クイック スタート: Azure portal から Azure Bastion をデプロイする

このクイックスタートでは、Azure portal から仮想ネットワークに Azure Bastion をデプロイする方法について説明します。 迅速なセットアップの既定の設定で Bastion をデプロイしたり、SKU とスケーリング オプションを指定するようにカスタム設定を構成したり、基本的な接続に無料の Developer SKU を使用したりできます。 Bastion をデプロイした後、SSH または RDP を使用し、VM のプライベート IP アドレスを使用して Bastion 経由で仮想ネットワーク内の仮想マシン (VM) に接続することができます。 接続先の VM 上で、パブリック IP アドレスやクライアント ソフトウェア、エージェント、特殊な構成はいずれも必要ありません。 Bastion の詳細については、「Azure Bastion とは」を参照してください。

この記事の手順は、以下の点で役立ちます。

• Azure portal を使用して仮想ネットワークに Bastion をデプロイします。
• SSH または RDP 接続と VM のプライベート IP アドレスを使用して、ポータル経由で VM に接続します。
• 他の目的で VM のパブリック IP アドレスを必要とする場合以外は、その IP アドレスを削除します。

重要

時間単位の料金は、送信データの使用量に関係なく、Bastion がデプロイされた時点から発生します。 詳細については、「価格設定」および「SKU」を参照してください。 チュートリアルまたはテストの一環として Bastion をデプロイしている場合は、使用終了後にこのリソースを削除することをお勧めします。

前提条件

このクイック スタートを完了するには、以下のリソースが必要です:

• Azure サブスクリプション。 まだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。

• Bastion のデプロイ先になる仮想ネットワーク。

• 仮想ネットワーク内の仮想マシン この VM は Bastion 構成の一部ではなく、要塞ホストにはなりません。 この VM には、演習の後半で接続します。 VM をまだ作成していない場合は、「クイック スタート: Windows VM を作成する」または「クイック スタート: Linux VM を作成する」を使用して作成してください。

• 必要な VM ロール:

  • 仮想マシンに対する閲覧者ロール
  • 仮想マシンのプライベート IP を使用するネットワーク アダプター (NIC) に対する閲覧者ロール

• 必要な VM 受信ポート:

  • Windows VM の場合: RDP (3389)
  • Linux VM の場合: SSH (22)

• Developer SKU の場合のみ:VM は Bastion Developer をサポートするリージョンに存在する必要があります。

Note

Azure プライベート DNS ゾーン内では、Azure Bastion の使用がサポートされています。 ただし、制限があります。 詳細については、「Azure Bastion に関する FAQ」を参照してください。

Bastion をデプロイする

Bastion をデプロイするには、 Azure portal にサインインし、VM または仮想ネットワークに移動します。

使用するデプロイ方法のタブを選択します。

• 既定の設定: Standard SKU を使用したクイックワンクリックデプロイ。
• カスタム設定: SKU、スケーリング、可用性ゾーン、およびその他の機能を完全に制御できます。
• 開発者 SKU (無料): 開発/テスト用の基本的な機能を備えた無料のオプション。 共有プール アーキテクチャを使用します。 一部のリージョンに限定されます。

Note

専用デプロイ (既定とカスタム設定) は、完了までに約 10 分かかります。 開発者 SKU は数秒でデプロイされます。

既定の設定

Bastion のデプロイ オプションを使用して Bastion をデプロイすると、Bastion は、仮想ネットワークに基づいて Standard SKU と既定の設定を使用して自動的にデプロイされます。 デプロイが完了したら、 追加の設定を構成 するか 、SKU をアップグレード できます。

次の図は、既定の設定オプションで使用される専用のデプロイ アーキテクチャを示しています。

既定値:

既定の設定で Bastion を展開するには:

1. 仮想ネットワーク (または VM) に移動します。 左側のウィンドウで、[ 接続>Bastion] を選択します。
2. [ Bastion ] ウィンドウで、[ Bastion のデプロイ] を選択します。
3. Bastion は既定の設定で自動的にデプロイされます。 デプロイ プロセスの完了には約 10 分かかります。

カスタム設定

[手動で構成] オプションを使用して Bastion をデプロイする場合は、SKU、可用性ゾーン、インスタンス数 (ホスト スケーリング)、その他の設定を指定できます。 SKU と機能の詳細については、「 Bastion SKU の比較」を参照してください。

次の図は、カスタム設定オプションで使用される専用のデプロイ アーキテクチャを示しています。

カスタム設定で Bastion を展開するには:

1. 仮想ネットワーク (または VM) に移動します。 左側のウィンドウで、[ 接続>Bastion] を選択します。

2. [ Bastion ] ウィンドウで、[ 手動で構成] を選択します。

3. [ Bastion の作成 ] ウィンドウで、 インスタンスの詳細を構成します。

   Setting	Value
   名前	Bastion リソースの名前を指定します。 たとえば、VNet1-bastion です。
   リージョン	仮想ネットワークが存在しているリージョンを選択します。
   可用性ゾーン	必要に応じて、ドロップダウンから 1 つまたは複数のゾーンを選択します。 可用性ゾーンをサポートするのは、特定のリージョンのみです。 詳細については、「可用性ゾーンとは」を参照してください。
   レベル	SKU を選択します。 各 SKU で使用できる機能の詳細については、 Bastion SKU の比較を参照してください。
   インスタンス数	スケール ユニット単位でホスト スケーリングを構成します。 詳細については、「インスタンスとホストのスケーリング」と「Azure Bastion の価格」を参照してください。

4. 仮想ネットワークの設定を構成します。 ドロップダウン リストから仮想ネットワークを選択します。

5. サブネットを構成 します。 AzureBastionSubnet が既にある場合は、自動的に選択されます。 そうでない場合は、次のものを作成します。

   1. [ サブネットの編集] を選択します。

   2. [ サブネットの編集 ] ウィンドウで、次の値を構成し、[保存] を選択 します。

      Setting	Value
      サブネットの目的	ドロップダウンから [Azure Bastion] を選択します。
      IPv4 アドレス範囲	IPv4 アドレス範囲を入力します (例: 10.1.1.0/26)。
      開始アドレス	サブネットの開始 IP アドレスを入力します (例: 10.1.1.0)。
      [サイズ]	/26 以上を選択します。

6. パブリック IPv4 アドレス設定を構成します。

   • 新しいパブリック IP アドレスを作成するには、[ 新規作成 ] を選択し、名前 ( VNet1-ip など) を入力します。
   • 既存のパブリック IP アドレスを使用するには、[ 既存のものを使用 ] を選択し、ドロップダウンから自分の IP アドレスを選択します。

7. 必要に応じて、[ 詳細設定 ] タブを選択して追加の設定を構成します。 これらの設定の詳細については、「 Azure Bastion の構成設定」を参照してください。

8. [確認および作成] を選択し、 [作成] を選択します。

開発者 SKU (無料)

Azure Bastion Developer は、セキュリティで保護されたブラウザーベースの仮想マシンへの接続を追加料金なしで提供します。 接続すると、Bastion Developer は共有プール アーキテクチャを使用して仮想ネットワークに自動的にデプロイします。

Bastion Developer に接続する場合、デプロイ要件は、他の SKU を使用してデプロイする場合とは異なります。 通常、bastion ホストを作成すると、仮想ネットワーク内の AzureBastionSubnet にホストがデプロイされます。 Bastion ホストはあなた専用ですが、Bastion Developer はそうではありません。 Bastion Developer リソースは専用ではないので、Bastion Developer の機能は制限されています。 より多くの機能をサポートする必要がある場合は、Bastion Developer を特定の SKU にいつでもアップグレードできます。 SKU のアップグレードに関するページを参照してください。

Bastion Developer をデプロイするには:

1. 仮想ネットワークが Bastion Developer をサポートするリージョンにあることを確認します。
2. 仮想ネットワークに移動します。 左側のウィンドウで、[ 接続>Bastion] を選択します。
3. [ Bastion ] ウィンドウで、 認証の種類を選択し、資格情報を入力して、[ 接続] を選択します。

[接続] を選択すると、Bastion Developer によって仮想ネットワークに自動的にデプロイされます。 接続は Azure portal で直接開きます。 切断しても、Bastion Developer リソースは将来の接続のためにデプロイされたままになります。

サポートされているリージョンの一覧など、Bastion Developer の詳細については、 Bastion SKU のリージョンの可用性の比較に関するページを参照してください。

VM のパブリック IP アドレスを削除する

Azure Bastion を使用して VM に接続するときは、VM のパブリック IP アドレスは必要ありません。 パブリック IP アドレスを他に使用していない場合は、VM との関連付けを解除しても問題ありません。

1. 仮想マシンに移動します。 [概要] ページで、[パブリック IP アドレス] をクリックし、[パブリック IP アドレス] ページを開きます。

2. [パブリック IP アドレス] ページで、[概要] に進みます。 この IP アドレスの [関連付け先] になっているリソースを表示できます。 ペイン上部にある [関連付け解除] を選択します。

3. [はい] を選択して、VM ネットワーク インターフェイスから IP アドレスの関連付けを解除します。 パブリック IP アドレスと VM ネットワーク インターフェイスとの関連付けを解除した後、その ID アドレスが [関連付け先] の一覧に表示されていないことを確認します。

4. IP アドレスの関連付けを解除した後、パブリック IP アドレス リソースを削除できます。 VM の [パブリック IP アドレス] ペインで、[概要] ページの上部にある [削除] を選択します。

5. [はい] を選択してパブリック IP アドレスを削除します。

リソースをクリーンアップする

仮想ネットワークと仮想マシンを使い終わった時点で、リソース グループとそれに含まれるすべてのリソースを削除します。

1. ポータルの上部にある検索ボックスに、お使いのリソース グループの名前を入力し、その後、検索結果からそれを選択します。

2. [リソース グループの削除] を選択します。

3. [リソース グループ名を入力してください] に、お使いのリソース グループを入力し、[削除] を選択します。

次のステップ

このクイック スタートでは、Bastion を仮想ネットワークにデプロイしました。 次に、Bastion 経由で仮想マシンに安全に接続し、より多くの機能を構成し、VM 接続を操作できます。

• Windows VM への接続: RDP | SSH
• Linux VM への接続: SSH | RDP
• ネイティブ クライアントからの接続: Windows | Linux/SSH
• スケール セットへの接続
• VM の接続と特徴について
• Azure Bastion の構成設定
• Bastion SKU の比較
• IP ベースの接続