マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

インターネットからの接続のためのシン・クライアントのDaaS。

詳細

  • 利用中の仮想ネットワークにプロビジョニングされる。
  • 対象のVMにはパブリック IP アドレスは不要。

価格

  • 21.28 / 時間(1.5万/月)に加え、通信費用が発生する。
  • オンデマンドで作成することも出来る(スクリプトで、5分)。

作成

ポータルで、VM → 接続 → Bastionから作成可能。

セキュリティ

通信

Azureポータルから踏み台サーバーにRDP / SSH 接続できる。

  • RDP / SSH over SSLで、RDP / SSHは、HTTPSでカプセル化される。
  • ポータルからクライアントレス(HTML5で)の RDP または SSH 接続が可能
  • クライアント → ポータルは、HTTPSの443
  • ポータル → VMは、RDP / SSH (3389 / 22)

OS

  • 以下の双方で利用可能。
    • Windows (RDP)
    • Linux (SSH)

認証

ポータル経由で接続するので、AzAD認証が必要だが、
現時点で仮想マシンのAzAD認証・ログインは使用できず、
現状、OSログインに別途クレデンシャルが必要。

リダイレクトの抑止

クライアント リソースのリダイレクトは、
止められており、テキストだけ、クリップボード経由でコピペできるもよう。

アクセス制御

  • NSGを使用して、制限できる。
  • 加えて、IP アドレス制限を行う場合、

IaC化

Bastion ホスト

ポイント

  • VNETとAzure Bastionホストのリソース・グループは分割不可能。
  • VNETは、VMとAzure Bastionホストで、分けても良いが大掛かりになる。
  • サブネッティングについては、Azureのサブネッティングを参照。

Azure PowerShell

余力があったら書くかも。

Azure CLI

  • Azure Bastion用の...
  • リソース・グループがない場合、作成 
    az group create --name [ResourceGroupName] --location [Location]
例:az group create --name AzureBastionRG --location "Japan East"
  • ネットワークがない場合、作成 
    az network vnet create --resource-group [既存のRG名] --name [VNET名] --address-prefix [VNETのAddress space] --subnet-name [Subnet名] --subnet-prefix [SubnetのAddress Range] --location [Location]
例:az network vnet create --resource-group AzureBastionRG --name AzureBastionVnet --address-prefix 10.0.0.0/16 --subnet-name AzureBastionSubnet --subnet-prefix 10.0.0.0/24 --location "Japan East"
  • パブリック IP アドレスを作成 
    az network public-ip create --resource-group [既存のRG名] --name [Public IP名] --sku Standard --location [Location]
例:az network public-ip create --resource-group AzureBastionRG --name AzureBastionPubIP --sku Standard --location "Japan East"
  • Azure Bastionの本体を作成(5分かかる) 
    az network bastion create --name [Azure Bastion名] --public-ip-address [既存のPublic IP名] --resource-group [既存のRG名] --vnet-name [既存のVNET名] --location [Location]
例:az network bastion create --name MyAzBastion --public-ip-address AzureBastionPubIP --resource-group AzureBastionRG --vnet-name AzureBastionVnet --location "Japan East"

仮想マシン

準備

  • 事前にVNetやSubnetを作成しておく。
    ココではVNetにSubnetを追加した。 
    az network vnet subnet create --resource-group AzureBastionRG --name ManagementTerminalSubnet --address-prefixes 10.0.1.0/24 --vnet-name AzureBastionVnet
  • ルーティング
    同一アドレス空間内では特別な設定をしなくてもサブネット間の通信が可能

作成

  • 例:
    • VMの作成 
      >az vm create ^
--resource-group AzureBastionRG ^
--name MgmtTerm1 ^
--location "Japan East" ^
--size Standard_F4 ^
--image Win2019Datacenter ^
--admin-user [users名] ^
--admin-password [password] ^
--vnet-name AzureBastionVnet ^
--subnet ManagementTerminalSubnet ^
--public-ip-address ""
      重要:--public-ip-address "" を指定し、public-ip を付与しない
  • IPアドレス一覧
    不要なインバウンドが空いていないかを確認する。 
    >az network public-ip list --output table
Name               ResourceGroup    Location    Zones    Address        AddressVersion    AllocationMethod    IdleTimeoutInMinutes    ProvisioningState
-----------------  ---------------  ----------  -------  -------------  ----------------  ------------------  ----------------------  -------------------
AzureBastionPubIP  AzureBastionRG   japanwest            x.x.x.x        IPv4              Static              4                       Succeeded

参考

NSG

microsoft.com

Microsoft Azure

Microsoft Docs

Qiita

Tags: :インフラストラクチャ, :クラウド, :Azure, :セキュリティ, :通信技術
トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-10-11 (月) 15:47:31 (5d)