Azure Bation Developerがついに東日本リージョン、西日本リージョンで利用可能となったので試してみました。
Azure Bastion Developerとは
Azure Bastionはインターネットに直接VMを公開せずにAzure Portal上からVMを操作できるようにするサービスです。これまでは一番安いSKUであるBasicを選択しても、月額$140ほどかかりました。しかし、Developer SKUだとなんと無料で使えます。
Developerと他SKUの違い・制限事項
無料ゆえに機能は最低限に絞られています。また、構成も異なります。
共有である・AzureBastionSubnetが不要
他のSKUの場合、自分の仮想ネットワーク内にAzureBastionSubnetを用意してそこにBastionをデプロイします。一方でDeveloperの場合はBastionが共有利用となっています。そのたえ、仮想ネットワークにAzureBastionSubnetを用意する必要がありません。専用サブネットを用意しなくて良いので気軽に利用できます。
ピアリングには非対応
Developerはピアリングに非対応です。そのため、ピアリングされた仮想ネットワーク上のVMは操作することができません。操作したい場合は、Bastionが関連付けられた仮想ネットワーク上のVMにログインし、そこから別VMへRDP/SSHして操作することになります。
同時接続数は1
DeveloperのBastionでは同時接続数が1に制限されているので、Bastion経由で複数の仮想マシンを同時に操作することができません。これが一番厳しい制約ではないでしょうか。同時に複数VM操作したい場合は、どれか1台にログインし、そこから別VMへRDP/SSHして操作することになります。
その他のSKUごとの違い
詳細は以下をご参照ください。
通信要件
アーキテクチャがDeveloperとそれ以外のSKUで異なるため、通信要件も異なっています。
通信要件がまとまった公式ドキュメントが見当たらないのですが、こちらのブログで詳細な情報をまとめてくれています。
ポイントは以下です。
- 操作端末からアクセスが必要なのは「omnibrain.<region>.bastionglobal.azure.com」と「cdn.bastionglobal.azure.com」
→ ファイアウォールやプロキシ等で考慮が必要 - 168.63.129.16からのRDP/SSHを許可する
→ 168.63.129.16 = サービスタグ「AzureLoadBalancer」なので、NSGでデフォルトルールを打ち消すようなルールを設定していなければ追加の許可設定は不要
実際に試してみた
テスト用の仮想ネットワークとVMは事前に用意された状態からBastion Developerをデプロイし、BastionでVMを操作してみます。
Bastionsの画面に遷移し、[+作成]をクリック、作成ウィザードに移動します。
Developer SKUを選択すると、設定値はサブスクリプション/リソースグループ、名前、リージョン、関連付ける仮想ネットワークのみとなります。
Bastionの機能はグレーアウトしていて変更できません。
あとはタグの設定を確認し、デプロイします。
設定値はほとんどなくシンプルです。共有利用型であるため、デプロイも一瞬で終わります。
デプロイされたBastionの概要画面です。
デプロイ後に追加で設定できるのはネットワーク(接続元の制限)と診断設定くらいですね。
それではVMに接続してみます。VMの管理画面から接続します。
クリップボードへのアクセス許可が出てくるので許可します。
VMへ接続できました。下側に同時に1接続しかできない旨の警告が出たままになっています。これは仕方ないですね。
試しにこのVMに接続したまま、別タブで別VMへ接続してみました。すると最初に接続していたVMは強制切断されました。仕様通りです。
なお、BastionでWindows Serverへ接続し、そこから別VMへRDPをしてみましたが、操作感は問題ありませんでした。日本語入力の操作感はよくないと思いましたが、これはDeveloperだから、というわけではなく、Bastionの制約ですね。
まとめ
無料で使えるBastion、いいですね。セットアップも簡単でした。
制約事項を理解したうえで積極的に活用していくのが良いと感じました。ぜひ、皆さんも使ってみてください。