「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
Network Security Group (NSG)は、Azure Virtual Network (VNet) に接続された
リソース(NIC、VM、サブネット)へのネットワーク トラフィックを
許可または拒否する一連のセキュリティ規則
詳細 †
- 以下のような仕組みになっている。
- 既定値を知ると理解しやすい。
関連付け †
NSG はサブネットに関連付けることができる。
サブネットに接続されているすべてのリソースにその NSG のルールが適用される。
クラシック モデル †
- サブネット以外にも、個々の VM に関連付けることができる。
- これにより、トラフィックをさらに制限することができる。
Resource Manager モデル †
- サブネット以外にも、VMのNIC に関連付けることができる。
- これにより、トラフィックをさらに制限することができる。
適用順序 †
各 NSG 内の優先度に基づき、次の順番でトラフィックに適用される。
受信トラフィック †
- サブネットに適用される NSG
- NIC (Resource Manager) または VM (クラシック) に適用される NSG
送信トラフィック †
- NIC (Resource Manager) または VM (クラシック) に適用される NSG
- サブネットに適用される NSG
既定値 †
既定のタグ †
IP アドレスのカテゴリに対応するシステム指定の識別子
対象となるNSG ルールのプロパティ †
既定のタグは、以下の任意のNSG ルールのプロパティで使用可能。
- 発信元アドレスのプレフィックス
- 宛先アドレスのプレフィックス
3種の既定のタグ †
使用できる既定のタグには、以下の3種類がある。
- VirtualNetwork? (Resource Manager) (クラシックの場合は VIRTUAL_NETWORK):
このタグは、仮想ネットワーク アドレス空間 (Azure で定義されている CIDR 範囲) だけでなく、
すべての接続されているオンプレミス アドレス空間と接続されているAzure VNet (ローカル ネットワーク) が含まれる。
- AzureLoadBalancer? (Resource Manager) (クラシックの場合は AZURE_LOADBALANCER):
- このタグは、Azure のインフラストラクチャのロード バランサを表す。
- このタグは、Azure の正常性プローブ(≒死活監視)が開始される Azure データセンター IP に変換される。
- Internet (Resource Manager) (クラシックの場合は INTERNET):
- このタグは、パブリック インターネットによってアクセスできる仮想ネットワークの外部の IP アドレス空間を表す。
- Azure に所有されているパブリック IP アドレス空間がこの範囲に含まれる。
既定のルール †
概要 †
- 既定のルールでは、トラフィックが次のように許可/拒否される。
- 仮想ネットワーク
仮想ネットワーク内で発信および着信するトラフィックについては、
受信方向と送信方向の両方で許可されます。
- ロード バランサ
- ロード バランサによる VM の正常性プローブ(≒死活監視)を許可。
- 負荷分散セットを使用していない場合は、このルールを上書きできる。
- インターネット
送信トラフィックは許可されるが、受信トラフィックはブロックされる。
- ザックリ言って、
- アウトバウンド:全開
- インバウンド:全閉
- (Internet⇔)ロードバランサ(⇔VM死活監視):制限なし
設定 †
- 受信
# | Name | 優先順位 | 発信元 IP | 発信元ポート | 宛先 IP | 宛先ポート | プロトコル | Access |
1 | AllowVNetInBound? | 65000 | VirtualNetwork? | * | VirtualNetwork? | * | * | ALLOW |
2 | AllowAzureLoadBalancerInBound? | 65001 | AzureLoadBalancer? | * | * | * | * | ALLOW |
3 | DenyAllInBound? | 65500 | * | * | * | * | * | DENY |
- 送信
# | Name | 優先順位 | 発信元 IP | 発信元ポート | 宛先 IP | 宛先ポート | プロトコル | Access |
1 | AllowVnetOutBound? | 65000 | VirtualNetwork? | * | VirtualNetwork? | * | * | ALLOW |
2 | AllowInternetOutBound? | 65001 | * | * | Internet | * | * | ALLOW |
3 | DenyAllOutBound? | 65500 | * | * | * | * | * | DENY |
参考 †
Microsoft Docs †
その他 †
Tags: :インフラストラクチャ, :クラウド, :Azure