AzureBastionsメモ
自分用メモ - Azure Bastionsで遊んでみる。
ドキュメント
- 公式ドキュメントはここ
- 公式ドキュメントはプレビューになっているが、Azure Portal上はプレビュー取れた?
- 公式ドキュメントはプレビューになっているが、Azure Portal上はプレビュー取れた?
- 料金は基本料金+送信データ転送量。
https://azure.microsoft.com/ja-jp/pricing/details/azure-bastion/
本記事記載時点(2019-11-03)で東日本リージョンだと、基本料金は10.64円/時間。月額だと7700円弱くらい。
+送信料金(最初5GBまでは無料)
作ってみる
リソースの作成
- VNetに「
AzureBastionSubnet
」という名前で/27
より広いサブネットが必須。 - 5分くらいでデプロイ完了
Bastionsの設定
- 設定できる項目はほとんどなし。
- 接続中のセッションが見えるくらい。
- Bastionsに接続できる元(IPやユーザ)の制御は今のところない様子。
- 接続中のセッションが見えるくらい。
NSG
- AzureBastionSubnetにつけるNSGには以下が必須。
- コントロール プレーンの接続: 443 での GatewayManager からの受信
- 診断ログとその他: 443 での AzureCloud への送信。 ⇒AzureCloud.JapanEastはダメだった。
- ターゲット VM: 3389 および 22 に対する VirtualNetwork への送信 ⇒ 明示的に許可する必要があった。
- このNSGで接続元IP制御はできない。(特定の拠点からのみBastions経由のアクセスを許す、みたいなことはできない)
- あくまでAzurePortal経由での接続なのでBastions Hostへのアクセス元は実際の端末になるわけではない様子。
⇒GatewayManagerからの接続になる?
- あくまでAzurePortal経由での接続なのでBastions Hostへのアクセス元は実際の端末になるわけではない様子。