Azure Cloud Services (クラシック) の接続とネットワークの問題:よく寄せられる質問 (FAQ)

重要

現在、Cloud Services (クラシック) は新しいお客様に対して非推奨となっており、2024 年 8 月 31 日に、すべてのお客様に対して廃止される予定です。 新しいデプロイでは、新しい Azure Resource Manager ベースのデプロイ モデル、 Azure Cloud Services (延長サポート) を使用してください。

この記事では、Azure Cloud Services の接続とネットワークの問題についてよくあるご質問を紹介します。 サイズについては、Cloud Services VM サイズのページを参照してください。

この記事で Azure の問題に対処できない場合は、Microsoft Q & A と Stack Overflow の Azure 関連フォーラムを参照してください。 問題をこれらのフォーラムに投稿するか、または Twitter の @AzureSupport に投稿できます。 Azure サポート要求を送信することもできます。 サポート要求を送信するには、[Azure サポート] ページで [サポートを受ける] を選択します。

マルチ VIP クラウド サービスの IP アドレスを予約できません。

まず、IP アドレスを予約しようとしている仮想マシン インスタンスがオンになっていることを確認してください。 次に、ステージング デプロイと運用環境デプロイの両方で予約済みの IP を使っていることを確認します。 変更しない でください。

NSG がある場合にリモート デスクトップを使用するにはどうすればよいですか。

ポート 3389 および 20000 でのトラフィックを許可するルールを NSG に追加します。 リモート デスクトップではポート 3389 を使用します。 クラウド サービス インスタンスは負荷分散されるため、接続先のインスタンスを直接制御することはできません。 RemoteForwarder および RemoteAccess エージェントは、リモート デスクトップ プロトコル (RDP) トラフィックを管理し、クライアントが RDP Cookie を送信して接続先の個々のインスタンスを指定できるようにします。 RemoteForwarder および RemoteAccess エージェントでは、ポート 20000 を開く必要があります。このポートは、NSG がある場合にブロックされる可能性があります。

クラウド サービスに ping を実行することはできますか。

いいえ、通常の "ping"/ICMP プロトコルは使用できません。 ICMP プロトコルは、Azure Load Balancer を通過することを許可されません。

接続をテストするには、ポートの ping を実行することをお勧めします。 Ping.exe は ICMP を使用しますが、他のツール (PSPing、Nmap、telnet など) を使用して特定の TCP ポートへの接続をテストできます。

詳細については、「Use port pings instead of ICMP to test Azure VM connectivity (ICMP の代わりにポート ping を使用して Azure VM の接続をテストする)」を参照してください。

クラウド サービスへの悪意のある攻撃の可能性がある不明な IP アドレスからの数千件に上るヒットを受信するのを防止するにはどうすればよいですか。

Azure では、分散型サービス拒否 (DDoS) 攻撃からプラットフォーム サービスを保護するために複数層のネットワーク セキュリティを実装しています。 Azure の DDoS 防御システムは、Azure の継続的な監視プロセスの一部であり、侵入テストを通して継続的に強化されています。 この DDoS 防御システムは、外部からの攻撃だけではなく、他の Azure テナントからの攻撃にも耐えられるように設計されています。 詳細については、Azure ネットワークのセキュリティに関するドキュメントを参照してください。

また、いくつかの特定の IP アドレスを選択的にブロックするスタートアップ タスクを作成することもできます。 詳細については、「特定の IP アドレスをブロックする」を参照してください。

自分のクラウド サービス インスタンスに RDP 接続しようとすると、"このユーザー アカウントの有効期限が切れています" というメッセージを受け取ります。

RDP の設定で構成されている有効期限の日付を無視すると、"このユーザー アカウントの有効期限が切れています" のエラー メッセージを受け取ることがあります。 ポータルから有効期限の日付を変更するには、次の手順を実行します。

  1. Azure Portal にサインインし、お使いのクラウド サービスに移動して、 [リモート デスクトップ] タブを選びます。

  2. [運用] または [ステージング] のデプロイ スロットを選びます。

  3. [有効期限] の日付を変更し、構成を保存します。

これで、お使いのマシンに RDP 接続できるようになるはずです。

Azure Load Balancer がトラフィックを均等に分散しないのはなぜですか。

内部ロード バランサーのしくみについては、「Azure Load Balancer new distribution mode (Azure Load Balancer の新しい分散モード)」を参照してください。

使用される分散アルゴリズムは、使用可能なサーバーにトラフィックをマップする 5 組 (ソース IP、ソース ポート、接続先 IP、接続先ポート、プロトコルの種類) のハッシュです。 これは、トランスポート セッション内でのみ持続性を提供します。 TCP または UDP の同じセッション内のパケットは、負荷分散されたエンドポイントの背後にある同じデータセンターの IP (DIP) インスタンスに送信されます。 クライアントが接続を閉じてからもう一度接続を開くか、同じソース IP から新しいセッションを開始すると、ソース ポートが変更され、トラフィックは別の DIP エンドポイントに送信されます。

自分のクラウド サービスの既定の URL への着信トラフィックをカスタム URL にリダイレクトするにはどうすればよいですか。

IIS の URL の書き換えモジュールを使って、クラウド サービスの既定の URL (例: *.cloudapp.net) への着信トラフィックをカスタムの名前または URL にリダイレクトすることができます。 URL の書き換えモジュールは Web ロール上で既定で有効になっており、そのルールはアプリケーションの web.config に構成されているので、再起動や再イメージ化にかかわりなく、いつでも VM で使用可能です。詳細については、次を参照してください。

自分のクラウド サービスの既定の URL への着信トラフィックをブロックまたは無効にするにはどうすればよいですか。

クラウド サービスの既定の URL または名前 (例: *.cloudapp.net) への着信トラフィックを防ぐことができます。 そのためには、次のように、クラウド サービス定義 (*.csdef) ファイル内のサイト バインド構成でホスト ヘッダーをカスタムの DNS 名 (例: www.MyCloudService.com) に設定します。

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="AzureCloudServicesDemo" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
    <WebRole name="MyWebRole" vmsize="Small">
        <Sites>
            <Site name="Web">
            <Bindings>
                <Binding name="Endpoint1" endpointName="Endpoint1" hostHeader="www.MyCloudService.com" />
            </Bindings>
            </Site>
        </Sites>
        <Endpoints>
            <InputEndpoint name="Endpoint1" protocol="http" port="80" />
        </Endpoints>
        <ConfigurationSettings>
            <Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
        </ConfigurationSettings>
    </WebRole>
</ServiceDefinition>

このホスト ヘッダー バインドは csdef ファイルを介して強制されるので、サービスはカスタム名 "www.MyCloudService.com" を介してのみアクセス可能となり、"*.cloudapp.net" ドメインへのすべての着信要求は常に失敗します。 サービス内でカスタム SLB プローブまたは内部ロード バランサーを使用している場合は、サービスの既定の URL や名前をブロックすると、プローブの動作を妨害する可能性があります。

クラウド サービスのパブリックに公開された IP アドレスが変更されないようにするにはどうすればよいですか。

対象のクラウド サービスのパブリックに公開された IP アドレス (別名、VIP) が変わらないようにして、いくつかの特定のクライアントでこれを習慣的に許可できるようにするには、予約済み IP を関連付けることをお勧めします。 それ以外の場合、Azure によって提供される仮想 IP は、デプロイを削除するとサブスクリプションから割り当て解除されます。 VIP スワップ操作を成功させるには、運用スロットとステージング スロットの両方について個々の予約済み IP が必要です。 これがないと、スワップ操作は失敗します。 IP アドレスを予約してクラウド サービスに関連付けるには、次の記事を参照してください。

お使いのロールに複数のインスタンスがある場合、クラウド サービスに RIP を関連付けることでダウンタイムが発生することはありません。 また、お使いの Azure データセンターの IP 範囲を許可リストに登録することができます。 Microsoft ダウンロード センターで、Azure IP 範囲の一覧を入手できます。

このファイルには、Azure データセンターで使用される IP アドレス範囲 (計算、SQL、およびストレージの範囲を含む) が含まれています。 毎週投稿される最新のファイルには、現在デプロイされている範囲と今後変更される IP 範囲が反映されています。 このファイルに現れる新しい範囲は、少なくとも 1 週間はデータセンターで使用されません。 Azure で実行されているサービスを正しく識別するために、毎週新しい xml ファイルをダウンロードし、サイトで必要な変更を実行してください。 Azure ExpressRoute ユーザーは、このファイルを使用して、毎月第 1 週に Azure 領域の BGP アドバタイズが更新されていることに気付くかもしれません。

Azure Resource Manager 仮想ネットワークをクラウド サービスと共に使用するにはどうすればよいですか。

クラウド サービスを Azure Resource Manager 仮想ネットワークに配置することはできません。 Resource Manager 仮想ネットワークと従来のデプロイ仮想ネットワークは、ピアリングによって接続できます。 詳細については、「仮想ネットワーク ピアリング」をご覧ください。

Cloud Services で使用されるパブリック IP アドレスの一覧を取得する方法はありますか。

次の PS スクリプトを使用してお使いのサブスクリプションのクラウド サービスのパブリック IP の一覧を取得します。

$services = Get-AzureService  | Group-Object -Property ServiceName

foreach ($service in $services)
{
    "Cloud Service '$($service.Name)'"

    $deployment = Get-AzureDeployment -ServiceName $service.Name
    "VIP - " +  $deployment.VirtualIPs[0].Address
    "================================="
}