![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>OA-LANとAzureのVNETの分離]] --Azure Bastion --%%[[Windows Virtual Desktop(WVD)]]%% --[[Azure Virtual Desktop(AVD)]] * 目次 [#ob84e679] #contents *概要 [#eb259e6c] インターネットからの接続のためのシン・クライアントのDaaS。 -マネージドな踏み台サーバーVM(PaaS サービス) -[[ゼロトラスト・ゾーンからハイ・セキュアゾーンへ入る。>FgCF (Financial-grade Cloud Fundamentals)#a23e9f1b]] *詳細 [#r3ff9d0a] -利用中の仮想ネットワークにプロビジョニングされる。 -対象のVMにはパブリック IP アドレスは不要。 **価格 [#yaf31edd] -21.28 / 時間(1.5万/月)に加え、通信費用が発生する。 -オンデマンドで作成することも出来る(スクリプトで、5分)。 **作成 [#v81efb62] ポータルで、VM → 接続 → Bastionから作成可能。 **セキュリティ [#sbf02947] ***通信 [#t0085778] Azureポータルから踏み台サーバーにRDP / SSH 接続できる。 -RDP / SSH over SSLで、RDP / SSHは、HTTPSでカプセル化される。 -ポータルからクライアントレス(HTML5で)の RDP または SSH 接続が可能 -クライアント → ポータルは、HTTPSの443 -ポータル → VMは、RDP / SSH (3389 / 22) ***OS [#c53f1c81] 以下の双方で利用可能。 -Windows (RDP) -Linux (SSH) -以下の双方で利用可能。 --Windows (RDP) --Linux (SSH) -参考 --How to make Bastion RDP into Ubuntu - Microsoft Q&A~ https://docs.microsoft.com/en-us/answers/questions/255665/how-to-make-bastion-rdp-into-ubuntu.html ***認証 [#ha116de9] ポータル経由で接続するので、AzAD認証が必要だが、~ 現時点で[[仮想マシンのAzAD認証・ログイン>Azureの仮想マシン#pf76b919]]は使用できず、~ 現状、OSログインに別途クレデンシャルが必要。 ***リダイレクトの抑止 [#ycfd39c7] [[クライアント リソースのリダイレクト>リモートデスクトップサービス(旧ターミナルサービス)#e1f16476]]は、~ 止められており、テキストだけ、クリップボード経由でコピペできるもよう。 ***アクセス制御 [#z83a82fd] -[[NSG>#ob02efce]]を使用して、制限できる。 -加えて、IP アドレス制限を行う場合、 --[[AzADによる条件付きアクセス機能を構成する。]] *IaC化 [#g882be6e] **Bastion ホスト [#vca253e3] ポイント -VNETとAzure Bastionホストのリソース・グループは分割不可能。 -VNETは、VMとAzure Bastionホストで、分けても良いが大掛かりになる。 -サブネッティングについては、[[Azureのサブネッティング]]を参照。 ***[[Azure PowerShell]] [#lb5183c2] 余力があったら書くかも。 ***[[Azure CLI]] [#ae600c56] -Azure Bastion用の... --リソース・グループがない場合、作成 az group create --name [ResourceGroupName] --location [Location] 例:az group create --name AzureBastionRG --location "Japan East" --ネットワークがない場合、作成 az network vnet create --resource-group [既存のRG名] --name [VNET名] --address-prefix [VNETのAddress space] --subnet-name [Subnet名] --subnet-prefix [SubnetのAddress Range] --location [Location] 例:az network vnet create --resource-group AzureBastionRG --name AzureBastionVnet --address-prefix 10.0.0.0/16 --subnet-name AzureBastionSubnet --subnet-prefix 10.0.0.0/24 --location "Japan East" --パブリック IP アドレスを作成 az network public-ip create --resource-group [既存のRG名] --name [Public IP名] --sku Standard --location [Location] 例:az network public-ip create --resource-group AzureBastionRG --name AzureBastionPubIP --sku Standard --location "Japan East" -Azure Bastionの本体を作成(5分かかる) az network bastion create --name [Azure Bastion名] --public-ip-address [既存のPublic IP名] --resource-group [既存のRG名] --vnet-name [既存のVNET名] --location [Location] 例:az network bastion create --name MyAzBastion --public-ip-address AzureBastionPubIP --resource-group AzureBastionRG --vnet-name AzureBastionVnet --location "Japan East" **[[仮想マシン>Azureの仮想マシン#n4a5bc5a]] [#l2c9ce30] ***準備 [#m4a89be1] -事前にVNetやSubnetを作成しておく。~ ココではVNetにSubnetを追加した。 az network vnet subnet create --resource-group AzureBastionRG --name ManagementTerminalSubnet --address-prefixes 10.0.1.0/24 --vnet-name AzureBastionVnet -ルーティング~ 同一アドレス空間内では特別な設定をしなくてもサブネット間の通信が可能 ***作成 [#sf6b38d2] -[[参考>Azureの仮想マシン#s367b9db]] -例: --VMの作成 >az vm create ^ --resource-group AzureBastionRG ^ --name MgmtTerm1 ^ --location "Japan East" ^ --size Standard_F4 ^ --image Win2019Datacenter ^ --admin-user [users名] ^ --admin-password [password] ^ --vnet-name AzureBastionVnet ^ --subnet ManagementTerminalSubnet ^ --public-ip-address "" ※ &color(red){重要:--public-ip-address "" を指定し、public-ip を付与しない};。 --IPアドレス一覧~ 不要なインバウンドが空いていないかを確認する。 >az network public-ip list --output table Name ResourceGroup Location Zones Address AddressVersion AllocationMethod IdleTimeoutInMinutes ProvisioningState ----------------- --------------- ---------- ------- ------------- ---------------- ------------------ ---------------------- ------------------- AzureBastionPubIP AzureBastionRG japanwest x.x.x.x IPv4 Static 4 Succeeded *参考 [#y669c03e] **NSG [#ob02efce] -Bastion のサブネットに 適用する NSG の設定例 | Japan Azure IaaS Core Support Blog~ https://jpaztech.github.io/blog/network/bastion-nsg/ --Azure Bastion で VM と NSG を使用する~ https://docs.microsoft.com/ja-jp/azure/bastion/bastion-nsg **microsoft.com [#c95d5d26] ***Microsoft Azure [#z3ac73b5] -Azure Bastion~ https://azure.microsoft.com/ja-jp/services/azure-bastion/ -価格 - Azure Bastion~ https://azure.microsoft.com/ja-jp/pricing/details/azure-bastion/ ***Microsoft Docs [#mf8cfeac] -Azure Bastion のドキュメント~ https://docs.microsoft.com/ja-jp/azure/bastion/ --概要 > Azure Bastion とは~ https://docs.microsoft.com/ja-jp/azure/bastion/bastion-overview --Azure Bastion 用の Azure セキュリティ ベースライン~ https://docs.microsoft.com/ja-jp/azure/bastion/security-baseline --仮想マシンとの間のコピーと貼り付け:Azure Bastion~ https://docs.microsoft.com/ja-jp/azure/bastion/bastion-vm-copy-paste --クイックスタート: Azure Bastion を構成し、~ プライベート IP アドレスとブラウザーを使用して VM に接続する~ https://docs.microsoft.com/ja-jp/azure/bastion/quickstart-host-portal --チュートリアル: Azure Bastion ホストを作成する~ https://docs.microsoft.com/ja-jp/azure/bastion/tutorial-create-host-portal --Azure PowerShell を使用して Bastion ホストを作成する~ https://docs.microsoft.com/ja-jp/azure/bastion/bastion-create-host-powershell --Azure CLI を使用して Bastion ホストを作成する~ https://docs.microsoft.com/ja-jp/azure/bastion/create-host-cli **Qiita [#da0ae77f] -はじめての Azure Bastion~ https://qiita.com/M-M/items/afadd554a031375d49c8 -Azure Bastion (Preview) を試してみる~ https://qiita.com/tetsuya-ooooo/items/365ee7766c039a5033cf ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]], [[:セキュリティ]], [[:通信技術]]
