いわゆる踏み台サーバーをマネージドサービスのような形で利用できるAzure Bastion、サービス開始直後に一度使ったくらいで最近触ってなかったのですが、使ってみたらずいぶん導入が簡単になっていました。
構成方法
仮想マシンから「Bastion」を選ぶと、既定値を利用して…のオプションがあります。
これをクリックすると、何かを入力することもなく、すぐにAzure Bastionの作成が始まります。*1
Azure Bastionでは指定した名前の仮想ネットワークが必要になるのですが、それも自動的に作ってくれます。
あとは出来上がりを待ちます。
利用方法
仮想マシンの接続でBastionを選びます。
ユーザー名とパスワードを入力して接続します。
あとはブラウザで普通に操作ができます。
注意点
NSGでのRDPルールとの干渉
Azure Bastionを使うシナリオではNSGでRDPポートの許可や拒否をする事は少ないと思いますが、今回、Just in time VM accessを有効にした後でAzure Bastionを構成したため、NSG上のRDP拒否ルールに引っ掛かりました。
拒否ルールや許可ルールを消してもよかったのですが、今回は明示的にAzure Bastionのネットワークから仮想マシンのネットワークへのRDP接続を許可するルールを作成して対応しました。
AD DS上のユーザーを使った認証
Azure Bastionではブラウザ上でユーザー名とパスワードを入力して認証するのですが、ドメインの指定が出来ませんでした。
以下のいずれのパターンでも認証エラーとなり接続出来ませんでした。
- domain\user
- user@domain.local
Azure Bastion側でkerberosオプション(2022/6/9時点でプレビュー)があったので、これを有効にしたものの結果は変わりませんでした。
やり方があるのかもしれませんが今日は一旦ドメインユーザーでの接続は諦めました。
なお、試した限り、ドメインコントローラーには接続出来ました。正しユーザー名の表記にはドメイン名はつけず、単に「administrator」などとします。
Azure BastionでAD DS認証のやり方(2022/6/21追記)
やり方がわかったので別記事にしました。
オプション変更時の所要時間
前述のkerberos認証のオプションを変更したのですが、Bastion環境全体のアップデートがかかり、10分ほどかかりました*2
単なるオプション変更だと思って変更すると思わぬダウンタイムが発生するのでご注意下さい。
おわりに
今回は、研修中にリモートデスクトップでうまく接続出来ない受講者に対して、緊急措置的に使ったのであまり細かいところまでは触れなかったのですが、導入の難易度がグッと下がっていた事が好印象でした。
また別の機会に、BasicとStandardの機能差や、AD DS環境での利用など、もう少し時間をとって検証してみたいと思います。
舟越 匠(日本ビジネスシステムズ株式会社)
人材開発部に所属。社内向けの技術研修をメインにしつつ、JBS Tech BlogやMS認定資格取得の推進役もやっています。資格としてはAzure Solutions Architect Expertを所持。好きなサービスはPower Automate / Logic Apps。好きなアーティストはZABADAK。
担当記事一覧