Azure Bastion のバックアップ(No.19)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Azure Bastion へ行く。
  • 1 (2020-05-05 (火) 19:36:42)
  • 2 (2020-05-05 (火) 20:49:27)
  • 3 (2020-05-07 (木) 18:17:24)
  • 4 (2020-10-21 (水) 15:47:38)
  • 5 (2020-12-04 (金) 15:44:23)
  • 6 (2021-02-08 (月) 12:57:43)
  • 7 (2021-02-24 (水) 12:58:00)
  • 8 (2021-03-15 (月) 22:49:12)
  • 9 (2021-03-16 (火) 14:53:00)
  • 10 (2021-04-26 (月) 11:39:08)
  • 11 (2021-05-14 (金) 13:39:24)
  • 12 (2021-05-27 (木) 21:46:58)
  • 13 (2021-06-23 (水) 15:35:21)
  • 14 (2021-06-24 (木) 16:50:54)
  • 15 (2021-06-24 (木) 19:19:50)
  • 16 (2021-07-05 (月) 18:45:55)
  • 17 (2021-07-23 (金) 14:57:36)
  • 18 (2021-08-26 (木) 19:39:02)
  • 19 (2021-08-31 (火) 10:54:30)
  • 20 (2021-09-08 (水) 11:50:55)
  • 21 (2021-10-11 (月) 15:47:31)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • Azure Bastion
  • Windows Virtual Desktop（WVD）
  • Azure Virtual Desktop（AVD）

目次 †

概要 †

インターネットからの接続のためのシン・クライアントのDaaS。

• マネージドな踏み台サーバーVM（PaaS サービス）
• ゼロトラスト・ゾーンからハイ・セキュアゾーンへ入る。

詳細 †

• 利用中の仮想ネットワークにプロビジョニングされる。
• 対象のVMにはパブリック IP アドレスは不要。

価格 †

• 21.28 / 時間（1.5万/月）に加え、通信費用が発生する。
• オンデマンドで作成することも出来る（スクリプトで、5分）。

作成 †

ポータルで、VM → 接続 → Bastionから作成可能。

セキュリティ †

通信 †

Azureポータルから踏み台サーバーにRDP / SSH 接続できる。

• RDP / SSH over SSLで、RDP / SSHは、HTTPSでカプセル化される。
• ポータルからクライアントレス（HTML5で）の RDP または SSH 接続が可能
• クライアント → ポータルは、HTTPSの443
• ポータル → VMは、RDP / SSH (3389 / 22)

OS †

以下の双方で利用可能。

• Windows
• Linux

認証 †

ポータル経由で接続するので、AzAD認証が必要だが、
現時点で仮想マシンのAzAD認証・ログインは使用できず、
現状、OSログインに別途クレデンシャルが必要。

リダイレクトの抑止 †

クライアント リソースのリダイレクトは、
止められており、テキストだけ、クリップボード経由でコピペできるもよう。

アクセス制御 †

• NSGを使用して、制限できる。

• 加えて、IP アドレス制限を行う場合、

• AzADによる条件付きアクセス機能を構成する。

IaC化 †

Bastion ホスト †

ポイント

• VNETとAzure Bastionホストのリソース・グループは分割不可能。
• VNETは、VMとAzure Bastionホストで、分けても良いが大掛かりになる。
• サブネッティングについては、Azureのサブネッティングを参照。

Azure PowerShell †

余力があったら書くかも。

Azure CLI †

• リソース・グループがない場合、作成

  az group create --name [ResourceGroupName] --location [Location]
  例：az group create --name AzureBastionRG --location "Japan East"

• 仮想ネットワークがない場合、作成

  az network vnet create --resource-group [既存のRG名] --name [VNET名] --address-prefix [VNETのAddress space] --subnet-name [Subnet名] --subnet-prefix [SubnetのAddress Range] --location [Location]
  例：az network vnet create --resource-group AzureBastionRG --name AzureBastionVnet --address-prefix 10.0.0.0/16 --subnet-name AzureBastionSubnet --subnet-prefix 10.0.0.0/24 --location "Japan East"

• Azure Bastion用のパブリック IP アドレスを作成

  az network public-ip create --resource-group [既存のRG名] --name [Public IP名] --sku Standard --location [Location]
  例：az network public-ip create --resource-group AzureBastionRG --name AzureBastionPubIP --sku Standard --location "Japan East"

• Azure Bastion リソースを作成（５分かかる）

  az network bastion create --name [Azure Bastion名] --public-ip-address [既存のPublic IP名] --resource-group [既存のRG名] --vnet-name [既存のVNET名] --location [Location]
  例：az network bastion create --name MyAzBastion --public-ip-address AzureBastionPubIP --resource-group AzureBastionRG --vnet-name AzureBastionVnet --location "Japan East"

仮想マシン †

準備 †

• 事前にVNetやSubnetを作成しておく。

  az network vnet subnet create --resource-group AzureBastionRG --name ManagementTerminalSubnet --address-prefixes 10.0.1.0/24 --vnet-name AzureBastionVnet

• ルーティング
  同一アドレス空間内では特別な設定をしなくてもサブネット間の通信が可能

作成 †

• 参考

• 例：

  >az vm create ^
  --resource-group AzureBastionRG ^
  --name MgmtTerm1 ^
  --location "Japan East" ^
  --size Standard_F4 ^
  --image Win2019Datacenter ^
  --admin-user [users名] ^
  --admin-password [password] ^
  --vnet-name AzureBastionVnet ^
  --subnet ManagementTerminalSubnet ^
  --public-ip-address ""

  ※ 重要：--public-ip-address "" を指定し、public-ip を付与しない。

参考 †

NSG †

• Bastion のサブネットに 適用する NSG の設定例 | Japan Azure IaaS Core Support Blog
  https://jpaztech.github.io/blog/network/bastion-nsg/
  • Azure Bastion で VM と NSG を使用する
    https://docs.microsoft.com/ja-jp/azure/bastion/bastion-nsg

microsoft.com †

Microsoft Azure †

• Azure Bastion
  https://azure.microsoft.com/ja-jp/services/azure-bastion/
• 価格 - Azure Bastion
  https://azure.microsoft.com/ja-jp/pricing/details/azure-bastion/

Microsoft Docs †

• Azure Bastion のドキュメント
  https://docs.microsoft.com/ja-jp/azure/bastion/
  • 概要 > Azure Bastion とは
    https://docs.microsoft.com/ja-jp/azure/bastion/bastion-overview
  • Azure Bastion 用の Azure セキュリティ ベースライン
    https://docs.microsoft.com/ja-jp/azure/bastion/security-baseline
  • 仮想マシンとの間のコピーと貼り付け:Azure Bastion
    https://docs.microsoft.com/ja-jp/azure/bastion/bastion-vm-copy-paste

• クイックスタート: Azure Bastion を構成し、
  プライベート IP アドレスとブラウザーを使用して VM に接続する
  https://docs.microsoft.com/ja-jp/azure/bastion/quickstart-host-portal
• チュートリアル: Azure Bastion ホストを作成する
  https://docs.microsoft.com/ja-jp/azure/bastion/tutorial-create-host-portal
• Azure PowerShell を使用して Bastion ホストを作成する
  https://docs.microsoft.com/ja-jp/azure/bastion/bastion-create-host-powershell
• Azure CLI を使用して Bastion ホストを作成する
  https://docs.microsoft.com/ja-jp/azure/bastion/create-host-cli

Qiita †

• はじめての Azure Bastion
  https://qiita.com/M-M/items/afadd554a031375d49c8

• Azure Bastion (Preview) を試してみる
  https://qiita.com/tetsuya-ooooo/items/365ee7766c039a5033cf

---

Tags: :インフラストラクチャ, :クラウド, :Azure, :セキュリティ, :通信技術

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.026 sec.