Network Security Group (NSG) のバックアップ(No.3)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Network Security Group (NSG) へ行く。
  • 1 (2017-11-27 (月) 14:40:33)
  • 2 (2017-11-27 (月) 17:03:35)
  • 3 (2017-11-30 (木) 11:04:03)
  • 4 (2017-12-11 (月) 20:09:58)
  • 5 (2018-01-24 (水) 12:18:13)
  • 6 (2018-02-15 (木) 17:56:56)
  • 7 (2020-05-03 (日) 19:02:26)
  • 8 (2020-05-05 (火) 23:30:52)
  • 9 (2020-05-07 (木) 18:12:57)
  • 10 (2020-10-02 (金) 11:13:11)
  • 11 (2021-03-05 (金) 16:38:10)
  • 12 (2021-03-13 (土) 21:07:44)
  • 13 (2021-03-15 (月) 22:36:45)
  • 14 (2021-05-14 (金) 13:12:50)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

Network Security Group (NSG)は、Azure Virtual Network (VNet) に接続された
リソース（NIC、VM、サブネット）へのネットワーク トラフィックを
許可または拒否する一連のセキュリティ規則

詳細 †

• 以下のような仕組みになっている。
• 既定値を知ると理解しやすい。

関連付け †

NSG はサブネットに関連付けることができる。
サブネットに接続されているすべてのリソースにその NSG のルールが適用される。

クラシック モデル †

• サブネット以外にも、個々の VM に関連付けることができる。
• これにより、トラフィックをさらに制限することができる。

Resource Manager モデル †

• サブネット以外にも、VMのNIC に関連付けることができる。
• これにより、トラフィックをさらに制限することができる。

適用順序 †

各 NSG 内の優先度に基づき、次の順番でトラフィックに適用される。

受信トラフィック †

1. サブネットに適用される NSG
2. NIC (Resource Manager) または VM (クラシック) に適用される NSG

送信トラフィック †

1. NIC (Resource Manager) または VM (クラシック) に適用される NSG
2. サブネットに適用される NSG

既定値 †

既定のタグ †

IP アドレスのカテゴリに対応するシステム指定の識別子

対象となるNSG ルールのプロパティ †

既定のタグは、以下の任意のNSG ルールのプロパティで使用可能。

• 発信元アドレスのプレフィックス
• 宛先アドレスのプレフィックス

３種の既定のタグ †

使用できる既定のタグには、以下の３種類がある。

• VirtualNetwork? (Resource Manager) (クラシックの場合は VIRTUAL_NETWORK):
  このタグは、仮想ネットワーク アドレス空間 (Azure で定義されている CIDR 範囲) だけでなく、
  すべての接続されているオンプレミス アドレス空間と接続されているAzure VNet (ローカル ネットワーク) が含まれる。

• AzureLoadBalancer? (Resource Manager) (クラシックの場合は AZURE_LOADBALANCER):
  • このタグは、Azure のインフラストラクチャのロード バランサを表す。
  • このタグは、Azure の正常性プローブ（≒死活監視）が開始される Azure データセンター IP に変換される。

• Internet (Resource Manager) (クラシックの場合は INTERNET):
  
  • このタグは、パブリック インターネットによってアクセスできる仮想ネットワークの外部の IP アドレス空間を表す。
  • Azure に所有されているパブリック IP アドレス空間がこの範囲に含まれる。

既定のルール †

概要 †

• 既定のルールでは、トラフィックが次のように許可/拒否される。

• 仮想ネットワーク
  仮想ネットワーク内で発信および着信するトラフィックについては、
  受信方向と送信方向の両方で許可されます。

• ロード バランサ
  • ロード バランサによる VM の正常性プローブ（≒死活監視）を許可。
  • 負荷分散セットを使用していない場合は、このルールを上書きできる。

• インターネット
  送信トラフィックは許可されるが、受信トラフィックはブロックされる。

• ザックリ言って、
  • アウトバウンド：全開
  • インバウンド：全閉
  • （Internet⇔）ロードバランサ（⇔VM死活監視）：制限なし

設定 †

• 受信

  #	Name	優先順位	発信元 IP	発信元ポート	宛先 IP	宛先ポート	プロトコル	Access
  1	AllowVNetInBound?	65000	VirtualNetwork?	*	VirtualNetwork?	*	*	ALLOW
  2	AllowAzureLoadBalancerInBound?	65001	AzureLoadBalancer?	*	*	*	*	ALLOW
  3	DenyAllInBound?	65500	*	*	*	*	*	DENY

• 送信

  #	Name	優先順位	発信元 IP	発信元ポート	宛先 IP	宛先ポート	プロトコル	Access
  1	AllowVnetOutBound?	65000	VirtualNetwork?	*	VirtualNetwork?	*	*	ALLOW
  2	AllowInternetOutBound?	65001	*	*	Internet	*	*	ALLOW
  3	DenyAllOutBound?	65500	*	*	*	*	*	DENY

参考 †

Azure Resource Manager †

Microsoft Docs †

• Azure のネットワーク セキュリティ グループ
  https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-nsg
• Azure Portal を使用して NSG を管理する
  https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-manage-nsg-arm-portal

その他 †

• Azure VM – NSG(ネットワークセキュリティグループ)を理解する | RARPA　(ラーパ・RW高等研究計画局)
  http://www.rarpa.net/?p=6081

• ネットワークセキュリティーグループ(NSG) の作成
  https://www.cloudou.net/virtual-network/vnet002/

• Azure Network Security Group(NSG)についておさらい - Qiita
  https://qiita.com/yotan/items/d5e3e8dcc94a2099fa05

---

Tags: :インフラストラクチャ, :クラウド, :Azure

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.035 sec.