Azure Bastionが11月の頭ぐらいにGA(General Availability) されたので、Azure Bastionを
紹介してみたいと思います。
Azure Bastionが11月頭ぐらいにGA(General Availability)されたので、案件などで提案できるサービスでは?と思いますので、紹介してみたいと思います。
これまでAzure環境とオンプレミス環境をVPNやER(Express Route)で構成していない場合、Azure VMにRDPやSSHでアクセスするにはAzure VMにパブリックIPを付与するか、踏み台用のAzure VMを別途展開して、そのVMを経由してアクセスしていたと思います。
Azure Bastionは安全にAzure VMにアクセスできる機能を提供するサービスとなります。
ちなみにBastionとは、砦とか要塞って意味です。
概要
サービス名
Azure Bastionサービス
機能
- Azureポータル上からAzure VMに対して直接RDP/SSH接続できるPaaSサービス
- 接続するAzure VMにパブリックIPは不要
構成概要図
- Azure Bationホストを仮想ネットワーク上に展開
- 同じ仮想ネットワーク上に存在する仮想マシンに対して、Azure Bastionを通して接続できる機能を提供
- HTML5対応のブラウザから接続可能
料金
- 利用料: ¥10.64/時間
- アウトバウンド転送データ(Zone2)
- 最初の5GB/月: 無料
- 5GB-10TB/月: ¥6.72/GB
- 10TB-50TB/月: ¥4.7600/GB
特徴
- パブリックIP不要で直接RDP/SSH接続が可能
→ Azure Bastion経由でAzure VMに接続する場合は、Azure VMにパブリックIPを付与する必要がない - セキュリティリスクの軽減
→ 外部にRDP/SSHのポートを公開しないので、ポートスキャンから保護され、セキュリティリスクの軽減に繋がる - 踏み台サーバー不要
→ サービス用VMに接続するため踏み台用VMを別途準備する構成にしていたが、要件によっては今後不要になる?
所感
良い点
- Azure VMにエージェントやアプリのインストール不要
- 小規模な環境で、たまにのメンテナンス時にだけアクセスする等の場合に有効
- メンテナンス・踏み台用サーバーのセキュリティリスクが軽減される
- ポータル上から簡単に接続でき、HTML5ベースの画面が表示されるが、描画の遅延などもなく操作性は良い
- RDP、SSHクライアントが不要
- 踏み台用途のAzure VMを展開する必要がない
課題
- テキストのコピペは可能だが、ファイルのコピペは不可
→ ファイルの受渡しが出来ないので、方法について考える必要がある
※ロードマップには含まれているので、今後の対応に期待!! - サービスの立ち上げに時間がかかる
→ 5分~15分ぐらい - 利用料金が高い?
→ コスト分析を確認すると、Azure Bationホストを作成した時点から課金が発生している様子
※AzureVMに接続している時間だけ課金されている訳ではなさそう - Azure VMの様に必要な時だけ起動させることが出来ないので、サービスを削除しない限り常に課金が発生している
¥10.64/時間 × 744時間 = 約¥7,916 + アウトバンドの料金 が月々かかる
※企業で利用すると考えるとそこまで高い訳ではない? - Windowsに接続した時、壁紙が黒色で表示される
→ リモートデスクトップ側で制御されている
備考・注意点
- 現在は、以下のリージョンのみで利用可能
- アメリカ西部・東部・中南部
- 西ヨーロッパ
- オーストラリア東部
- 東日本
Azure Bastionの作成
必要となるリソース
- Azure Bastion
- 仮想ネットワーク
サービス作成の手順
- 構築手順は以下の公式サイトを確認下さい
→ Azure Bastion ホストを作成する
サービス作成のポイント
- Azure Bastionホストを展開する仮想ネットワークに、以下のリソースを作成する
- Azure Bastionホスト用のサブネット(以下の要件)
- サブネット名: AzureBastionSubnet ※名前は固定
- プレフィックス: /27 で作成
- Azure Bastionホスト用のパブリックIPアドレス
- Azure Bastionホスト用のサブネット(以下の要件)
利用時の画像
接続する際の画像
RDP接続した際の画像
