VNETピアリングを経由出来るようになったAzure BastionとNetworkWatcherトポロジを使ってみた

2021.05.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

いわさです。

Azure には Azure Bastion というマネージドな踏み台サービスがあります。
先週のアップデートで、VNETピアリング構成されている場合に同一Bastionサービスでリモート接続が可能になりました。
本日は確認をかねて、VNETピアリング構成でのAzure Bastionと、Network Watcherのトポロジという機能を使ってみました。

Azure Bastion とは

Azure Bastion は、ブラウザーと Azure portal を使用して仮想マシンに接続できるようにするサービスで、ユーザーがデプロイします。
Azure Bastion サービスは、お使いの仮想ネットワーク内でプロビジョニングする、フル プラットフォーム マネージド PaaS サービスです。
これにより、TLS 経由で Azure portal から直接、仮想マシンに安全かつシームレスに RDP/SSH 接続できます。
Azure Bastion 経由で接続する場合、仮想マシンにパブリック IP アドレス、エージェント、クライアント ソフトウェアはいずれも不要です。

要するに踏み台なのですが、マネージドであり、かつ利用時にはBastionを意識することがほぼありません。
プライベートIPアドレスで接続する本当の踏み台なので、接続先仮想マシン上へのエージェントインストールやアウトバウンド通信も不要です。

ただし、Bastion単体で利用料金発生します。

検証用のリソース群を作成

今回は、VNETを2つ作成し片方のVNETでBastionを構成し、もう片方のVNETに仮想マシンをデプロイします。

VNET1とVNET2を作成します。
作成時のオプションでAzure Bastionを有効化します。(VNET1のみ)
ちなみに、Bastionの有効化は後からでも出来ます。

VNET2つが作成出来たら、相互にピアリング接続を行います。

さて、VNETピアリングが作成出来たら、VNET2に仮想マシンを作成します。
この仮想マシンに接続するのが本日のゴールとなります。

Bastion経由でリモートアクセスしたいので、パブリックIPは付与しません。
また、VNETをまたぐことが目的なので仮想ネットワークはVNET2を選択します。

とても便利な Network Watcher トポロジ

確認のためのリソースが構成出来ました。
Azureではリソース構成を可視化する機能があります。
本日はネットワーク構成の可視化である、Network Watcherのトポロジという機能を使ってみます。

確認出来ましたね。
VNETが2つありピアリング接続されています。
VNET1の配下にはBastion用のサブネットが作成されており、VNET2配下には仮想マシンがデプロイされています。

接続確認

では仮想マシンに接続してみたいと思います。
Azureポータル上でブラウザを使ってリモートアクセスすることが可能です。

接続したい仮想マシンの詳細画面から"接続"操作を行います。
再確認ですが、パブリックIPアドレスは付与されていませんね。

接続方法にBastionを選択します。

接続が出来ました。
Bastionを意識するのは接続方法を選択するところだけです。

なお、VNETピアリングが切断されるとVNET2にはBastionサービスがデプロイされていないのでリモート接続出来なくなります。

まとめ

本日はAzure Bastionとトポロジを触ってみました。
管理が煩雑になりがちが踏み台サーバーですがマネージドサービスとして提供されていると使いやすいですね。
また、トポロジを使ったネットワーク構成の可視化も是非使って頂ければと思います。