Azure Network Watcher の IP フロー検証の概要

IP フロー検証は、仮想マシンから送受信されるパケットの許可または拒否の状況を検証します。 この情報は、方向、プロトコル、ローカル IP、リモート IP、ローカル ポート、リモート ポートで構成されます。 パケットがセキュリティ グループにより拒否された場合、そのパケットを拒否した規則の名前が返されます。 管理者は、任意の送信元または送信先の IP を選択でき、IP フロー検証を使用してインターネットまたはオンプレミス環境との接続の問題をすばやく診断できます。

IP フロー検証では、サブネットや仮想マシン NIC など、ネットワーク インターフェイスに適用されるすべてのネットワーク セキュリティ グループ (NSG) に対するルールが調べられます。 次に、そのネットワーク インターフェイスに関する構成済みの設定に基づいてトラフィック フローが検証されます。 IP フロー検証は、仮想マシンとの間のイングレスまたはエグレス トラフィックがネットワーク セキュリティ グループ内の規則によってブロックされているかどうかを確認するのに役立ちます。 NSG ルールの評価と共に、Azure Virtual Network Manager のルールも評価されます。

Azure Virtual Network Manager (AVNM) は、サブスクリプション全体でグローバルにユーザーが仮想ネットワークをグループ化、構成、デプロイ、管理できるようにする管理サービスです。 AVNM のセキュリティ構成を使用すると、ユーザーは、グローバル レベルで 1 つ以上のネットワーク グループに適用できる規則のコレクションを定義できます。 これらのセキュリティ規則は、ネットワーク セキュリティ グループ (NSG) 規則よりも優先順位が高くなります。 ここで注意すべき重要な違いは、管理規則は、ガバナンスおよびセキュリティ チームによって管理される中央の場所で ANM によって配信されるリソースであり、最終的に各 Vnet に伝えられるという点です。 NSG は、各サブネットまたは NIC レベルで適用される Vnet 所有者によって制御されるリソースです。

Network Watcher のインスタンスは、IP フロー検証を実行する予定のすべてのリージョンに作成する必要があります。 Network Watcher はリージョン別のサービスであり、同じリージョン内のリソースに対してのみ実行できます。 NIC またはサブネットに関連付けられたルートは返されるため、使用されるインスタンスは IP フロー検証の結果には影響しません。

次のステップ

ポータルを使用して特定の仮想マシンでのパケットの許可または拒否の状況を確認する方法については、次の記事をご覧ください。 ポータルを使用して VM でトラフィックが許可されているかどうかを IT フロー検証で確認する方法