Windows Server ＆ Cloud User Group Japan 第42回 勉強会 セッション動画「Azure Bastion SKU」を公開します。

 

Windows Server ＆ Cloud User Group Japan 第42回 勉強会 セッション資料「Azure Bastion SKU」を公開します。

Azure Bastion SKU by @sshzk

Azure Bastion Developer SKUの前提

Azure Bastion Developer SKUは、Azure Bastionの中でも最小の機能となっています。

クイックスタート: Azure Bastion をデプロイする - Developer SKU →前提

AzureロールやAzure VMの受信ポートについて上記で言及されています。その上で私的に二つピックアップします。

一つ目は、Azure VMと同じ仮想ネットワークを使うことです。Basic以上のようにBastion専用のサブネットが不要な代わりにこの前提があります。概念図は、下記にあるので参考にしてください。

デプロイ - Developer SKU

二つ目は、本稿執筆時点でデプロイ可能なリージョンが限定的なことです。この点、デプロイして気づきました。現状、下記のリージョンに制限されているのでご注意ください。下記のリージョンにAzure VMがあれば使えるという感じですね。

• 米国中部 EUAP
• 米国東部 2 EUAP
• 米国中西部
• 米国中北部
• 米国西部
• 北ヨーロッパ

Azure Bastion PremiumがPublic Previewだそうです。

Public preview: Azure Bastion Premium

を見つけました。Standardとの違いは、下記の二つです（上記ページから文面引用の上、翻訳）。

• セッション記録Bastion経由で接続されているすべての仮想マシンセッションを記録します。
• プライベート エンドポイント経由で Bastion に接続します。この設定の構成について説明します。

念の為、すべてのBastion SKUが載っているページは無いかと探したところ、まず下記がありました。が、Premiumは未掲載です。

Plan and implement remote access to public endpoints, Azure Bastion and just-in-time (JIT) virtual machine (VM) access
※日本語版だと表の一部が「番号」になっているため、英語版のリンク貼ってます。

さらにあたってみたところ、Premiumを含むBastion SKUがありました。

About Bastion configuration settings #SKUs
※日本語版だと表の一部が「番号」になっているため、英語版のリンク貼ってます。

Bastionでキーボード言語が選べるようになっていました

Bastionで仮想マシンに接続しようとした際、キーボード言語が選べるようになっていました。

これは、助かります。

Public preview: Azure Bastion now supports file transfer via the native client だそうです その2

Public preview: Azure Bastion now supports file transfer via the native client だそうです その1 の続き

Upload or download files using the native client (Preview)

で

• RDP でのコピー＆ペースト
• SCPによるファイルコピー

という感じでやり方が二つありました。

色々調べたところ、前提条件を見落としていたと判明。

Connect to a VM using a native client (Preview)

の

Configure Bastion

を見ると、Bastion の SKU は、Standard でないとダメ。そのうえで、[ネイティブ クライアント サポート (プレビュー)]にチェックをいれて有効化します。
※ちゃんと読みましょう。。。

Standard SKU の価格は、こちらで確認できます。

Bastion の SKU は、Standard に切り替えて、[ネイティブ クライアント サポート (プレビュー)]にチェックをいれて有効化しました。

改めて

• RDP でのコピー＆ペースト
• SCPによるファイルコピー

にトライします。

が、結論から申し上げると、設定不足等がいまだ不明ですがうまくいきません。

RDP でのコピー＆ペースト

下記のよぅなログ出力してます。

リモートデスクトップ接続しにいこうとしていますが、

結局うまくいかず、タイムアウト。

これを三回ほど繰り返しましたが、ダメでした。

SCPによるファイルコピー

トンネルをはります。

scp したところ、下記のログを出力してしまいます。

で、scp も失敗しました。

で、ssh はどうなのかと思ったら、エラー。メッセージを読むと ssh 拡張を追加しないとダメなようです。

Azure CLI で拡張機能を使用および管理する に基づいて、拡張の有無を確認しました。

やはり入っていないのでインストールします。

ssh をリトライするもログからエラーが見て取れる感じで、つながらず。あえなく中断。

azure-cli-2.34.1.msi をいれているのですが、なぜだ。。。

もう少し調べてみます。

補足

kogelog さんが、2021年11月に確認されたブログ記事は、下記です。こちらはうまくいっていますね。

Azure Bastion のネイティブ クライアント接続がパブリック プレビューになったので試してみました

Public preview: Azure Bastion now supports file transfer via the native client だそうです その1

Public preview: Azure Bastion now supports file transfer via the native client

からたどっていったら、

Upload or download files using the native client (Preview)

にたどり着きました。

内容を確認してみると、Azure CLI により以下ができる感じ。

• RDP でのコピー＆ペースト
• SCPによるファイルコピー

RDP のほうを試してみます。

Upload and download files - RDP に沿って実施しています。

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>"
の VMResourceId は、下図の赤枠でした。

結果なんですが、設定が良いのかよくないのかで、つながらずタイムアウトしました。。。

※一連の流れは、動画のほうが伝わるな。。。

今度、Linux マシンを建てて、SCP を試してみます。。。

Azure Monitor で Azure Bastion をモニタリング

調べ物をしていたところ、Azure Monitor で Azure Bastion をモニタリングする公式情報が載っていました。

Enable and work with Bastion resource logs

Azure Portal 日本語版だと、[診断設定]をクリックして開始します。

Basion がリストアップされていました。これをクリックします。
※ここは、Enable and work with Bastion resource logs にない手順ですね。

[診断設定を追加する]をクリックします。

モニター項目と、モニター情報の連携先を指定します。この画面も変わってました。。。

モニター項目は二つとも選択します。連携先は、Log Analytics にします。

診断設定の名前を入力し、[保存]をクリックします。

数秒で設定完了。

元のページに戻ってみたら設定が出来上がっています。

メトリックで、Bastion を選びます。

メトリックで表示できる情報を貼っておきます。

Azure Batsion の Vnet Peering を試してみる

Azure Batsion が Vnet Peering に対応しているわけですが の続き

事前に Vnet Peering を設定してありましたので、確認してみます。

VNet Peering の設定方法については、下記をご参照ください。

Azure Bastion FAQ: VNet peering

Bastion VNet Peering で接続する VM は、下記としました。

VM のプライベート IP アドレスをリモートデスクトップ接続で指定します。認証ダイアログが出ました。いけますね。

パスワードを入力したところ、見慣れた警告が出ました。

無事に接続完了。

Bastion VNet Peering を知っておくといざというときに使えそうですね。

Azure Batsion が Vnet Peering に対応しているわけですが

Azure Bastion FAQ - VNet peering

がありましたので、改めてどういうことができるのかを確認しました。

上記 docs 文書にある見出し部分について、日本語への意訳をまとめておきます。
※別途、検証しないとな。

• Peering されたAzure 仮想ネットワーク上へ複数の  Bastion ホストを展開できる
• Azure サブスクリプションが異なる Peering されたAzure 仮想ネットワークでも、Bastion は動作する
• ピアリングされたVNetにはアクセスできますが、そこにデプロイされたVMは見えません。
  ※これは、「Bastionは、何ができるか」ではなく、FAQとしてのトラブルシューティングになりますね

Azure Batsion の Vnet Peering を試してみる に続く。

Azure Bastion の SKU が Public Preview してます

 Azure Bastion Standard SKU public preview

なる記事を見つけました。

この SKU だと下記が使えるそうですね。

• 手動で Bastion ホストの仮想マシンインスタンスをスケールできる
• Azure Bastion admin panel から　Bastion ホストを有効化/無効できる

早速料金プランも公開されていました。

Azure Bastion pricing

Upgrade SKU (Preview)

なる記事も公開されています。この記事に沿って作業すれば、Standard SKU へアップグレードできます。

Azure Bastion FAQ

もありましたので、必要に応じて参照してください。