Azure BastionのSKUが増えました 新たに追加された「Developer」「Premium」の違いは？ 接続方法は？：Microsoft Azure最新機能フォローアップ（216）

Azure Bastionについては、本連載第193回などで取り上げています。今回は、Azure Bastion SKUのうち、「Developer」と、2024年5月30日に一般提供された「Premium」を紹介します。

[指崎則夫，デル・テクノロジーズ株式会社]

Microsoft Azure最新機能フォローアップ

Azure BastionはRDPとSSHのゲートウェイとして機能する仮想マシン

　「Azure Bastion」は、Microsoft Azureで管理される、RDP（リモートデスクトッププロトコル）とSSH（Secure Shell）のゲートウェイとして機能する仮想マシン（VM）インスタンスです。Azure仮想マシンにパブリックIPを割り当てたり、RDP／SSHポートを外部に公開したりせずに、Azure VMへの安全な接続を提供します。

　既に「Basic」「Standard」といったSKU（Stock Keeping Unit）が提供されています。2024年上半期に「Developer」、2024年5月30日（米国時間）に「Premium」が一般提供されました。

　これらSKUにおける機能の違いを、Microsoftのブログ（Enhance your security capabilities with Azure Bastion Premium）から読み解くと、以下の関係性が成り立つことが分かります。

Developer ＜ Basic ＜ Standard ＜ Premium

　また、Azure Bastionの価格は、SKU自体の価格差に加えて、送信データにも課金されることに注意してください。

• Azureへのサインインはもう不要！　Azure仮想マシンへの安全な接続を実現するAzure Bastionの「共有可能なリンク」が一般提供開始（本連載 第193回）

Azure Bastion Developer SKU

　Developerは無料のSKUになり、サポートする機能は下記のみです。

• 同じ仮想ネットワーク内のターゲットVM（仮想マシン）に接続
• SSHを使用したLinux VMへの接続
• RDPを使用したWindows VMへの接続
• VMオーディオ出力

　上記の機能に絞り込んでいることから、利用には以下の制限があります。

• 仮想マシンの接続ページから直接接続できるのは一度に1つのAzure VMのみ
• Azure Bastion専用サブネットは不要
• DeveloperのAzure Bastionホストは共有プールに実装

　Developerは極めて単機能であることから、テスト用途が想定されています。また、現時点では「Central US EUAP」「East US 2 EUAP」「West Central US」「North Central US」「West US」「North Europe」といった、一部のAzureリージョンに使用が限定されています。

Azure Bastion Premium SKU

　Premiumは最上位のSKUです。Standardの機能に加えて下記の機能をサポートします。

• セッションの記録
• プライベート専用のデプロイ（展開）

　これらの機能は、セキュリティ強化のため提供されています。機能の詳細については以降で解説します。

Premium SKUで使える「セッションの記録」とは

　「セッションの記録」は、既存のSKUをPremiumに切り替えるか、PremiumでAzure Bastionを新規デプロイすることで利用できます。

　Azure BastionをPremiumで新規デプロイする際に、「セッションの記録」を指定する方法は以下の画面のようになります。

　既にSKUがPremiumであれば、「セッションの記録」を指定する方法は以下の画面のようになります。

　「セッションの記録」を使うには、有効化するだけでなく、設定を追加する必要があります。先ほど記載した有効化方法を含め、具体的な手順は以下のWebサイトに記載されていますので適宜参照してください。

• Bastion セッション記録を構成する（プレビュー）（Microsoft Learn）

　まずは、ストレージアカウントを用意します。既に作成済みのストレージアカウントでも、新規作成したストレージアカウントのどちらでも利用可能です。

　続いて、「リソース共有（CORS）」を設定します。設定方法は、「ストレージ アカウント コンテナー」を構成するに記載通りですが、Azure BastionのDNS（Domain Name System）名を入力します。

https://bst-GUID形式.bastion.azure.com/

　なお、DNS名を得るには、Azure Bastion経由での接続が必要です。「セッションの記録」を有効化しているとエラーになるので注意してください。

　以下の画面のように、リソース共有（CORS）を入力し終えたら「保存」をクリックします。

　続いて、「セッションの記録」にBLOB（ストレージ）の「Shared Access Signature（SAS） URL」を登録します。

補足

　SAS URL内容を確認したい場合は、以下のWebサイトをご覧ください。

• Shared Access Signatures（SAS）を使用してAzure Storageリソースへの制限付きアクセスを許可する

　SAS URLの登録方法は、「SAS URLの追加または更新」（Microsoft Learn）に記載があります。SAS URLの生成は、アカウントキーを指定したままで設定します。このSAS URLは一時的にメモしておくことをお勧めします。SASのページを閉じてしまうと、生成したSAS URLが見えなくなってしまうからです。もしURLが分からなくなってしまった場合は、再生成が必要になります。SAS URLが必要であれば、再生成が必要です。

　SAS URLを正しく設定すると、Azure Bastionの利用ごとに「セッションの記録」が以下のように表示されます。

　セッションの記録を実際に再生した例は、以下のようになります。

Premium SKUで使える「プライベート専用のデプロイ」とは

　「プライベート専用のデプロイ」は、Azure BastionをPremiumで新規デプロイする際のみ指定できます。公式情報にも書かれていますが、既存のSKUをPremiumに切り替えても指定できませんので、ご注意ください。

　パブリックIPアドレス経由が不可となる設定ですので、インターネット経由でAzure Bastion接続はできません。この点に関して「Enhance your security capabilities with Azure Bastion Premium」から引用した下記文面の通りです。

For other customers that have on-premises machines trying to connect to Azure, utilizing Private Only Azure Bastion with ExpressRoute private peering will enable private connectivity from their on-premise machines straight to their Azure virtual machines.

　本機能を使用するためには、「プライベートIPアドレス」の有効化が必要です。

　続いて「IPベースの接続」を有効化する必要があります。これらの具体的な手順は、以下のWebサイトに記載あります。

• プライベート専用としてBastionをデプロイする（プレビュー）（Microsoft Learn）

　プライベート専用としてデプロイされたAzure BastionからAzure VMへの接続に関する具体的な手順は、以下のWebサイトに記載があります。

• 指定したプライベートIPアドレスを使用してVMに接続する（Microsoft Learn）

　「Azure Portal」からプライベートIPアドレスを指定した接続は、Azure VPN経由でも確認できました。手順は次の通りです。

　まずは、Azure VPN接続元のオンプレミス環境でAzure Portalを開きます。続いて、Azure Bastionから「接続」を選び、接続したいAzure VMのプライベートIPアドレスを入力します。その他、キーボード言語や認証情報を設定後、「接続」をクリックします。以下の画面のように、Azure VMに接続できました。

筆者紹介

指崎 則夫（さしざき のりお）

デル・テクノロジーズ株式会社勤務。2014年からMicrosoft MVPを連続して受賞。