チュートリアル: 指定した設定を使用して Bastion をデプロイする

このチュートリアルは、ご自身が指定した手動設定を使用して Azure portal から Azure Bastion をデプロイするための手引きです。 手動設定を使用すると、インスタンス数や SKU などの構成値をデプロイ時に指定できます。 Bastion のデプロイ後、仮想ネットワーク内の仮想マシンに Bastion 経由で、VM のプライベート IP アドレスを使用して接続 (SSH または RDP) できます。 VM に接続するときに、パブリック IP アドレスやクライアント ソフトウェア、エージェント、特殊な構成は必要ありません。

このチュートリアルでは、Standard SKU レベルを使用して Bastion をデプロイし、ホストのスケーリング (インスタンス数) を調整します。 デプロイの完了後は、プライベート IP アドレスを使用して VM にアクセスします。 VM のパブリック IP アドレスは、他の用途に必要でなければ削除してかまいません。

Azure Bastion は、お客様に代わって保守管理が行われる PaaS サービスです。お手持ちのいずれかの VM にご自分でインストールして保守管理する bastion ホストではありません。 Azure Bastion の詳細については、「Azure Bastion とは」を参照してください。

このチュートリアルでは、次の方法について説明します。

  • Bastion を VNet にデプロイする。
  • 仮想マシンに接続する。
  • 仮想マシンからパブリック IP アドレスを削除する。

Azure サブスクリプションがない場合は、開始する前に無料アカウントを作成してください。

前提条件

  • 仮想ネットワーク。 Bastion のデプロイ先となる VNet です。

  • 仮想ネットワーク内の仮想マシン この VM は Bastion の構成には含まれず、bastion ホストになることもありません。 このチュートリアルの中で後から、Bastion 経由でこの VM に接続することになります。 VM がない場合は、VM の作成に関するクイックスタートを参照して作成してください。

  • 必要な VM ロール:

    • 仮想マシンに対する閲覧者ロール。
    • 仮想マシンのプライベート IP を使用する NIC に対する閲覧者ロール。
  • 必要な受信ポート:

    • Windows VM の場合 - RDP (3389)
    • Linux VM の場合 - SSH (22)

Note

現時点では、Azure プライベート DNS ゾーンでの Azure Bastion の使用はサポートされていません。 開始する前に、Bastion リソースをデプロイする予定の仮想ネットワークが、プライベート DNS ゾーンにリンクされていないことを確認してください。

値の例

この構成を作成する際は、次の例の値を使用できます。また、独自の値に置き換えることもできます。

VNet と VM の基本的な値:

名前 Value
仮想マシン TestVM) の名前を
Resource group TestRG1
リージョン 米国東部
仮想ネットワーク VNet1
アドレス空間 10.1.0.0/16
サブネット FrontEnd: 10.1.0.0/24

Azure Bastion の値:

名前 Value
名前 VNet1-bastion
+ サブネット名 AzureBastionSubnet
AzureBastionSubnet アドレス サブネット マスクが /26 以上の VNet アドレス空間内のサブネット。
例: 10.1.1.0/26。
価格レベルまたは SKU Standard
インスタンス数 (ホスト スケーリング) 3 以上
パブリック IP アドレス 新規作成
パブリック IP アドレス名 VNet1-ip
パブリック IP アドレスの SKU Standard
割り当て 静的

重要

2021 年 11 月 2 日以降にデプロイされた Azure Bastion リソースについては、AzureBastionSubnet の最小サイズは /26 以上 (/25、/24 など) となります。 この日付より前にサイズ /27 のサブネットにデプロイされたすべての Azure Bastion リソースは、この変更の影響を受けず、現状どおり動作します。ただし、今後、ホスト スケーリングを利用する場合に備え、既存の AzureBastionSubnet のサイズを /26 にまで増やすことを強くお勧めします。

Bastion をデプロイする

このセクションを参考にして、ご利用の VNet に Bastion をデプロイします。 Bastion のデプロイ後は、VNet 内の任意の VM に対し、そのプライベート IP アドレスを使用して安全に接続できます。

  1. Azure portal にサインインします。

  2. 仮想ネットワークに移動します。

  3. 仮想ネットワークのページの左側のウィンドウで、[Bastion] を選択して [Bastion] ページを開きます。

  4. [Bastion] ページで、[手動で構成] を選択します。 これにより、Bastion を VNet にデプロイする際に、特定の追加設定を構成できます。

    [自分で Bastion を構成する] を示す Bastion ページのスクリーンショット。

  5. [Bastion の作成] ページで、bastion ホストの設定を構成します。 プロジェクトの詳細は、仮想ネットワークの値から設定されます。 [インスタンスの詳細] の値を構成します。

    • 名前: Bastion リソースに使用する名前を入力します。

    • リージョン: リソースが作成される Azure パブリック リージョンです。 仮想ネットワークが存在するリージョンを選択します。

    • 価格レベル: 価格レベルは SKU とも呼ばれます。 このチュートリアルでは、[Standard] を選択します。 Standard SKU を選択すると、ホスト スケーリングのインスタンス数などの機能を構成できます。 Standard SKU を必要とする機能の詳細については、構成設定の SKU に関するセクションを参照してください。

    • インスタンス数: これは、ホスト スケーリングの設定です。 スケール ユニットの増分で構成されます。 スライダーを使用するか、数値を入力して、必要なインスタンス数を構成します。 このチュートリアルでは、必要なインスタンス数を選択できます。 詳細については、ホストのスケーリングに関するセクションおよび価格に関するページを参照してください。

    Bastion ページのインスタンスの値のスクリーンショット。

  6. 仮想ネットワークの設定を構成します。 ドロップダウンから自分の VNet を選びます。 ドロップダウン リストに VNet が表示されない場合は、このページの以前の設定で正しいリージョンを選択していることを確認してください。

  7. AzureBastionSubnet を構成するには、[サブネット構成の管理] を選択します。

    仮想ネットワーク セクションのスクリーンショット。

  8. [サブネット] ページで [+ サブネット] を選択して [サブネットの追加] ページを開きます。

  9. [サブネットの追加] ページで、次の値を使用して 'AzureBastionSubnet' サブネットを作成します。 他の値は既定値のままにします。

    • サブネットの名前は AzureBastionSubnet にしてください。
    • Standard SKU で使用できる機能に対応するには、サブネットが /26 以上 (/26、/25、/24 など) である必要があります。

    ページの下部にある [保存] を選択して値を保存します。

  10. [サブネット] ページの上部にある [Bastion の作成] を選択して、Bastion の構成ページに戻ります。

    [Bastion の作成] のスクリーンショット。

  11. [パブリック IP アドレス] セクションで、RDP または SSH でアクセスされる (ポート 443 経由) Bastion ホスト リソースのパブリック IP アドレスを構成します。 パブリック IP アドレスは、作成している Bastion リソースと同じリージョン内にある必要があります。 新しい IP アドレスを作成します。 既定の名前付け候補をそのまま使用できます。

  12. 設定の指定が完了したら、 [確認および作成] を選択します。 これにより、値が検証されます。

  13. 検証を通過したら Bastion をデプロイできます。 [作成] を選択します デプロイが進行していることを知らせるメッセージが表示されます。 リソースが作成されたときに、状態がこのページに表示されます。 Bastion リソースを作成してデプロイするには、約 10 分かかります。

VM への接続

次のいずれかの詳細記事を使って、VM に接続できます。 一部の種類の接続では、Bastion Standard SKU が必要です。

下のセクションの基本的な接続手順を使って、VM に接続することもできます。

接続ステップ

  1. Azure portal で、接続先の仮想マシンに移動します。

  2. ページの上部で [接続] -> [Bastion] を選択し、[Bastion] ページに移動します。 左側のメニューを使用して [Bastion] ページに移動することもできます。

  3. [Bastion] ページで利用できるオプションは、Bastion の SKU レベルによって異なります。 Basic SKU を使っている場合は、Windows コンピューターには RDP とポート 3389 を使って、また Linux コンピューターには SSH とポート 22 を使って接続します。 ポート番号やプロトコルを変更するオプションはありません。 ただし、[接続設定] を展開することで、RDP のキーボード言語を変更できます。

    Bastion 接続ページのスクリーンショット。

    Standard SKU を使っている場合は、さらに多くの接続プロトコルとポートのオプションを使用できます。 [接続設定] を展開すると、それらのオプションが表示されます。 VM に異なる設定を構成した場合を除き、通常、Windows コンピューターには RDP とポート 3389 を使って、また Linux コンピュータには SSH とポート 22 を使って接続します。

    展開された接続設定のスクリーンショット。

  4. ドロップダウンから [認証の種類] を選びます。 プロトコルによって、利用できる認証の種類が決まります。 必要な認証の値を指定します。

    認証の種類のドロップダウンを示すスクリーンショット。

  5. 新しいブラウザー タブで VM セッションを開くには、[新しいブラウザー タブで開く] をオンのままにします。

  6. [接続] をクリックして VM に接続します。

  7. Bastion を使用したこの仮想マシンへの接続は、ポート 443 と Bastion サービスを使用して (HTML5 を介して) Azure portal で直接開きます。

    • 接続したとき、VM のデスクトップの外観は、サンプルのスクリーンショットとは違うものになることがあります。
    • VM に接続しているとき、キーボード ショートカット キーを使用すると、ローカル コンピューターのショートカット キーとは同じ動作にならないことがあります。 たとえば、Windows クライアントから Windows VM に接続しているとき、CTRL + ALT + END は、ローカル コンピューターで CTRL + ALT + Delete のキーボード ショートカットになります。 Windows VM に接続しているとき、Mac からこれを行うには、キーボード ショートカットは Fn + CTRL + ALT + Backspace になります。

    ポート 443 を使用している Connect のスクリーンショット。

オーディオ出力を有効にするには

VM のリモートオーディオ出力を有効にすることができます。 この設定が自動的に有効になる VM もありますが、オーディオ設定を手動で有効にすることが必要なものもあります。 設定は VM 自体で変更されます。 Bastion のデプロイでは、リモート オーディオ出力を有効にするための特別な構成設定は必要ありません。

注意

オーディオ出力には、インターネット接続の帯域幅が使用されます。

Windows VM でリモート オーディオ出力を有効にするには:

  1. VM に接続すると、ツール バーの右下隅にオーディオ ボタンが表示されます。
  2. [オーディオ] ボタンを右クリックし、[サウンド] を選択します。
  3. Windows Audio サービスを有効にするかどうかを確認するポップアップが表示されます。 [はい] を選択します。 [サウンド] 設定で、より多くのオーディオ オプションを構成できます。
  4. サウンド出力を確認するには、ツールバーの [オーディオ] ボタンの上にマウス カーソルを合わせます。

VM のパブリック IP アドレスを削除する

Azure Bastion を使用して VM に接続するときは、VM のパブリック IP アドレスは必要ありません。 パブリック IP アドレスを他に使用していない場合は、VM との関連付けを解除しても問題ありません。 パブリック IP アドレスと VM の関連付けを解除するには、次の手順に従います。

  1. 仮想マシンに移動し、[ネットワーク] を選択します。 [NIC パブリック IP] をクリックして、[パブリック IP アドレス] ページを開きます。

    [ネットワーク] ページのスクリーンショット。

  2. [パブリック IP アドレス] ページの右下にある [関連付け先] の下に、VM ネットワーク インターフェイスが表示されていることを確認します。 ページの上部にある [関連付け解除] をクリックします。

    VM のパブリック IP アドレスのスクリーンショット。

  3. [はい] をクリックして、ネットワーク インターフェイスから IP アドレスの関連付けを解除します。 VM ネットワーク インターフェイスとの関連付けを解除したパブリック IP アドレスは、[関連付け先] の一覧には表示されなくなります。

  4. IP アドレスの関連付けを解除した後、パブリック IP アドレス リソースを削除できます。 VM の [パブリック IP アドレス] ページで [削除] を選択します。

    パブリック IP アドレス リソースを削除する画面のスクリーンショット。

  5. [はい] をクリックしてパブリック IP アドレスを削除します。

リソースをクリーンアップする

このアプリケーションを引き続き使用しない場合は、次の手順を使用してリソースを削除します。

  1. ポータルの上部にある検索ボックスにリソース グループの名前を入力します。 検索結果にそのリソース グループが表示されたら、選択します。
  2. [リソース グループの削除] を選択します。
  3. [TYPE THE RESOURCE GROUP NAME](リソース グループ名を入力してください) にそのリソース グループの名前を入力し、 [削除] を選択します。

次のステップ

このチュートリアルでは、仮想ネットワークに Bastion をデプロイして VM に接続しました。 その後、VM からパブリック IP アドレスを削除しました。 今度は、その他の Bastion 機能について学習し、その構成を行います。