チュートリアル: Azure Portal を使用して仮想マシン ネットワークのルーティングの問題を診断する

仮想マシン (VM) をデプロイするときに、Azure ではその VM に対して複数のシステムの既定のルートを作成します。 カスタム ルートを作成して、Azure のシステム ルートの一部をオーバーライドできます。 状況によっては、カスタム ルートによって、VM が意図した宛先と通信できなくなる可能性もあります。 Azure Network Watcher のネクスト ホップ機能を使用して、他のリソースと正しく通信できなくなる VM ルーティングの問題のトラブルシューティングと診断を行うことができます。

このチュートリアルでは、次の作業を行う方法について説明します。

• 仮想ネットワークと bastion ホストを作成する
• 2 つの仮想マシンの作成
• Azure Network Watcher の次ホップ機能を使って異なる IP への通信をテストする
• 有効なルートを表示する
• カスタム ルートを作成する
• ルーティングに関する問題を診断する

好みに応じて、Azure CLI または Azure PowerShell チュートリアルを使用して仮想マシン ネットワークのルーティングの問題を診断することもできます。

前提条件

• アクティブなサブスクリプションが含まれる Azure アカウント。 お持ちでない場合は、開始する前に無料アカウントを作成してください。

Azure へのサインイン

Azure portal にサインインします。

仮想ネットワークの作成

このセクションでは、仮想ネットワークを作成します。

1. ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果で、[仮想ネットワーク] を選択します。

   

2. [+ 作成] を選択します。 [仮想ネットワークの作成] の [基本] タブで、次の値を入力するか選びます。

   設定	値
   プロジェクトの詳細
   サブスクリプション	Azure サブスクリプションを選択します。
   リソース グループ	[新規作成] を選択します。 [名前] に「myResourceGroup」と入力します。 [OK] を選択します。
   インスタンスの詳細
   名前	「myVNet」と入力します。
   リージョン	[米国東部] を選択します。

3. [IP アドレス] タブを選択するか、ページ下部の [次へ: IP アドレス] ボタンを選択します。

4. [IP アドレス] タブで、次の値を入力します。

   設定	値
   IPv4 アドレス空間	「10.0.0.0/16」と入力します。
   サブネット名	「mySubnet」と入力します。
   サブネットのアドレス範囲	「10.0.0.0/24」と入力します。

5. [セキュリティ] タブを選択するか、ページ下部にある [次へ: セキュリティ] ボタンを選択します。

6. BastionHost で [有効] を選び、次の値を入力します。

   設定	値
   要塞名	「myBastionHost」と入力します
   AzureBastionSubnet のアドレス空間	「10.0.3.0/24」と入力します。
   パブリック IP アドレス	[新規作成] を選択します。 [名前] に「myBastionIP」と入力します。 を選択します。

7. [確認と作成] タブを選択するか、 [確認と作成] ボタンを選択します。

8. 設定を確認し、 [作成] を選択します。

仮想マシンを作成する

このセクションでは、myVM と myNVA という 2 つの仮想マシンを作成します。 myVM 仮想マシンを使用して、通信をテストします。 myNVA 仮想マシンは、このシナリオではネットワーク仮想アプライアンスとして使用されます。

最初の仮想マシンを作成する

1. ポータルの上部にある検索ボックスに「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。

2. [+ 作成] を選択し、[Azure 仮想マシン] を選択します。

3. [仮想マシンの作成] の [基本] タブに次の値を入力するか選択します。

   設定	値
   プロジェクトの詳細
   サブスクリプション	Azure サブスクリプションを選択します。
   リソース グループ	[myResourceGroup] を選択します。
   インスタンスの詳細
   仮想マシン名	「myVM」と入力します。
   リージョン	[(米国) 米国東部] を選択します。
   可用性オプション	[インフラストラクチャ冗長は必要ありません] を選択します。
   セキュリティの種類	[Standard] を選択します。
   Image	[Windows Server 2022 Datacenter: Azure Edition - x64 Gen2] を選択します。
   サイズ	サイズを選択するか、既定の設定のままにします。
   管理者アカウント
   ユーザー名	ユーザー名を入力します。
   Password	パスワードを入力します。
   パスワードの確認	パスワードを再入力します。

4. [ネットワーク] タブまたは [次へ: ディスク] を選択してから [次へ: ネットワーク] を選択します。

5. [ネットワーク] タブで、次の値を入力するか選びます。

   設定	値
   ネットワーク インターフェイス
   仮想ネットワーク	[myVNet] を選択します。
   Subnet	[mySubnet] を選択します。
   パブリック IP	[なし] を選択します。
   NIC ネットワーク セキュリティ グループ	[Basic] を選択します。
   パブリック受信ポート	[なし] を選択します。

6. [Review + create](レビュー + 作成) を選択します。

7. 設定を確認し、 [作成] を選択します。

8. デプロイが完了したら、[リソースに移動] を選んで myVM の [概要] ページに移動します。

9. [接続] を選択し、[Bastion] を選択します。

10. 前の手順で作成したユーザー名とパスワードを入力します。

11. [接続] ボタンを選択します。

12. ログインしたら、Web ブラウザーを開き、www.bing.com に移動して到達可能であることを確認します。

    

2 番目の仮想マシンを作成する

myVM 仮想マシンの作成に使用した前の手順に従い、仮想マシン名として「myNVA」と入力します。

Network Watcher の次ホップを使用してネットワーク通信をテストする

Network Watcher の次ホップ機能を使用して、1 つの IP 構成を含む 1 つのネットワーク インターフェイスを持つ myVM からのトラフィックをルーティングするために Azure が使用しているルートを特定します。

1. ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。

2. [ネットワーク診断ツール] で、[次ホップ] を選択します。 次の値を入力または選択します。

   設定	値
   サブスクリプション	Azure サブスクリプションを選択します。
   Resource group	[myResourceGroup] を選択します。
   仮想マシン	[myVM] を選択します。
   ネットワーク インターフェイス	既定値のままにします。
   送信元 IP アドレス	異なる場合は、「10.0.0.4」または使用中の VM の IP を入力します。
   宛先 IP アドレス	www.bing.com への通信をテストするために「13.107.21.200」と入力します。

3. [次ホップ] ボタンを選択してテストを開始します。 テスト結果には、次ホップの種類、IP アドレス、トラフィックのルーティングに使用されるルート テーブル ID などの次ホップに関する情報が表示されます。 13.107.21.200 をテストした結果、次ホップの種類が Internet で、ルート テーブル ID が [System Route] (システム ルート) であることが示されています。これは、myVM から www.bing.com 宛に送信されるトラフィックが Azure の既定のシステム ルートを使用してインターネットにルーティングされていることを意味します。

   

4. [宛先 IP アドレス] を myNVA 仮想マシンの IP アドレスである 10.0.0.5 に変更し、[Next hop](次ホップ) ボタンを選択します。 その結果には、次ホップの種類が VirtualNetwork であり、ルート テーブル ID が [System Route] (システム ルート) であることが示されています。これは、myVM から 10.0.0.5 宛てのトラフィックが、Azure の既定のシステム ルートを使用して myVNet 仮想ネットワーク内でルーティングされていることを意味します。

   

5. 次に、[宛先 IP アドレス] を myVNet 仮想ネットワークのアドレス空間にないプライベート IP アドレスである 10.1.0.5 に変更し、[Next hop] (次ホップ) ボタンを選択します。 結果には、次ホップの種類が None であることが示されています。これは、myVM から 10.1.0.5 宛てのトラフィックが破棄されていることを意味します。

   

ルートの詳細の表示

さらに詳細にルーティングを分析するには、myVM ネットワーク インターフェイスの有効なルートを確認します。

1. ポータルの上部にある検索ボックスに「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。

2. [設定] で [ネットワーク] を選択し、ネットワーク インターフェイスを選択します。

   

3. [ヘルプ] で [有効なルート] を選択して、myVM のネットワーク インターフェイスに関連付けられているすべてのルートを表示します。

   

   前のセクションで 13.107.21.200 を使用してテストを実行したときは、他のルートにはそのアドレスが含まれていないため、0.0.0.0/0 のアドレス プレフィックスを持つルートが、そのアドレスにトラフィックをルーティングするために使用されました。 既定では、他のルートのアドレス プレフィックス内で指定されていないすべてのアドレスが、インターネットにルーティングされます。

   10.0.0.5 を使用してテストを実行したときには、10.0.0.0/16 のアドレス プレフィックスを持つルートを使用してトラフィックがルーティングされました。

   ただし、10.1.0.5 を使用してテストを実行したときには、この IP アドレスは 10.0.0.0/8 アドレス空間にあるため、結果の次ホップの種類は [None] (なし) でした。 10.0.0.0/8 アドレス プレフィックスの Azure の既定のルートでは、次ホップの種類が [None] (なし) になります。 10.1.0.5 を含むアドレス プレフィックスを仮想ネットワーク アドレス空間に追加した場合、10.1.0.5 の次ホップの種類が [None] (なし) から [VirtualNetwork] に変わります。

カスタム ルートによるルーティングの問題をテストする

次に、静的カスタム ルートを作成して Azure の既定のシステム ルートをオーバーライドし、www.bing.com との直接の通信を不可能にしている myVM 仮想マシンへのルーティングの問題を発生させます。 次に、Network Watcher の次ホップを使用して、問題のトラブルシューティングと診断を行います。

カスタム ルートを作成する

このセクションでは、仮想ネットワークの外部宛のすべてのトラフィックを特定の IP アドレスに強制的に送信する静的カスタム ルート (ユーザー定義ルート) をルート テーブルに作成します。 仮想ネットワーク アプライアンスへのトラフィックの強制送信は、一般的なシナリオです。

1. ポータルの上部にある検索ボックスに、「ルート テーブル」と入力します。 検索結果で [ルート テーブル] を選択します。

2. [+ Create](作成) を選択して、新しいルート テーブルを作成します。 [ルート テーブルの作成] ページで、次の値を入力するか選びます。

   設定	値
   プロジェクトの詳細
   サブスクリプション	Azure サブスクリプションを選択します。
   Resource group	[myResourceGroup] を選択します。
   インスタンスの詳細
   リージョン	[米国東部] を選択します。
   名前	「myRouteTable-Spoke」と入力します。
   ゲートウェイのルートを伝達する	既定値のままにします。

3. [Review + create](レビュー + 作成) を選択します。

4. 設定を確認し、 [作成] を選択します。

5. デプロイが完了したら、[リソースに移動] を選んで myRouteTable の [概要] ページに移動します。

6. [設定] で [ルート] を選択し、[+ Add](追加) を選択してカスタム ルートを追加します。

7. [ルートの追加] ページで、次の値を入力するか選びます。

   設定	値
   ルート名	「myRoute」と入力します
   アドレス プレフィックス送信先	[IP アドレス] を選択します。
   宛先 IP アドレス/CIDR 範囲	「0.0.0.0/0」と入力します。
   ネクストホップの種類	[仮想アプライアンス] を選択します。
   次ホップ アドレス	「10.0.0.5」と入力します

8. [追加] を選択します。

ルート テーブルをサブネットに関連付けます。

このセクションでは、前のセクションで作成したルート テーブルを mySubnet サブネットに関連付けます。

1. [設定] で [サブネット] を選択し、[+ Associate](関連付け) を選択して myRouteTable を mySubnet サブネットに関連付けます。

2. [サブネットの関連付け] ページで、次の値を選びます。

   設定	値
   仮想ネットワーク	[myVNet (myResourcegroup)] を選択します。
   Subnet	[MySubnet] を選択します。

3. [OK] を選択します。

[https://resources.azure.com](www.bing.com ) に移動します

myVM で Web ブラウザーを開き、www.bing.com に移動して、まだ到達可能かどうかを確認します。 作成して myVM のサブネットに関連付けたカスタム ルートによって、トラフィックが強制的に myNVA に送信されます。 このチュートリアルがルーティングの問題を示すことを目的としているために、myNVA はトラフィックを転送するように設定されていないので、トラフィックは破棄されます。

次ホップを使用してネットワーク通信をテストする

「Network Watcher の次ホップを使用してネットワーク通信をテストする」セクションで使用した手順を繰り返し、13.107.21.200 を使用して www.bing.com への通信をテストします。

有効なルートの表示

「ルートの詳細の表示」で使用した手順を繰り返して、www.bing.com への到達の問題を引き起こしたカスタム ルートを使用した後に、有効なルートを確認します。

プレフィックス 0.0.0.0/0 のカスタム ルートは Azure の既定のルートをオーバーライドし、そのために myVNet 仮想マシンの外部宛てのすべてのトラフィックが 10.0.0.5 に送信されました。

注意

このチュートリアルでは、myNVA がトラフィックを転送するように設定されていないため、www.bing.com へのトラフィックは破棄されました。 トラフィックを転送するように仮想マシンを設定する方法については、「IP 転送を有効にする」を参照してください。

リソースをクリーンアップする

リソース グループとそれに含まれるすべてのリソースが不要になったら、それらを削除します。

1. ポータル上部の [検索] ボックスに「myResourceGroup」と入力します。 検索結果に [myResourceGroup] が表示されたら、それを選択します。
2. [リソース グループの削除] を選択します。
3. [TYPE THE RESOURCE GROUP NAME:](リソース グループ名を入力してください:) に「myResourceGroup」と入力し、 [削除] を選択します。

次のステップ

このチュートリアルでは、仮想マシンを作成し、Network Watcher の次ホップを使用して、さまざまな宛先へのルーティングを診断しました。 Azure でのルーティングの詳細については、「仮想ネットワーク トラフィックのルーティング」を参照してください。

アウトバウンド VM 接続の場合は、Network Watcher の接続のトラブルシューティング機能を使って、待ち時間、VM とエンドポイントの間で許可または拒否されるネットワーク トラフィック、エンドポイントへのルートを特定できます。

2 つの仮想マシン間の通信を監視する方法については、次のチュートリアルに進んでください。

ネットワーク接続の監視