VNETピアリングを経由出来るようになったAzure BastionとNetworkWatcherトポロジを使ってみた
いわさです。
Azure には Azure Bastion というマネージドな踏み台サービスがあります。
先週のアップデートで、VNETピアリング構成されている場合に同一Bastionサービスでリモート接続が可能になりました。
本日は確認をかねて、VNETピアリング構成でのAzure Bastionと、Network Watcherのトポロジという機能を使ってみました。
Azure Bastion とは
Azure Bastion は、ブラウザーと Azure portal を使用して仮想マシンに接続できるようにするサービスで、ユーザーがデプロイします。
Azure Bastion サービスは、お使いの仮想ネットワーク内でプロビジョニングする、フル プラットフォーム マネージド PaaS サービスです。
これにより、TLS 経由で Azure portal から直接、仮想マシンに安全かつシームレスに RDP/SSH 接続できます。
Azure Bastion 経由で接続する場合、仮想マシンにパブリック IP アドレス、エージェント、クライアント ソフトウェアはいずれも不要です。
要するに踏み台なのですが、マネージドであり、かつ利用時にはBastionを意識することがほぼありません。
プライベートIPアドレスで接続する本当の踏み台なので、接続先仮想マシン上へのエージェントインストールやアウトバウンド通信も不要です。
ただし、Bastion単体で利用料金発生します。
検証用のリソース群を作成
今回は、VNETを2つ作成し片方のVNETでBastionを構成し、もう片方のVNETに仮想マシンをデプロイします。
VNET1とVNET2を作成します。
作成時のオプションでAzure Bastionを有効化します。(VNET1のみ)
ちなみに、Bastionの有効化は後からでも出来ます。
VNET2つが作成出来たら、相互にピアリング接続を行います。
さて、VNETピアリングが作成出来たら、VNET2に仮想マシンを作成します。
この仮想マシンに接続するのが本日のゴールとなります。
Bastion経由でリモートアクセスしたいので、パブリックIPは付与しません。
また、VNETをまたぐことが目的なので仮想ネットワークはVNET2を選択します。
とても便利な Network Watcher トポロジ
確認のためのリソースが構成出来ました。
Azureではリソース構成を可視化する機能があります。
本日はネットワーク構成の可視化である、Network Watcherのトポロジという機能を使ってみます。
確認出来ましたね。
VNETが2つありピアリング接続されています。
VNET1の配下にはBastion用のサブネットが作成されており、VNET2配下には仮想マシンがデプロイされています。
接続確認
では仮想マシンに接続してみたいと思います。
Azureポータル上でブラウザを使ってリモートアクセスすることが可能です。
接続したい仮想マシンの詳細画面から"接続"操作を行います。
再確認ですが、パブリックIPアドレスは付与されていませんね。
接続方法にBastionを選択します。
接続が出来ました。
Bastionを意識するのは接続方法を選択するところだけです。
なお、VNETピアリングが切断されるとVNET2にはBastionサービスがデプロイされていないのでリモート接続出来なくなります。
まとめ
本日はAzure Bastionとトポロジを触ってみました。
管理が煩雑になりがちが踏み台サーバーですがマネージドサービスとして提供されていると使いやすいですね。
また、トポロジを使ったネットワーク構成の可視化も是非使って頂ければと思います。
