AZ700-CORE#70
VNet 内に Azure Bastion をデプロイし、Spoke VNet 内の VM にも Bastion 経由で接続できるようにする手順を順序付けてください。Hub-Spoke 構成です。
- Hub VNet 内に AzureBastionSubnet (/26) を作成
- Standard SKU Public IP を作成 (Static、Bastion 用)
- Bastion ホスト (Standard SKU 推奨) をデプロイし、Public IP と関連付け
- Hub と Spoke の VNet ピアリングを設定 (Allow forwarded traffic = true)
解説
【正しい順序】
- ステップ 1: AzureBastionSubnet 作成 (/26)
- ステップ 2: Standard Public IP 作成
- ステップ 3: Bastion ホスト デプロイ
- ステップ 4: VNet ピアリング設定 (Forwarded Traffic 許可)
【各ステップの理由】
- ステップ 1: 専用サブネット作成: 名前固定 AzureBastionSubnet が必須、/26 サイズが要件。Bastion デプロイ前に必須です。
- ステップ 2: Public IP 作成: Bastion ホストは Standard SKU Public IP を必要 (Public-mode の場合)。Premium SKU では Private-only mode も選択可能ですが、Standard で Public IP を持つのが一般的。
- ステップ 3: Bastion デプロイ: Bastion 本体をデプロイし Public IP を関連付け。SKU は Standard (Native Client、ピア接続必要なら) を選択します。
- ステップ 4: ピアリング設定: Hub-Spoke ピアリング設定で双方向通信 + Forwarded Traffic を許可します。これにより Bastion (Hub) から Spoke の VM プライベート IP へ到達可能に。
【Cross-VNet Bastion の前提条件】
- Hub VNet と Spoke VNet の双方向ピアリング
- 「Allow forwarded traffic」が両方向で true
- Bastion SKU が Basic 以上 (Premium も対応)
- Spoke の AzureBastionSubnet は不要 (Hub の Bastion を共有)
【誤った順序の問題点】
- ❌ Bastion デプロイ前にサブネット作成なし: AzureBastionSubnet が存在しない場合、Bastion デプロイ自体が失敗です。
- ❌ ピアリング前に接続テスト: Hub-Spoke ピアリングがないと Spoke VM に到達できないため、テスト失敗です。
- ❌ Basic Public IP 使用: Bastion は Standard SKU Public IP のみ対応 (Basic は廃止予定)。
【典型コスト構成 (Standard SKU)】
- Bastion ホスト: ~$140/月 (Scale Unit 2)
- Public IP (Standard): ~$3.5/月
- 1 つの Bastion で複数 VNet の VM 接続を共有可能 → コスト効率高い
コメント