1.1K Views
November 09, 24
スライド概要
- Azure Bastionで現在使えるSKU
- Bastion Developer
- 前提
- 導入
- 接続
- Bastionの補足
- オーディオ出力の有効化
- パブリックIPアドレスの削除
- Bastion Premium
- プライベート専用のデプロイ
- セッションの記録
- ピアリングされているAzure仮想ネットワークとBastionの接続性は??
- まとめ
- 参考情報
#
- Currently available SKUs in Azure Bastion
- Bastion Developer
- Assumptions
- Introduction
- Connections
- Bastion Supplement
- Enabling Audio Output
- Delete public IP address
- Bastion Premium
- Private-only Deployment
- Session Recording
- What is the connectivity between the peered Azure virtual network and Bastion?
- Summary
- References
WindowsとSC 2019、Linuxも。いまは主にS2DとWindows Admin Center。趣味は、 風景、花、サーフィンの写真撮影、ガンプラ。Microsoft MVP CDM, MCSE Private Cloud, RHCSEです。
Azure Bastion SKU wSCUGJ Microsoft MVP Cloud and Datacenter Management, Microsoft Azure 指崎 則夫, Norio Sashizaki 2024年11月09日
はじめに Itmedia誌に掲載された下記記事の補足として、ステップバイステップを中心にご説明します。 Azure BastionのSKUが増えました 新たに追加された「Developer」「Premium」の違いは? 接続方法 は? https://atmarkit.itmedia.co.jp /ait/articles /2408/29/news012.html 参考資料については、巻末のほかに各ページで引用しますので、予めご承知おきください。 2024/11/09 2
ご注意 本セッションの内容は、所属社の見解ではありません。 本セッションの内容で、正式リリース前の情報を扱っている箇所があります。 本セッションの内容は、発表時点の情報に基づくこと、ご了承ください。 2024/11/09 3
自己紹介 指崎則夫(さしざきのりお) http://sashiz.seesaa.net → http://sashiz.wordpress.com → http:// sshzk.blogspot.com http://www.slideshare.net/noriosashizaki/ https://www.docswell.com/user/sshzk https://speakerdeck.com/sashizaki https://www.facebook.com/norio.sashizaki https://mstdn.jp/web/@sshzknr @sshzk https://www.linkedin.com/in/norio-sashizaki-a4208a89/ SCUGJ運営スタッフ Microsoft MVP Cloud and Datacenter Management 2014/01~2023/06 Windows Server 2016、Windows Server 2019、 Windows Server 2022、 System Center 2019、S2D/Azure Stack HCI、 Azure Stack Hub、Windows Admin Centerなど 写真撮影 ガンプラ… 2024/11/09 4
アジェンダ Azure Bastionで現在使えるSKU Bastion Developer 前提 導入 接続 Bastionの補足 オーディオ出力の有効化 パブリックIPアドレスの削除 Bastion Premium プライベート専用のデプロイ セッションの記録 ピアリングされているAzure仮想ネットワークとBastionの接続性は?? まとめ 参考情報 2024/11/09 5
Azure Bastionで現在使えるSKU 現在、下記のSKUが用意されています。 Developer Basic Standard Premium 下記に記載がある通り、Developer以外は有償です。 Azure Bastion の価格 https://azure.microsoft.com/ja-jp/pricing/details/azure-bastion/ 送信データ量は、一月あたり最初の5GBを超えると有償です。 Azure Bastion の設計アーキテクチャ https://learn.microsoft.com/ja-jp/azure/bastion/design-architecture に記載ある通り、Basic以上はBastion用の専用サブネットをAzure Vnetに用意します。 2024/11/09 6
Azure Bastion SKUの違い(1/3) 無償であるDeveloperの機能は最も少なく、有償となるBasicから多様な機能がSKU毎にサポートされ ます。 機能の違いを下記より引用しますが、英語版で確認したほうが混乱しないです。 https://learn.microsoft.com/ja-jp/azure/bastion/bastion-overview#sku Developer Basic Standard Premium Yes Yes Yes Yes ピアリングされた仮想ネットワーク内のターゲット VM に接続する No Yes Yes Yes コンカレント接続のサポート Azure Key Vault (AKV) で Linux VM のプライベート キーにアクセスする No Yes Yes Yes No Yes Yes Yes SSH を使用した Linux VM への接続 Yes Yes Yes Yes RDP を使用した Windows VM への接続 Yes Yes Yes Yes RDP を使用した Linux VM への接続 No No Yes Yes SSH を使用した Windows VM への接続 No No Yes Yes カスタム受信ポートの指定 Azure CLI を使用して VM に接続する No No Yes Yes No No Yes Yes ホストのスケーリング No No Yes Yes ファイルのアップロードまたはダウンロード Kerberos 認証 No No Yes Yes No Yes Yes Yes 共有可能リンク IP アドレスを使用して VM に接続する No No Yes Yes No No Yes Yes VM オーディオ出力 Yes Yes Yes Yes コピー/貼り付けを無効にする (Web ベースのクライアント) No No Yes Yes セッションの記録 No No 2024/11/09 No Yes プライベート専用のデプロイ No No 機能 同じ仮想ネットワーク内のターゲット VM に接続する No Yes 7
Azure Bastion SKUの違い(2/3) 日本語版での表記を参考までに引用します。 https://learn.microsoft.com/ja-jp/azure/bastion/bastion-overview#sku 2024/11/09 8
Azure Bastion SKUの違い(3/3) 英語版での表記を参考までに引用します。 https://learn.microsoft.com/en-us/azure/bastion/bastion-overview#sku 2024/11/09 9
Bastion Developerの前提 展開にあたり前提条件がありますので、ご留意ください。 https://learn.microsoft.com/ja-jp/azure/bastion/quickstart-developer-sku#prereq Developerは、下記の機能のみ使えます。 同じ仮想ネットワーク内のターゲット VM に接続する SSH を使用した Linux VM への接続 RDP を使用した Windows VM への接続 VM オーディオ出力 サポートされるリージョンは下記とのことですが、 実際に選択できるものはEUAPがないものでした。 Central US EUAP East US 2 EUAP West Central US North Central US West US North Europe 補足)「EUAP」は、Early Updates Access Programs」の略です。 2024/11/09 10
Bastion Developerの導入(1/4) 無償で利用できるDeveloperの導入を確認します。 West USリージョンへ仮想ネットワークおよび仮想マシンを事前展開しています。 Bastionの作成から、進めます。 「基本」の「レベル」で”Developer”を選び、各パラメーターを入力していきます。 2024/11/09 11
Bastion Developerの導入(2/4) 「詳細設定」では”コピー/貼り付け”が選択済みですが、設定変更不可です。 2024/11/09 12
Bastion Developerの導入(3/4) 「タグ」は、未設定としました。 2024/11/09 13
Bastion Developerの導入(4/4) 「作成」クリック後、数分で完了します。 2024/11/09 14
Bastion Developerによる接続(1/3) https://learn.microsoft.com/ja-jp/azure/bastion/quickstart-developersku#createvmset に沿って、仮想マシンから接続を進めます。 同一仮想ネットワークに 存在するBastionだけが表 示されます。 2024/11/09 15
Bastion Developerによる接続(2/3) Developerに限らず、クリップボードへのアクセス許可について確認があります。 2024/11/09 16
Bastion Developerによる接続(3/3) 接続完了しました。 2024/11/09 17
Bastionの補足:オーディオ出力の有効化(1/3) 併せて、https://learn.microsoft.com/ja-jp/azure/bastion/quickstartdeveloper-sku#audio に沿ってオーディオ出力を有効化します。 システムトレイから、オーディオアイコンを右クリックし、「Sounds]をクリックします。 2024/11/09 18
Bastionの補足:オーディオ出力の有効化(2/3) 表示されたダイアログで「Yes]をクリックします。 2024/11/09 19
Bastionの補足:オーディオ出力の有効化(3/3) 表示されたダイアログで「Yes]をクリックします。 2024/11/09 20
Bastionの補足:パブリックIPアドレスの削除(1/7) 仮想マシンに関連づけれたパブリックIPアドレスが、不要であれば削除します。 https://learn.microsoft.com/ja-jp/azure/bastion/quickstart-developer- sku#remove に沿って削除します。 最初に仮想マシンのネットワークインターフェイスから、IPアドレスの関連付けを削除します。 「ネットワーク設定」から「ネットワークインターフェイス」をクリックします。 2024/11/09 21
Bastionの補足:パブリックIPアドレスの削除(2/7) 今回の場合、「ipconfig1」をクリックします。 2024/11/09 22
Bastionの補足:パブリックIPアドレスの削除(3/7) 「パブリックIPアドレスを関連づける」のチェックを外し、「保存」をクリックします。 2024/11/09 23
Bastionの補足:パブリックIPアドレスの削除(4/7) パブリックIPアドレスの関連づけがなくなったことを確認します。 2024/11/09 24
Bastionの補足:パブリックIPアドレスの削除(5/7) パブリックIPアドレスに移動し、該当オブジェクトをクリックします。 「削除」をクリックします。 2024/11/09 25
Bastionの補足:パブリックIPアドレスの削除(6/7) 「はい」をクリックします。 2024/11/09 26
Bastionの補足:パブリックIPアドレスの削除(7/7) 関連づけられたパブリックIPアドレスが、削除できました。 2024/11/09 27
Bastion Premiumの前提 最上級SKUであるPremiumでは、Standardに加えて下記の機能(現時点ではプレビュー)が追加され ます。 プライベート専用のデプロイ セッションの記録 2024/11/09 28
Bastion Premiumの導入(1/11) 下記の機能を含める形で、Premiumの導入を確認します。 プライベート専用のデプロイ セッションの記録 プライベート専用として Bastion をデプロイする (プレビュー) https://learn.microsoft.com/ja-jp/azure/bastion/private-only-deployment に沿って進めます。 2024/11/09 29
Bastion Premiumの導入(2/11) Bastionのデプロイを開始します。 レベルでPremiumを選択します。 仮想ネットワークで、あらかじめ用意しておいたBastionサブネットを指定します。 2024/11/09 30
Bastion Premiumの導入(3/11) 「基本」にて、プライベート専用のデプロイとするため、「IPアドレス」で”プライベートIPアドレス”を選択します。 プライベート専用のデプロイは、このタイミングでしか選択できませんので、ご注意ください! 2024/11/09 31
Bastion Premiumの導入(4/11) 「詳細設定」にて、プライベート専用のデプロイとするため、” IPベースの接続”を選択します。 セッションの記録はここで指定できます。よって後からOn/Offの変更可能です。 参考)プライベート専用として Bastion をデプロイする (プレビュー) https://learn.microsoft.com/ja-jp/azure/bastion/private-only-deployment 2024/11/09 32
Bastion Premiumの導入(5/11) 「タグ」は今回そのままとして進めます。 2024/11/09 33
Bastion Premiumの導入(6/11) デプロイのサマリーを確認後、「作成」をクリックして、デプロイ開始します。 2024/11/09 34
Bastion Premiumの導入(7/11) 当該環境では、20分ほど経過後にデプロイ完了しました。 2024/11/09 35
Bastion Premiumの導入(8/11) 作成したPremium SKUの選択、キーボードの切り替え、認証情報を入力後、接続してみます。 2024/11/09 36
Bastion Premiumの導入(9/11) プライベート接続(ExpressRouteもしくはAzure VPN)経由ではないので、接続失敗します。 2024/11/09 37
Bastion Premiumの導入(10/11) プライベート接続(Azure VPN)経由で接続します。 2024/11/09 38
Bastion Premiumの導入(11/11) プライベート接続(Azure VPN)経由で接続しにいきました。 が、「セッションの記録」に設定不足があり、接続失敗します。 このタイミングでBastionのURL(下図の赤枠)をコピーしておくと良いですね。 2024/11/09 39
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(1/14) 「セッションの記録」を有効化するには、AzureストレージアカウントのShared Access Signature (以 降、SASと称す) URLの関連付けが必要です。 ここでは、すでに作成済みのストレージアカウントを用いた設定例をご紹介します。 下記の公式手順に沿って進めます。 ストレージ アカウント コンテナーを構成する https://learn.microsoft.com/ja-jp/azure/bastion/session-recording#configure-storageaccount-container 2024/11/09 40
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(2/14) ストレージアカウントの「設定→「リソースの共有 (CORS)」をクリックします。 bstから始まるbastionホストFQDNのURLを「許可されたオリジン」に貼り付けます。 「最長有効期間」を86400としました。 上部にある「保存」をクリックします。 2024/11/09 41
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(3/14) ストレージアカウントの「データストレージ」→「コンテナー」をクリックします。 今回使用するコンテナーの3点リーダーをクリックし、「SASの生成」を選択します。 2024/11/09 42
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(4/14) 「アクセス許可」で読み取り、作成、書き込み、リストをチェックします。 2024/11/09 43
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(5/14) 「有効期限」を可能な限り長めで入力します。 2024/11/09 44
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(6/14) 「SASトークンおよびURLを生成」をクリックし、「BLOB SAS URL」をコピーします。 2024/11/09 45
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(7/14) Premiumとして作成したBastionインスタンスに移動し、「設定」→「セッションの記録」をクリックします。 上部の「SAS URLの追加または更新」をクリックします。 2024/11/09 46
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(8/14) 「SAS URLの追加または更新」にコピーしたURLを貼り付けます。 下部の「アップロード」をクリックします。 2024/11/09 47
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(9/14) 画面からエラー表示が消えます。 下図赤枠内では、過去に確認していた記録が再表示されました。 2024/11/09 48
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(10/14) プライベートでの接続を再実行して、接続の成功と、セッションの記録への追加を確認します。 2024/11/09 49
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(11/14) プライベートでの接続が成功しました。 2024/11/09 50
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(12/14) セッションの記録に、接続した記録が残りました。 2024/11/09 51
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(13/14) 「レコーディングの表示」をクリックして、記録を再生してみます。 2024/11/09 52
Bastion Premiumの導入 - Shared Access Signatureと の関連づけ(14/14) 「設定」→「構成」をクリックすれば、セッションの記録をOn/Off変更可能です。 2024/11/09 53
ピアリングされているAzure仮想ネットワークと Bastionの接続性はどうなる?(1/5) Azureリージョンに配置した各Bastion skuを図示しました。 Basic East US プライベート 専用でデプロ イした Premium Japan East Developer Azure オンプレミス 2024/11/09 West US 54
ピアリングされているAzure仮想ネットワークと Bastionの関連は?(2/5) 前ページの構成で接続確認してみた結果は、下記の通り。 接続先のAzure VM West USにあるAzure VM BastionのSKUと配置 リージョン West USにある Developer SKU East USにあるBasic SKU Japan Eastにある プライベート専用でデ プロイしたPremium SKU East USにあるAzure VM Japan Eastにある Azure VM 利用可能 不可 不可 利用可能 (ピアリング経由) 利用可能 利用可能 (ピアリング経由) 不可 利用可能 (ピアリング経由) 利用可能 (Azure VPN or ExpressRoute経由) 2024/11/09 55
ピアリングされているAzure仮想ネットワークと Bastionの関連は?(3/5) West USリージョンにあるAzure VM 2024/11/09 56
ピアリングされているAzure仮想ネットワークと Bastionの関連は?(4/5) East USリージョンにあるAzure VM 2024/11/09 57
ピアリングされているAzure仮想ネットワークと Bastionの関連は?(5/5) Japan EastリージョンにあるAzure VM 2024/11/09 58
まとめ Azure Bastion SKUのSKUは、Developer、Basic、Standard、Premiumの4つになりました。 Developer SKUは無償ですが、同じ仮想ネットワーク内のVM接続に限定されます。 SSH、RDP、オーディオ出力は可能です Premium SKUは、 Standardに加えてプライベート専用デプロイとセッション記録が追加されます。 セッションの記録 デプロイ後も設定変更可能です。 ストレージアカウントと連携するための設定が必要です。 プライベート専用デプロイは、Bastionのデプロイ時のみの指定です。 デプロイ後は、設定できません。 プライベート専用デプロイですので、Azure VPNかExpressRoute経由での接続に限定されます。 2024/11/09 59
参考情報(1/2) Azure Bastion の価格 https://azure.microsoft.com/ja-jp/pricing/details/azure-bastion/ Azure Bastion の設計アーキテクチャ https://learn.microsoft.com/ja-jp/azure/bastion/design-architecture Azure Bastion とは : SKU https://learn.microsoft.com/ja-jp/azure/bastion/bastion-overview#sku https://learn.microsoft.com/en-us/azure/bastion/bastion-overview#sku クイックスタート: Azure Bastion をデプロイする - Developer SKU : 前提条件 https://learn.microsoft.com/ja-jp/azure/bastion/quickstart-developer-sku#prereq クイックスタート: Azure Bastion をデプロイする - Developer SKU : Bastion のデプロイと VM への接続 https://learn.microsoft.com/ja-jp/azure/bastion/quickstart-developersku#createvmset クイックスタート: Azure Bastion をデプロイする - Developer SKU : オーディオ出力を有効にするには https://learn.microsoft.com/ja-jp/azure/bastion/quickstart-developer-sku#audio クイックスタート: Azure Bastion をデプロイする - Developer SKU : VM のパブリック IP アドレスを削除 する https://learn.microsoft.com/ja-jp/azure/bastion/quickstart-developer-sku#remove 2024/11/09 60
参考情報(2/2) プライベート専用として Bastion をデプロイする (プレビュー) https://learn.microsoft.com/ja-jp/azure/bastion/private-only-deployment 2024/11/09 61