Azure Bastionを構築して使ってみた

 

Azure Bastionは、Azure Portal(ブラウザ経由やAPP経由)経由で、各仮想マシンにセキュアなSSHやRDP接続を提供してくれるサービスになります。

日本だと東日本リージョンで利用可能です。

今回はAzure Bastionを新規構築し実際に使ってみました。その際の手順や使ってみた感じを記載します。

https://azure.microsoft.com/ja-jp/services/azure-bastion/

1 .前提として必要になるもの

Azure Bastionを設定するにあたって、前提として必要なものがあります。

Azure Bastion専用のサブネット(/27以上で必要になります。)
Azure Bastionサブネット用のネットワークセキュリティグループ
・パブリックIP

2.事前準備をする

作成手順は、下記サイトに記載されいます。こちらをもとに作成を進めていきます。

https://docs.microsoft.com/ja-jp/azure/bastion/bastion-create-host-portal

1)NSGを作成する。

Azure BastionのSubnetに割り当てる為の、NSGを作成します。必要になるポリシーは下記の通りになります。

受信側は、Gateway Managerとインターネットからのポート443での許可設定。送信側は、Azure Cloudのポート443の許可設定とV-NETへの3389、22での許可設定、計4つポリシーが必要になります。

注)下記サイトにも記載がありますが、接続する可能マシン側にも、Azure BastionのSubnetからの接続許可が別途必要です。

https://docs.microsoft.com/ja-jp/azure/bastion/bastion-nsg

2)Subnetを作成する。

Azure Bastion用のSubnetを作成します。注意点としてはSubnetの名前が、AzureBastionSubnetである必要があります。

#PowerShell
#Subnetを作成する

$rgName =“リソースグループ名”
$VnetName =“仮想ネットワーク名”
$subnetname1 =“AzureBastionSubnet”
$SubAddress =“XXX.XXX.XXX.XXX/27”
$nsgName =“先ほど作成したNSG名”

$nsg = get-AzNetworkSecurityGroup `
-Name “$nsgName” `
-ResourceGroupName $rgName$virtualNetwork = get-AzVirtualNetwork `
-Name $VnetName `
-ResourceGroupName $rgName

Add-AzVirtualNetworkSubnetConfig `
-Name $subnetname1 `
-AddressPrefix $SubAddress `
-VirtualNetwork $virtualNetwork `
-NetworkSecurityGroup $nsg

$virtualNetwork | Set-AzVirtualNetwork

3)パブリックIPを作成する。

Azure Bastion用のパブリックIPを作成します。SKUはStandardである必要があります。

#PowerShell
#PublicIPを作成する

$pubipname =“作成するパブリックIPの名”
$rgName =“リソースグループ名”
$location =“japaneast”
$AlloctMethod =“static”
$SKU =“Standard”

New-AzPublicIpAddress `
-Name $pubipname `
-ResourceGroupName $rgName `
-Location $location `
-AllocationMethod $AlloctMethod `
-SKU $SKU

3. Azure Bastionのセットアップを行う

Azure Bastionは日本語では要塞となります。Azure Portalからリソースの作成を選択し、要塞(Azure Bastion)と入力し検索します。

そうるすと以下の画面が表示されるのでクリックします。

下記画面が表示されるので、作成をクリックします。

以下の画面が表示されますので、事前に準備したものを選択します。インスタンス名等を入力します。入力したら確認及び作成を選択し、作成します。

以上で作成は終了です。

4. Azure Bastionで接続を行う

接続する、Virtual Machineを選択します。そうると左側のメニューに要塞(Azure Bastion)が表示されているので選択します。

ユーザー名、パスワードを入力し接続するをクリックします。

ブラウザ上で、仮想マシンの画面が表示されます。

5. Azure Bastionを使ってみて

非常に動作としては軽い感じに見えます。SSH接続で少し触った感じだと、シリアルコンソールより反応が良いです。
ブラウザベースでアクセス可能ですし、サイトに記載があるようにJump Box等を利用して外部からの接続を制限している場合等では、一度利用を試してみても良いかもしれません。

なお、注意点としては、SSHは22番ポート、RDPは3389番ポートしかサポートされていません。
Azureのサービス側でセキュリティを持ってくれているのでそんなに気にする必要はないと思いますが、仮想マシン側で変更したの忘れていると繋がらないです。