LoginSignup
27
23

More than 3 years have passed since last update.

@tetsuya-oooooinパーソルプロセス&テクノロジー株式会社

Azure Bastion (Preview) を試してみる

Last updated at Posted at 2019-06-23

Azure Bastion のプレビューが発表されたので試してみます。
ちょっと気になるサービスだったので、早々に触ってみようと思います。

今までの仮想マシンのリモート操作パターンを整理

今までのベストプラクティスはおそらく以下の 3 パターンになるかと思います。

  • 仮想ネットワーク上にジャンプボックスとなる仮想マシンを構築する。PC からそのジャンプボックスに RDP/SSH 接続して、対象の仮想マシンのリモート操作を行う。
  • PC と仮想ネットワークとをポイント対サイト VPN 接続して、対象の仮想マシンのリモート操作を行う。
  • オンプレミスと仮想ネットワークとをサイト間 VPN 接続し、RD ゲートウェイを設置する。PC からその RD ゲートウェイを経由して、対象の仮想マシンのリモート操作を行う。

image.png

なお、対象の仮想マシンへの直接的な RDP/SSH 接続は推奨されていませんので、本番環境では控えましょう。

Azure Bastion とは

マネージドな PaaS サービスで、ブラウザーで Azure Portal から仮想ネットワーク上の仮想マシンにプライベート IP アドレスで RDP / SSH 接続できます。なお、対象の仮想マシンにはパブリック IP アドレスは不要です。
ざっくりいうと「マネージドな踏み台サーバー」というところでしょうか。

Azure Bastion overview

参考:What is Azure Bastion? (Preview)

はじめる前に

このサービスを試せるリージョンは、以下のページの節を確認できます。
※今回は「東日本」で試してみました。

参考:Create an Azure Bastion host (Preview) > Before you begin

まず、利用するためにプレビュー利用登録を行います。
PowerShall で Azure サブスクリプションにサインインして以下のコマンドを実行します。

Register-AzProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

次のコマンドで、AllowBastionHost 機能がサブスクリプションに登録されていることを確認します。筆者が実際にやってみた時は 15 分くらいで Registered が返ってきました 。

Get-AzProviderFeature -ProviderNamespace Microsoft.Network

以下の実行結果が返ってくるまで、上記のコマンドを何度も実行します。

FeatureName      ProviderName      RegistrationState
-----------      ------------      -----------------
AllowBastionHost Microsoft.Network Registered

確認するための環境を用意する

Azure Preview Portal にサインインします。
あらかじめ、仮想ネットワークとリモート操作の対象となる仮想マシンをデプロイしておきましょう。
なお、仮想マシンにはパブリック IP アドレスを関連付ける必要はありません。

image.png

仮想ネットワーク上に Bastion のデプロイ先となるサブネットを作成します。
サブネットの名前は「AzureBastionSubnet」とし「/27」以上のアドレス範囲を指定します。

image.png

Bastion をデプロイ

Marketplace で「Bastion」を検索し、検索結果から「Bastion (プレビュー)」をクリック、その後遷移したページで [作成] をクリックすると、「Create a bastion」ページが開きます。

image.png

[基本] タブで必要な情報を入力します。

  • 「リソースグループ」は先ほどの仮想ネットワークが属すものを指定。
  • 「名前」は適当にどうぞ。
  • 「地域」は先ほどの仮想ネットワークと同じリージョンを指定。
  • 「仮想ネットワーク」は先ほどの仮想ネットワークを指定。自動的にサブネット「AzureBastionSubnet」も指定されるはず。
  • Bastion にはパブリック IP アドレスは必須。SKU は「Standard」固定のようです。

入力後、[確認および作成] をクリック。

image.png

そして、最後に [確認および作成] タブで [作成] をクリックで Bastion を作成します。

image.png

およそ 5 分くらいで出来上がりました。
出来上がった Bastion リソースページを見たかんじでは、プロパティを設定するような操作はなさそうです。

image.png

仮想ネットワークの接続デバイスを確認すると、Bastion 用の仮想マシンスケールセット (VMSS) が 2 インスタンスがありました。

image.png

この VMSS インスタンスをクリックしたら「アクセス権なし」ということで、こちらもとくにプロパティを設定するような操作はなさそうです。

対象の仮想マシンに接続してみる

いつものように、仮想マシンの [Connect] をクリックします。

image.png

そうすると、右から [仮想マシンに接続] パネルが出てきます。
いつもの (RDP/SSH) タブの他に [Bastion] タブが追加されていました。

image.png

[Username] と [Password] に対象の仮想マシンの管理者ユーザー名とパスワードを入力して [Connect] をクリックします。
※対象の仮想マシンが属するサブネットに NSG (デフォルトでも OK) をセットしておくことを忘れずに。

image.png

ブラウザーの新しいタブが開き、対象の仮想マシンのデスクトップ画面が表示されました。すごい!

まとめ

手軽に仮想マシンのリモート操作環境が構築できるのはとてもラクちんで素晴らしいです。
VMSS の技術も使ったサービスだったとは知らなかったので、その発見だけでもやってみて良かったかなと思います。

参考文献

参考:What is Azure Bastion? (Preview)
参考:Create an Azure Bastion host (Preview)
参考:Working with NSG access and Azure Bastion (Preview)

27
23
4

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
27
23