次の方法で共有

Azure CLIを使用して Bastion をデプロイする

この記事では、CLI を使用してAzure Bastionをデプロイする方法について説明します。 Azure Bastionは PaaS サービスであり、VM にインストールして自分で管理する要塞ホストではありません。 Azure Bastionデプロイは、サブスクリプション/アカウントまたは仮想マシンごとではなく、仮想ネットワークごとに行われます。 Azure Bastionの詳細については、「Azure Bastionとは

Bastion を仮想ネットワークにデプロイすると、プライベート IP アドレスを使用して VM に接続できるようになります。 このシームレスな RDP/SSH エクスペリエンスは、同じ仮想ネットワーク内のすべての VM で使用できます。 VM のパブリック IP アドレスは、他の用途に必要でなければ削除してかまいません。

Azure Bastion アーキテクチャを示すダイアグラムです。

この記事では、仮想ネットワークを作成し (まだお持ちでない場合)、CLI を使用してAzure Bastionデプロイし、VM に接続します。 次の他の方法を使用して Bastion をデプロイすることもできます。

注記

Azure プライベート DNS ゾーンでのAzure Bastionの使用がサポートされています。 ただし、制限があります。 詳細については、Azure Bastion FAQ を参照してください。

作業を開始する前に

Azure サブスクリプション

Azure サブスクリプションがあることを確認します。 Azureサブスクリプションをまだお持ちでない場合は、MSDN サブスクライバー特典をアクティブにするか、無料アカウントにサインアップできます。

Azure CLI

この記事では、Azure CLIを使用します。 コマンドを実行するには、Azure Cloud Shellを使用できます。 Azure Cloud Shellは、この記事の手順を実行するために使用できる無料の対話型シェルです。 一般的なAzure ツールがプレインストールされ、アカウントで使用するように構成されています。

Cloud Shellを開くには、コード ブロックの右上隅から Try を選択します。 https://shell.azure.comに移動し、左側のドロップダウンを切り替えて Bash または PowerShell を反映することで、別のブラウザー タブでCloud Shellを起動することもできます。 Copy を選択してコード ブロックをコピーし、Cloud Shellに貼り付けて Enter キーを押して実行します。

Bastion をデプロイする

このセクションは、Azure CLIを使用してAzure Bastionをデプロイする際に役立ちます。

重要

時間単位の料金は、送信データの使用量に関係なく、Bastion がデプロイされた時点から発生します。 詳しくは、「価格」および「SKU」を参照してください。 チュートリアルまたはテストの一環で Bastion をデプロイする場合は、使用終了後に該当のリソースを削除することをお勧めします。

  1. 仮想ネットワークがまだない場合は、az group create と az network vnet create を使用して、リソース グループと仮想ネットワークを作成します。

    az group create --name TestRG1 --location eastus

    az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24

  2. az network vnet subnet create を使用して、Bastion のデプロイ先となるサブネットを作成します。 作成するサブネットの名前は「AzureBastionSubnet」としてください。 このサブネットは、Azure Bastion リソース専用に予約されます。 サブネットに付けた名前の値が AzureBastionSubnet になっていないと、Bastion がデプロイされません。

    • 作成できる最小のサブネット AzureBastionSubnet サイズは /26 です。 ホストのスケーリングに対応するために、/26 以上のサイズを作成することをお勧めします。
      • スケーリングの詳細については、ホスト スケーリングの構成設定に関する記事を参照してください。
      • 設定の詳細については、AzureBastionSubnet の構成設定に関する記事を参照してください。
    • ルート テーブルまたは委任なしで AzureBastionSubnet を作成します。
    • AzureBastionSubnet でネットワーク セキュリティ グループを使用する場合、NSG の使用に関する記事を参照してください。
    az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26

  3. Azure Bastionのパブリック IP アドレスを作成します。 このパブリック IP は (ポート 443 経由で) RDP/SSH がアクセスされる Bastion リソースのパブリック IP アドレスです。 パブリック IP アドレスは、作成している Bastion リソースと同じリージョン内にある必要があります。 このため、指定する 値には特に注意してください。

    az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus

  4. az network bastion create を使用して、仮想ネットワーク用の新しいAzure Bastion リソースを作成します。 Bastion リソースを作成してデプロイするには、約 10 分かかります。

    次の例では、 Basic SKU を使用して Bastion をデプロイします。 他の SKU を使用してデプロイすることもできます。 Bastion のデプロイでサポートされる機能は、SKU によって決まります。 コマンドで SKU を指定しなかった場合の SKU の既定値は Standard になります。 詳細については、Bastion SKU に関する記事を参照してください。

    az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic

VM への接続

仮想ネットワークに VM がまだない場合は、Quickstart: Windows VM の作成 または Quickstart: Linux VM の作成

次の記事または次のセクションの手順のいずれかを使用すると、VM への接続に役立ちます。 一部の接続の種類では、Bastion の Standard 以上の SKU が必要です。

  • Windows VM に接続する
    • リモートデスクトッププロトコル(RDP)
    • SSH
  • Linux VM に接続する
    • SSH
  • スケール セットへの接続
  • IP アドレスを使用して接続する
  • ネイティブ クライアントから接続する

ポータルを使用して接続する

次の手順では、Azure ポータルを使用した 1 種類の接続について説明します。

  1. Azure ポータルで、接続先の仮想マシンに移動します。

  2. ペインの上部で、[接続][Bastion] を選び、[Bastion] ペインに移動します。 左側のメニューを使って、[Bastion] ペインに移動することもできます。

  3. [Bastion] ペインで使用できるオプションは、Bastion SKU によって異なります。

    Standard 以上の SKU を使用している場合は、使用可能な接続プロトコルとポート オプションが増えます。 [接続設定] を展開すると、それらのオプションが表示されます。 通常、VM に対して異なる設定を構成しない限り、RDP とポート 3389 を使用してWindows コンピューターに接続します。 SSH とポート 22 を使って、Linux コンピューターに接続します。

    Basic SKU を使用している場合は、RDP とポート 3389 を使用してWindows コンピューターに接続します。 また、Basic SKU の場合、SSH とポート 22 を使って Linux コンピューターに接続します。 ポート番号やプロトコルを変更するオプションはありません。 ただし、RDP のキーボード言語は、このペインの [接続設定] を展開することで変更できます。

    Developer SKU を使用している場合、Bastion は初めて接続するときに自動的にデプロイされます。 RDP とポート 3389 を使用してWindows コンピューターに接続するか、SSH とポート 22 を使用して Linux コンピューターに接続します。 Developer SKU は共有プール アーキテクチャを使用し、 一部のリージョンでは追加料金なしで利用できます。

  4. [認証の種類] には、ドロップダウン リストから認証の種類を選びます。 プロトコルによって、利用できる認証の種類が決まります。 必要な認証の値を指定します。

  5. 新しいブラウザー タブで VM セッションを開くには、[新しいブラウザー タブで開く] を選択したままにします。

  6. [接続] を選択して VM に接続します。

  7. ポート 443 と Bastion サービスを使用して、Azure ポータル (HTML5 経由) で仮想マシンへの接続が直接開かれることを確認します。

VM に接続しているときにキーボード ショートカット キーを使うと、ローカル コンピューターのショートカット キーとは同じ動作にならないことがあります。 たとえば、Windows クライアントからWindows VM に接続している場合、Ctrl + Alt + End は、ローカル コンピューターの Ctrl + Alt + Delete のキーボード ショートカットです。 Windows VM に接続しているときに Mac からこれを行うには、キーボード ショートカットは fn + control + option + delete です。

オーディオ出力を有効にするには

VM のリモートオーディオ出力を有効にすることができます。 この設定が自動的に有効になる VM もありますが、オーディオ設定を手動で有効にすることが必要なものもあります。 設定は VM 自体で変更されます。 Bastion のデプロイでは、リモート オーディオ出力を有効にするための特別な構成設定は必要ありません。 現時点では、オーディオ入力はサポートされていません。

注記

オーディオ出力には、インターネット接続の帯域幅が使用されます。

Windows VM でリモート オーディオ出力を有効にするには:

  1. VM に接続すると、ツール バーの右下隅に [オーディオ] ボタンが表示されます。 [オーディオ] ボタンを右クリックし、[サウンド] を選びます。
  2. Windows Audio Service を有効にするかどうかを確認するポップアップ メッセージが表示されます。 [はい] を選択します。 [サウンド] 設定で、より多くのオーディオ オプションを構成できます。
  3. サウンド出力を確認するには、ツールバーの [オーディオ] ボタンの上にカーソルを合わせます。

VM のパブリック IP アドレスを削除する

Azure Bastionは、パブリック IP アドレスを使用してクライアント VM に接続しません。 VM ではパブリック IP アドレスを他のことで必要としない場合、削除してかまいません。 Azure VM からパブリック IP アドレスを分散するを参照してください。

次のステップ

  • Azure Bastion サブネットでネットワーク セキュリティ グループを使用するには、「 NSG での作業を参照してください。
  • VNet ピアリングを理解するには、VNet ピアリングと Azure Bastion を参照してください。
  • Last updated on