Windows Admin Centerを使用してネットワーク セキュリティ グループを構成する

適用対象: Azure Stack HCI、バージョン 23H2 および 22H2。Windows Server 2022、Windows Server 2019、Windows Server 2016

このトピックでは、Windows Admin Centerを使用してネットワーク セキュリティ グループ (NSG) を作成および構成し、Datacenter Firewall を使用してデータ トラフィック フローを管理する方法について詳しく説明します。 また、ソフトウェア定義ネットワーク (SDN) 仮想ネットワークと論理ネットワークでネットワーク セキュリティ グループを管理する手順についても説明します。 データセンター ファイアウォールを有効にして構成するには、ネットワーク セキュリティ グループを作成し、サブネットまたはネットワーク インターフェイスに適用します。 詳細については、「 Datacenter Firewall とは」 を参照してください。PowerShell スクリプトを使用してこれを行うには、「PowerShell を使用して ネットワーク セキュリティ グループを構成する」を参照してください。

ネットワーク セキュリティ グループを構成する前に、ネットワーク コントローラーを展開する必要があります。 ネットワーク コントローラーについては、「ネットワーク コントローラーの概要」を参照してください。PowerShell スクリプトを使用してネットワーク コントローラーを展開する方法については、SDN インフラストラクチャの展開に関するページを参照してください。

さらに、ネットワーク セキュリティ グループを SDN 論理ネットワークに適用する場合は、まず論理ネットワークを作成する必要があります。 同様に、ネットワーク セキュリティ グループを SDN 仮想ネットワークに適用する場合は、まず仮想ネットワークを作成する必要があります。 詳細については、次を参照してください。

• テナントの仮想ネットワークを管理する
• テナントの論理ネットワークを管理する

ネットワーク セキュリティ グループの作成

ネットワーク セキュリティ グループは、Windows Admin Centerで作成できます。

1. Windows Admin Centerホーム画面の [すべての接続] で、ネットワーク セキュリティ グループを作成するクラスターを選択します。

2. [ ツール] で[ ネットワーク ] 領域まで下にスクロールし、[ ネットワーク セキュリティ グループ] を選択します。

3. [ ネットワーク セキュリティ グループ] で、[ インベントリ ] タブを選択し、[ 新規] を選択します。

4. [ ネットワーク セキュリティ グループ ] ウィンドウで、ネットワーク セキュリティ グループの名前を入力し、[送信] を選択 します。

   

5. [ ネットワーク セキュリティ グループ] で、新しいネットワーク セキュリティ グループの [プロビジョニング状態 ] に [成功] と表示されていることを確認します。

ネットワーク セキュリティ グループ規則を作成する

ネットワーク セキュリティ グループを作成したら、ネットワーク セキュリティ グループの規則を作成する準備ができました。 受信トラフィックと送信トラフィックの両方にネットワーク セキュリティ グループ規則を適用する場合は、2 つの規則を作成する必要があります。

1. Windows Admin Centerホーム画面の [すべての接続] で、ネットワーク セキュリティ グループを作成するクラスターを選択します。

2. [ ツール] で[ ネットワーク ] 領域まで下にスクロールし、[ ネットワーク セキュリティ グループ] を選択します。

3. [ ネットワーク セキュリティ グループ] で、[ インベントリ ] タブを選択し、先ほど作成したネットワーク セキュリティ グループを選択します。

4. [ ネットワーク セキュリティ規則] で、[新規] を選択 します。

   

5. [ ネットワーク セキュリティ規則 ] ウィンドウで、次の情報を指定します。

   1. 規則の [名前] 。
   2. 規則の [優先度] – 指定できる値は 101 から 65000 までです。 値が小さいほど、優先度が高くなります。
   3. [種類] – 受信または送信にすることができます。
   4. [プロトコル] – 受信または送信パケットのいずれかに一致するプロトコルを指定します。 指定できる値は、 [すべて] 、 [TCP] 、 [UDP] です。
   5. [発信元アドレスのプレフィックス] – 受信または送信パケットのいずれかに一致する発信元アドレスのプレフィックスを指定します。 \* を指定すると、すべての発信元アドレスを表します。
   6. [Source Port Range](発信元ポートの範囲) – 受信または送信パケットのいずれかに一致する発信元ポート範囲を指定します。 \* を指定すると、すべての発信元ポートを表します。
   7. [Destination Address Prefix](宛先アドレスのプレフィックス) – 受信または送信パケットのいずれかに一致する宛先アドレスのプレフィックスを指定します。 \* を指定すると、すべての宛先アドレスを表します。
   8. [Destination Port Range](宛先ポートの範囲) – 受信または送信パケットのいずれかに一致する宛先ポート範囲を指定します。 \* を指定すると、すべての宛先ポートを表します。
   9. [アクション] – 上記の条件に一致する場合にパケットを許可するかブロックするかを指定します。 指定できる値は、 [許可] と [拒否] です。
   10. [ログ] – 規則のログ記録を有効にするか無効にするかを指定します。 ログ記録を有効にすると、この規則に一致するすべてのトラフィックがホスト コンピューター上でログに記録されます。

6. [Submit](送信) をクリックします。

ネットワーク セキュリティ グループを仮想ネットワークに適用する

ネットワーク セキュリティ グループとその規則を作成したら、仮想ネットワーク サブネット、論理ネットワーク サブネット、またはネットワーク インターフェイスのいずれかにネットワーク セキュリティ グループを適用する必要があります。

1. [ツール] の下で [ネットワーク] 領域まで下にスクロールし、 [仮想ネットワーク] を選択します。

2. [インベントリ] タブを選択し、仮想ネットワークを選択します。 後続のページで、仮想ネットワークのサブネットを選択し、 [設定] を選択します。

   

3. ドロップダウン リストからネットワーク セキュリティ グループを選択し、[送信] を選択 します。

   最後の手順を完了すると、ネットワーク セキュリティ グループが仮想ネットワーク サブネットに関連付けられ、仮想ネットワーク サブネットに接続されているすべてのコンピューターに適用されます。

論理ネットワークにネットワーク セキュリティ グループを適用する

ネットワーク セキュリティ グループを論理ネットワーク サブネットに適用できます。

1. [ツール] の下で [ネットワーク] 領域まで下にスクロールし、 [論理ネットワーク] を選択します。

2. [インベントリ] タブを選択し、論理ネットワークを選択します。 後続のページで、論理サブネットを選択し、 [設定] を選択します。

3. ドロップダウン リストからネットワーク セキュリティ グループを選択し、[ 追加] を選択します。

   最後の手順を完了すると、ネットワーク セキュリティ グループが論理ネットワーク サブネットに関連付けられ、論理ネットワーク サブネットに接続されているすべてのコンピューターに適用されます。

ネットワーク インターフェイスにネットワーク セキュリティ グループを適用する

ネットワーク セキュリティ グループは、仮想マシン (VM) 以降の作成時にネットワーク インターフェイスに適用できます。

1. [ツール] の [ネットワーク] 領域まで下にスクロールし、 [仮想マシン] を選択します。

2. [インベントリ] タブを選択し、VM を選択して、 [設定] を選択します。

3. [設定] ページで [ネットワーク] を選択します。

4. [ ネットワーク セキュリティ グループ] まで下にスクロールし、ドロップダウン リストを展開し、ネットワーク セキュリティ グループを選択して、[ ネットワーク設定の保存] を選択します。

   

   最後の手順を完了すると、ネットワーク セキュリティ グループがネットワーク インターフェイスに関連付け、ネットワーク インターフェイスのすべての送受信トラフィックに適用されます。

ネットワーク セキュリティ グループの一覧を取得する

クラスター内のすべてのネットワーク セキュリティ グループを一覧で簡単に表示できます。

1. Windows Admin Centerホーム画面の [すべての接続] で、ネットワーク セキュリティ グループの一覧を表示するクラスターを選択します。
2. [ ツール] で[ ネットワーク ] 領域まで下にスクロールし、[ ネットワーク セキュリティ グループ] を選択します。
3. [ インベントリ ] タブには、クラスターで使用できるネットワーク セキュリティ グループの一覧が表示され、一覧内の個々のネットワーク セキュリティ グループを管理するために使用できるコマンドが表示されます。 次のようにすることができます。

   • ネットワーク セキュリティ グループの一覧を表示します。

   • 各ネットワーク セキュリティ グループの規則の数と、各ネットワーク セキュリティ グループに適用されたサブネットと NIC の数を表示します。

   • 各ネットワーク セキュリティ グループの プロビジョニング状態 (成功、 失敗) を表示します。

   • ネットワーク セキュリティ グループを削除します。

   • 一覧でネットワーク セキュリティ グループを選択した場合は、その規則を表示できます。 その後、ネットワーク セキュリティ グループの規則設定を追加、削除、または変更できます。

     

ネットワーク セキュリティ グループを削除する

ネットワーク セキュリティ グループは、不要になった場合は削除できます。

注意

ネットワーク セキュリティ グループの一覧からネットワーク セキュリティ グループを削除した後、サブネットまたはネットワーク インターフェイスに関連付けられていないことを確認します。

1. [ ツール] で[ ネットワーク ] 領域まで下にスクロールし、[ ネットワーク セキュリティ グループ] を選択します。

2. [ インベントリ ] タブを選択し、一覧からネットワーク セキュリティ グループを選択し、[削除] を選択 します。

3. 削除の確認プロンプトで [はい] を選択します。

   

4. 検索ボックスの横にある [ 更新 ] を選択して、ネットワーク セキュリティ グループが削除されていることを確認します。

次のステップ

詳細については、次のトピックも参照してください。

• Azure Stack HCI および Windows Server 内のソフトウェアによるネットワーク制御 (SDN)