。 たとえば、Windows クライアントから Windows VM に接続しているとき、CTRL + ALT + END は、ローカル コンピューターで CTRL + ALT + Delete のキーボード ショートカットになります。 Windows VM に接続しているとき、Mac からこれを行うには、キーボード ショートカットは Fn + CTRL + ALT + Backspace になります。

   

オーディオ出力を有効にするには

VM のリモートオーディオ出力を有効にすることができます。 この設定が自動的に有効になる VM もありますが、オーディオ設定を手動で有効にすることが必要なものもあります。 設定は VM 自体で変更されます。 Bastion のデプロイでは、リモート オーディオ出力を有効にするための特別な構成設定は必要ありません。

注意

オーディオ出力には、インターネット接続の帯域幅が使用されます。

Windows VM でリモート オーディオ出力を有効にするには:

1. VM に接続すると、ツール バーの右下隅にオーディオ ボタンが表示されます。
2. [オーディオ] ボタンを右クリックし、[サウンド] を選択します。
3. Windows Audio サービスを有効にするかどうかを確認するポップアップが表示されます。 [はい] を選択します。 [サウンド] 設定で、より多くのオーディオ オプションを構成できます。
4. サウンド出力を確認するには、ツールバーの [オーディオ] ボタンの上にマウス カーソルを合わせます。

VM のパブリック IP アドレスを削除する

Azure Bastion では、クライアント VM への接続にパブリック IP アドレスは使用されません。 VM ではパブリック IP アドレスを他のことで必要としない場合、削除してかまいません。 「パブリック IP アドレスの関連付けを Azure VM から解除する」を参照してください。

次の手順

• Azure Bastion サブネットでネットワーク セキュリティ グループを使用する方法については、NSG の使用に関するページを参照してください。
• VNet ピアリングの詳細については、「VNet ピアリングと Azure Bastion」を参照してください。