Azure Bastion

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る
- Azure Bastion
- ~~Windows Virtual Desktop（WVD）~~
- Azure Virtual Desktop（AVD）

目次 †

↑

概要 †

インターネットからの接続のためのシン・クライアントのDaaS。

マネージドな踏み台サーバーVM（PaaS サービス）
ゼロトラスト・ゾーンからハイ・セキュアゾーンへ入る。

↑

詳細 †

利用中の仮想ネットワークにプロビジョニングされる。
対象のVMにはパブリック IP アドレスは不要。

↑

価格 †

21.28 / 時間（1.5万/月）に加え、通信費用が発生する。
オンデマンドで作成することも出来る（スクリプトで、5分）。

↑

セキュリティ †

↑

通信 †

Azureポータルから踏み台サーバーにRDP / SSH 接続できる。

RDP / SSH over SSLで、RDP / SSHは、HTTPSでカプセル化される。
ポータルからクライアントレス（HTML5で）の RDP または SSH 接続が可能

↑

認証 †

ポータル経由で接続するので、AAD認証が必要だが、
現時点で仮想マシンのAAD認証・ログインは使用できず、
現状、OSログインに別途クレデンシャルが必要。

↑

リダイレクトの抑止 †

クライアントリソースのリダイレクトは、
止められており、テキストだけ、クリップボード経由でコピペできるもよう。

↑

アクセス制御 †

NSGを使用して、制限できる。

加えて、IP アドレス制限を行う場合、

AzADによる条件付きアクセス機能を構成する。

↑

IaC化 †

↑

Bastion ホスト †

ポイント

VNETとAzure Bastionホストのリソース・グループは分割不可能。
VNETは、VMとAzure Bastionホストで、分けても良いが大掛かりになる。
サブネッティングについては、Azureのサブネッティングを参照。

↑

Azure PowerShell †

余力があったら書くかも。

↑

Azure CLI †

リソース・グループがない場合、作成

az group create --name [ResourceGroupName] --location [Location]
例：az group create --name AzureBastionRG --location "Japan East"

仮想ネットワークがない場合、作成

az network vnet create --resource-group [既存のRG名] --name [VNET名] --address-prefix [VNETのAddress space] --subnet-name [Subnet名] --subnet-prefix [SubnetのAddress Range] --location [Location]
例：az network vnet create --resource-group AzureBastionRG --name AzureBastionVnet --address-prefix 10.0.0.0/16 --subnet-name AzureBastionSubnet --subnet-prefix 10.0.0.0/24 --location "Japan East"

Azure Bastion用のパブリック IP アドレスを作成

az network public-ip create --resource-group [既存のRG名] --name [Public IP名] --sku Standard --location [Location]
例：az network public-ip create --resource-group AzureBastionRG --name AzureBastionPubIP --sku Standard --location "Japan East"

Azure Bastion リソースを作成（５分かかる）

az network bastion create --name [Azure Bastion名] --public-ip-address [既存のPublic IP名] --resource-group [既存のRG名] --vnet-name [既存のVNET名] --location [Location]
例：az network bastion create --name MyAzBastion --public-ip-address AzureBastionPubIP --resource-group AzureBastionRG --vnet-name AzureBastionVnet --location "Japan East"

↑

仮想マシン †

↑

準備 †

事前にSubnetを作成しておく。

az network vnet subnet create --resource-group AzureBastionRG --name ManagementTerminalSubnet --address-prefixes 10.0.1.0/24 --vnet-name AzureBastionVnet

ルーティング
同一アドレス空間内では特別な設定をしなくてもサブネット間の通信が可能

↑

作成 †

>az vm create ^
--resource-group [既存のRG名] ^
--name [VM名] ^
--location [location] ^
--size [size] ^
--image [image名] ^
--admin-user [users名] ^
--admin-password [password] ^
--vnet-name [VNET名] ^
--subnet [Subnet名]

sizeの確認方法

az vm list-sizes --location [location] --output table

image名の確認方法
```
az vm image list --output table
```

例：

>az vm create ^
--resource-group AzureBastionRG ^
--name MgmtTerm1 ^
--location "Japan East" ^
--size Standard_F4 ^
--image Win2019Datacenter ^
--admin-user [users名] ^
--admin-password [password] ^
--vnet-name AzureBastionVnet ^
--subnet ManagementTerminalSubnet ^
--public-ip-address ""

※ 重要：--public-ip-address "" を指定し、public-ip を付与しない。

↑