IP ベースの接続を使用すると、指定した IP アドレスを使用して、Azure Bastion 経由でオンプレミス、Azure 以外、および Azure 仮想マシンに接続できます。 ターゲット仮想マシンの Azure Resource Manager リソース ID を使用する標準の Bastion 接続とは異なり、IP ベースの接続では、その IP アドレスによって仮想マシンがターゲットになります。 これにより、オンプレミスサーバーや他のクラウド環境で実行されている VM など、Azure リソースとして登録されていないマシンに接続できます。
アーキテクチャ
次の図は、IP ベースの接続アーキテクチャを示しています。 仮想ネットワークにデプロイされた Azure Bastion は、ExpressRoute 回線または VPN サイト間接続経由で仮想マシンの IP アドレスを使用してターゲット仮想マシンに接続します。 この接続では、ターゲット仮想マシンがパブリック IP アドレスを持っているか、Azure リソースである必要はありません。
このシナリオでは:
- Azure Bastion は、指定された IP アドレスでターゲット仮想マシンに到達するために、ExpressRoute または VPN 接続を介して RDP または SSH トラフィックをルーティングします。
- 接続は Bastion ホストを介してセキュリティで保護されるため、ターゲット仮想マシンをパブリック インターネットに公開する必要はありません。
サポートされているシナリオ
IP ベースの接続では、次のシナリオがサポートされています。
- オンプレミスの仮想マシン:ExpressRoute プライベート ピアリングまたは VPN サイト間接続を使用して、オンプレミスのデータセンターで実行されている仮想マシンに接続します。
- Azure 以外の仮想マシン: ExpressRoute または VPN 経由で Azure 仮想ネットワークから到達可能な他のクラウド環境でホストされている仮想マシンに接続します。
- Azure 仮想マシン: ポータルで仮想マシン リソースを選択するのではなく、IP アドレスを指定して Azure 仮想マシンに接続します。 これは、ターゲット仮想マシンがピアリングまたは接続された仮想ネットワーク内にある場合に便利です。
サポートされている接続方法
次の表は、IP ベースの接続で使用できる接続方法をまとめたものです。
| 接続方法 | プロトコル | 詳細情報 |
|---|---|---|
| Azure portal (ブラウザー) | RDP、SSH | IP アドレスをターゲットにして、Bastion Connect ページからブラウザーベースの RDP または SSH セッションを提供します。 詳細なガイダンスについては、「 RDP を使用して Windows VM に接続する」を参照してください。 |
| ネイティブ クライアント (Azure CLI) | RDP |
az network bastion rdp パラメーターで--target-ip-addressを使用して、Windows クライアントから RDP 接続を提供します。 接続手順については、「 Windows ネイティブ クライアントからの接続」を参照してください。 |
| ネイティブ クライアント (Azure CLI) | SSH |
az network bastion ssh パラメーターを指定し、--target-ip-addressを用いて Windows または Linux クライアントから SSH 接続を提供します。 接続手順については、「 Windows ネイティブ クライアントからの接続 」または 「Linux ネイティブ クライアントからの接続」を参照してください。 |
| ネイティブ クライアント (Azure CLI) | トンネル |
az network bastion tunnel パラメーターで--target-ip-addressを使用して IP ベースの TCP トンネルを作成します。 構成手順については、「 Bastion ネイティブ クライアントのサポートの構成」を参照してください。 |
SKU の要件
IP ベースの接続には、Azure Bastion の Standard SKU レベル以上が必要です。 Basic SKU と Developer SKU では、この機能はサポートされていません。 また、[Bastion 構成] ページで IP ベースの接続設定を有効にする必要があります。
SKU 機能の詳細については、「 適切な Azure Bastion SKU を選択する」を参照してください。 Bastion デプロイをアップグレードするには、「 SKU のアップグレード」を参照してください。
制限事項
強制トンネリング: IP ベースの接続は、VPN 経由の強制トンネリングや、ExpressRoute 回線経由で既定のルートがアドバタイズされている場合には機能しません。 Azure Bastion にはインターネットへのアクセスが必要です。 強制トンネリングまたは既定のルート アドバタイズにより、トラフィックがドロップされます。
Microsoft Entra ID 認証: MICROSOFT Entra 認証は、IP アドレス経由の RDP 接続ではサポートされていません。 Microsoft Entra認証は、ネイティブ クライアント経由の SSH 接続でサポートされています。 詳細については、「 Microsoft Entra ID 認証」を参照してください。
カスタム ポートとプロトコル: IP ベースの接続を使用してネイティブ クライアント経由で仮想マシンに接続する場合、カスタム ポートとプロトコルは現在サポートされていません。
Udr: ユーザー定義ルート (UDR) は、IP ベースの接続を含め、Bastion サブネットではサポートされていません。