次の方法で共有

仮想ネットワークのピアリングと Azure Bastion

  • [アーティクル]

Azure Bastion と仮想ネットワーク ピアリングは一緒に使用できます。 仮想ネットワーク ピアリングが構成されている場合、ピアリングされた各 VNet (仮想ネットワーク) に Azure Bastion をデプロイする必要はありません。 つまり、1 つの仮想ネットワーク内に Azure Bastion ホストが構成されている場合、追加の Bastion ホストをデプロイすることなく、そのホストを使用して、ピアリングされた仮想ネットワークにデプロイされた仮想マシン (VM) に接続できます。 仮想ネットワーク ピアリングの詳細については、仮想ネットワーク ピアリングについてに関するページを参照してください。

Azure Bastion は、次の種類のピアリングで動作します。

  • 仮想ネットワーク ピアリング: 同じ Azure リージョン内の仮想ネットワークを接続します。
  • グローバル仮想ネットワーク ピアリング: Azure リージョン間で仮想ネットワークを接続します。

注意

Virtual WAN ハブには Azure Bastion をデプロイできません。 スポーク VNet に Azure Bastion をデプロイし、IP ベースの接続機能を使用して Virtual WAN ハブ経由で、別の VNet にデプロイされた仮想マシンに接続できます。

Architecture

仮想ネットワーク ピアリングが構成されている場合、Azure Bastion はハブ アンド スポークまたはフルメッシュのトポロジにデプロイできます。 Azure Bastion デプロイは、サブスクリプションやアカウント、仮想マシン単位ではなく、仮想ネットワーク単位です。

ご利用の仮想ネットワーク内で Azure Bastion サービスをプロビジョニングすると、同じ仮想ネットワークおよびピアリングされた仮想ネットワーク内のすべてのご利用の仮想マシンで RDP/SSH エクスペリエンスを利用することができます。 これは、Bastion デプロイを単一仮想ネットワークに統合しても、ピアリングされた仮想ネットワークにデプロイされた仮想マシンにはアクセスすることができ、全体的なデプロイが一元化されることを意味します。

設計とアーキテクチャの図

この図は、ハブ アンド スポーク モデルでの Azure Bastion デプロイのアーキテクチャを示しています。 図では、以下の構成を確認できます。

  • Bastion ホストは、一元化されたハブ仮想ネットワーク内にデプロイされています。
  • 一元化されたネットワーク セキュリティ グループ (NSG) がデプロイされています。
  • Azure VM にパブリック IP は必要ありません。

デプロイの概要

  1. 仮想ネットワーク、および仮想ネットワーク内に仮想マシンが構成されていることを確認します。
  2. 仮想ネットワーク ピアリングを構成します
  3. Vnet のいずれかで basion を構成します。
  4. アクセス許可を確認します
  5. Azure Bastion 経由で仮想マシンに接続します。 Azure Bastion 経由で接続するには、サインインしているサブスクリプションに対する適切なアクセス許可が必要です。

アクセス許可を確認するには

このアーキテクチャを使用する場合は、次のアクセス許可を確認します。

  • ターゲット VM とピアリングされた仮想ネットワークの両方に読み取りアクセス権を持っていることを確認します。
  • YourSubscription | IAM でアクセス許可をチェックして、次のリソースへの読み取り権限を持っているか確認します。
    • 仮想マシンに対する閲覧者ロール。
    • 仮想マシンのプライベート IP を使用する NIC に対する閲覧者ロール。
    • Azure Bastion リソースに対する閲覧者ロール。
    • 対象の仮想マシンの仮想ネットワークに対する閲覧者ロール。

Bastion VNet ピアリングに関するよくある質問

よく寄せられる質問については、Bastion 仮想ネットワーク ピアリングの FAQ を参照してください。

次のステップ

Azure Bastion に関する FAQ を読む。