「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-戻る
--[[Azure]]
--[[Azure Resource Manager]]

* 目次 [#q189510b]
#contents

*概要 [#c29a2158]
Network Security Group (NSG)は、Azure Virtual Network (VNet) に接続された~
[[リソース>Azure Resource Manager#c500a780]](NIC、VM、サブネット)へのネットワーク トラフィックを~
Network Security Group (NSG)は、Azure Virtual Network (VNet) に~
接続された[[リソース>Azure Resource Manager#c500a780]](NIC、VM、サブネット)へのネットワーク トラフィックを~
許可または拒否する一連のセキュリティ規則

*設定 [#da9caeeb]
-当該サブネット向けのNSGを新規作成(既定値)。
-使用するVMに絞ったRDP/SSHのインバウンドを許可する。
-作成したNSGをサブネットを関連付ける。
-VMのNICに関連付けられたNSGをすべて削除する。

*詳細 [#ib6313b5]
-以下のような仕組みになっている。
-[[既定値>#v1d77f32]]を知ると理解しやすい。

**関連付け [#rc1f63fe]
NSG はサブネットに関連付けることができる。~
サブネットに接続されているすべてのリソースにその NSG のルールが適用される。

***クラシック モデル [#wb958ec7]
-サブネット以外にも、個々の VM に関連付けることができる。
-これにより、トラフィックをさらに制限することができる。

***Resource Manager モデル [#e51238ae]
-サブネット以外にも、VMのNIC に関連付けることができる。 
-これにより、トラフィックをさらに制限することができる。

**適用順序 [#yefa163f]
各 NSG 内の優先度に基づき、次の順番でトラフィックに適用される。

***受信トラフィック [#eebaf363]
+サブネットに適用される NSG
+NIC (Resource Manager) または VM (クラシック) に適用される NSG

***送信トラフィック [#sa977dab]
+NIC (Resource Manager) または VM (クラシック) に適用される NSG
+サブネットに適用される NSG

*既定値 [#v1d77f32]
**既定のタグ [#vaf39f51]
IP アドレスのカテゴリに対応するシステム指定の識別子

***対象となるNSG ルールのプロパティ [#g57b5019]
既定のタグは、以下の任意のNSG ルールのプロパティで使用可能。

-発信元アドレスのプレフィックス
-宛先アドレスのプレフィックス 

***3種の既定のタグ [#vb858918]
使用できる既定のタグには、以下の3種類がある。

-VirtualNetwork (Resource Manager) (クラシックの場合は VIRTUAL_NETWORK):~
このタグは、仮想ネットワーク アドレス空間 (Azure で定義されている CIDR 範囲) だけでなく、~
すべての接続されているオンプレミス アドレス空間と接続されているAzure VNet (ローカル ネットワーク) が含まれる。

-AzureLoadBalancer (Resource Manager) (クラシックの場合は AZURE_LOADBALANCER):
--このタグは、Azure のインフラストラクチャのロード バランサを表す。
--このタグは、Azure の正常性プローブ(≒死活監視)が開始される Azure データセンター IP に変換される。

-Internet (Resource Manager) (クラシックの場合は INTERNET):~
--このタグは、パブリック インターネットによってアクセスできる仮想ネットワークの外部の IP アドレス空間を表す。
--Azure に所有されているパブリック IP アドレス空間がこの範囲に含まれる。

**既定のルール [#r61e0858]

***概要 [#eb05c859]
-既定のルールでは、トラフィックが次のように許可/拒否される。

--仮想ネットワーク~
仮想ネットワーク内で発信および着信するトラフィックについては、~
受信方向と送信方向の両方で許可されます。

--ロード バランサ
---ロード バランサによる VM の正常性プローブ(≒死活監視)を許可。
---負荷分散セットを使用していない場合は、このルールを上書きできる。

--インターネット~
送信トラフィックは許可されるが、受信トラフィックはブロックされる。

-ザックリ言って、
--アウトバウンド:全開
--インバウンド:全閉
--(Internet⇔)ロードバランサ(⇔VM死活監視):制限なし

***設定 [#u26383de]
-受信
|#|Name|優先順位|発信元 IP|発信元ポート|宛先 IP|宛先ポート|プロトコル|Access|h
|1|AllowVNetInBound|65000|VirtualNetwork|*|VirtualNetwork|*|*|ALLOW|
|2|AllowAzureLoadBalancerInBound|65001|AzureLoadBalancer|*|*|*|*|ALLOW|
|3|DenyAllInBound|65500|*|*|*|*|*|DENY|

-送信
|#|Name|優先順位|発信元 IP|発信元ポート|宛先 IP|宛先ポート|プロトコル|Access|h
|1|AllowVnetOutBound|65000|VirtualNetwork|*|VirtualNetwork|*|*|ALLOW|
|2|AllowInternetOutBound|65001|*|*|Internet|*|*|ALLOW|
|3|DenyAllOutBound|65500|*|*|*|*|*|DENY|

*参考 [#w37b94ff]

**[[Azure Resource Manager]] [#r704e2dc]

**Microsoft Docs [#fba648bd]
-Azure のネットワーク セキュリティ グループ~
https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-nsg
-Azure Portal を使用して NSG を管理する~
https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-manage-nsg-arm-portal

**その他 [#pccba95a]
-Azure VM – NSG(ネットワークセキュリティグループ)を理解する | RARPA (ラーパ・RW高等研究計画局)~
http://www.rarpa.net/?p=6081

-ネットワークセキュリティーグループ(NSG) の作成~
https://www.cloudou.net/virtual-network/vnet002/

-Azure Network Security Group(NSG)についておさらい - Qiita~
https://qiita.com/yotan/items/d5e3e8dcc94a2099fa05

----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]], [[:通信技術]]

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS