Azure Bastion ホストは、SSL 経由で Azure portal で仮想マシンへの安全でシームレスな RDP および SSH 接続を容易にします。
Azure Bastion は、プライベート IP アドレスを介して仮想マシンに安全に接続するためにプロビジョニングするフル マネージド PaaS サービスです。 Azure portal から TLS 経由で直接、またはローカル コンピューターに既にインストールされているネイティブ SSH または RDP クライアントを介して、仮想マシンへの安全でシームレスな RDP/SSH 接続を提供します。 Azure Bastion 経由で接続する場合、仮想マシンにパブリック IP アドレス、エージェント、クライアント ソフトウェアはいずれも不要です。
Bastion は、プロビジョニングされる仮想ネットワーク内のすべての VM に対して安全な RDP および SSH 接続を提供します。 Azure Bastion を使用すると、RDP または SSH を使用した安全なアクセスを提供しながら、お使いの仮想マシンが RDP または SSH ポートを外部に公開しないように保護されます。
ということで、AzureBastionSubnetとBastionを作成し、Azure仮想マシンへ接続してみてみます。
■ Bastion Subnet作成
1) Subnet画面
Bastionを配置したい vNETにある Subnet画面へ遷移し、[+サブネット]をクリック
2) Subnetの追加画面
サブネットの目的: [Azure Bastion]を選択
開始アドレス: 開始アドレス: 作成するサブネットCIDRアドレスを入力
サブネット アドレスの範囲: 作成するサブネットCIDRサイズを入力
3) Subnet追加完了
■ Basetion作成
1) vNET画面
仮想ネットワークに移動します。 仮想ネットワークのページの左側のペインで、[Bastion] を選択し、[Bastionのデプロイ]をクリック
2) Bastionの作成: 基本画面
次の内容を入力し、[次へ]をクリック
・ 名前: Bastionの名前を入力
・ レベル: Azure Bastion では、複数の SKU レベルが提供されています。詳しくは、[SKU](https://learn.microsoft.com/ja-jp/azure/bastion/bastion-overview#sku)を参考
・ インスタンス数: Bastion Standard SKU では、2 から 50 個までのインスタンスをサポートできます。詳しくは、次をご覧ください: インスタンスとホストのスケーリング
・ Virtual Network: Bastionを配置するvNETを選択
・ サブネット: Bastionを配置するサブネットを選択
・ パブリックIPアドレス名: 新規で作成すパブリックIPアドレス名を入力
3)Bastionの作成: 確認および作成画面
必要に応じて設定し、[次へ]をクリック
4)Bastionの作成: 詳細画面
内容を確認し、[作成]をクリック
5)Bastion作成中~
6)Bastion作成完了
[リソースに移動]をクリック
7)Bastion画面
■ Basetion接続
1) 仮想マシン画面
事前に作成した仮想マシン画面へ遷移し、[接続] > [Bastionを介した接続]をクリック
2) Bastion画面
次の内容を入力し、[接続]をクリック
ユーザー名: azureuserを入力
認証の種類: [ローカル ファイルの SSH 秘密キー] を選択し
ローカル ファイル: VM の作成時にダウンロードした internalappvm_key.pem ファイルを選択
3) リモートシェル画面
Web Browser にリモートシェル画面が出力されます。
操作が終了したら、 exit を入力します。
■ Bastion の共有可能リンクで接続してみてみる
Bastion の共有可能リンク機能を使用すると、ユーザーは、Azure portal にアクセスせずに、Azure Bastion を使用してターゲット リソース (仮想マシンまたは仮想マシン スケール セット) に接続できます。
● 共有可能リンク機能有効化
VM への共有可能リンクを作成するには、まずその機能を有効にする必要があります。
- Bastion画面
Azure portal で、bastion リソースに移動し、。[Bastion] ページの左側のペインで、[構成] をクリック
[構成] ページの [レベル] で、[Standard] を選択します (まだ選択されていない場合)。 この機能には Standard SKU が必要です。
一覧表示されている機能から [共有可能リンク] を選択して、共有可能リンク機能を有効にします。
目的の設定が選択されていることを確認してから、[適用] をクリックします。
Bastion により、bastion ホストの設定の更新が即座に開始されます。 更新には約 10 分かかります。
● 共有可能リンク作成
共有可能リンクを作成する各リソースを指定します
1) Bastion 画面
Azure portal で、bastion リソースに移動し、bastion ページの左側のペインで、[共有可能リンク] をクリックし、[+ 追加] をクリックして、[共有可能リンクの作成] ページを開きます。
2) 共有可能リンクの作成ページ
共有可能リンクを作成するリソースを選択します。 特定のリソースを選択することも、すべてを選択することもできます。 選択したリソースごとに、個別の共有可能リンクが作成されます。 [適用] をクリックしてリンクを作成
**3) **
リンクが作成されたら、[共有可能リンク] ページでそれらを表示できます。
各リソースに個別のリンクがあり、リンクの状態が [有効] になっていることがわかります。 リンクを共有するには、それをコピーして、ユーザーに送信します。 リンクには認証資格情報は含まれていません。
https://bst-381224c1-8c1a-459d.bastion.azure.com/api/shareable-url/07d33247-2189-4baa
● VM への接続
ユーザーはリンクを受信すると、ブラウザーでそのリンクを開きます。
● 共有可能リンクを削除する
Azure portal で、[Bastion resource] (Bastion リソース) -> [共有可能リンク] に移動します。
[共有可能リンク] ページで、削除するリソース リンクを選択し、[削除] をクリックします。
■ 参考
・ Bastion をデプロイする
・ Bastion の構成設定について
・ Azure Bastion を使用して Azure portal から仮想マシンに接続する
・ Bastion Premium SKU
・ Bastion インスタンスとホストのスケーリング
・ Bastion の共有可能リンクを作成する