Azure Bastion のバックアップ(No.13)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る
- Azure Bastion
- Windows Virtual Desktop（WVD）

目次 †

↑

概要 †

インターネットからの接続のためのシン・クライアントのDaaS。

マネージドな踏み台サーバーVM（PaaS サービス）
ゼロトラスト・ゾーンからハイ・セキュアゾーンへ入る。

↑

詳細 †

利用中の仮想ネットワークにプロビジョニングされる。
対象のVMにはパブリック IP アドレスは不要。

↑

価格 †

21.28 / 時間（1.5万/月）に加え、通信費用が発生する。
オンデマンドで作成することも出来る（スクリプトで、5分）。

↑

セキュリティ †

↑

通信 †

Azureポータルから踏み台サーバーにRDP / SSH 接続できる。

RDP / SSH over SSLで、RDP / SSHは、HTTPSでカプセル化される。
ポータルからクライアントレス（HTML5で）の RDP または SSH 接続が可能

↑

認証 †

ポータル経由で接続するので、AAD認証が必要だが、
現時点で仮想マシンのAAD認証・ログインは使用できず、
現状、OSログインに別途クレデンシャルが必要。

↑

リダイレクトの抑止 †

クライアントリソースのリダイレクトは、
止められており、テキストだけ、クリップボード経由でコピペできるもよう。

↑

アクセス制御 †

NSGを使用して、制限できる。

加えて、IP アドレス制限を行う場合、

AzADによる条件付きアクセス機能を構成する。

↑

IaC化 †

↑

Bastion ホスト †

↑

Azure PowerShell †

↑

Azure CLI †

リソース・グループがない場合、作成

az group create --name [resourceGroupName] --location [location]
例：az group create --name MyResourceGroup --location "Japan East"

仮想ネットワークがない場合、作成

az network vnet create --resource-group [既存のRG名] --name MyVnet --address-prefix 10.0.0.0/16 --subnet-name AzureBastionSubnet --subnet-prefix 10.0.0.0/24 --location [location]
例：az network vnet create --resource-group MyResourceGroup --name MyVnet --address-prefix 10.0.0.0/16 --subnet-name AzureBastionSubnet --subnet-prefix 10.0.0.0/24 --location "Japan East"

Azure Bastion用のパブリック IP アドレスを作成

az network public-ip create --resource-group [既存のRG名] --name [Public IP名] --sku Standard --location [location]
例：az network public-ip create --resource-group MyResourceGroup --name AzureBastionPubIP --sku Standard --location "Japan East"

Azure Bastion リソースを作成（５分かかる）

az network bastion create --name [Azure Bastion名] --public-ip-address [既存のPublic IP名] --resource-group [既存のRG名] --vnet-name [既存のVNET名] --location [location]
例：az network bastion create --name MyAzBastion --public-ip-address AzureBastionPubIP --resource-group MyResourceGroup --vnet-name MyVnet --location "Japan East"

↑