ネットワーク セキュリティ グループを使用すると、仮想マシン (VM) との間で送受信されるネットワーク トラフィックのフィルター処理と制御ができます。 また、Azure Virtual Network Manager を使用して VM に管理者セキュリティ規則を適用し、ネットワーク トラフィックを制御することもできます。
この記事では、ネットワーク セキュリティ グループ テストを使用して、VM のトラフィックに適用されているセキュリティ規則を確認し、セキュリティ規則によって仮想マシンとのトラフィックがブロックされているかどうかをチェックする方法について説明します。
前提条件
アクティブなサブスクリプションが含まれる Azure アカウント。 お持ちでない場合は、開始する前に無料アカウントを作成してください。
Azure アカウントで Azure Portal にサインインします。
Azure 仮想マシン (VM)。 まだ作成していない場合は、Linux VM または Windows VM を作成してください。
受信接続のテスト
このセクションでは、リモート IP アドレスから VM への RDP 接続が許可されているかどうかをテストします。
ポータルの上部にある検索ボックスに「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
テストする VM を選択します。
[接続] で、[接続] を選択します。
Note
仮想マシンは実行中の状態である必要があります。
[トラブルシューティング] で、[Test network security groups]\(ネットワーク セキュリティ グループのテスト\) を選択します。
[受信接続] を選択します。 受信テストには、次のオプションを使用できます。
設定 値 変換元の型 - [自分の IP アドレス]: Azure portal へのアクセスに使用している自分のパブリック IP アドレス。
- [任意の IP アドレス]: 任意のソース IP アドレス。
- [その他の IP アドレスまたは CIDR]: ソースの IP アドレスまたはアドレス プレフィックス。
- [サービス タグ]: ソース サービス タグ。IP アドレスまたは CIDR ソースとして使用する IP アドレスまたはアドレス プレフィックス。
注: [ソースの種類] で [その他の IP アドレスまたは CIDR] を選択すると、このオプションが表示されます。サービス タグ ソースとして使用するサービス タグ。
注: [ソースの種類] で [サービス タグ] を選択すると、このオプションが表示されます。サービスの種類 テストで使用できる定義済みサービスの一覧。
注:
- 定義済みサービスを選択すると、サービスのポート番号とプロトコルが自動的に選択されます。
- 必要なポートとプロトコルの情報が表示されない場合は、[Custom] を選択し、ポート番号を入力して目的のプロトコルを選択します。Port VM のポート番号。
注: 定義済みサービスのいずれかを選択すると、正しいポート番号が自動的に選択されます。
[サービスの種類] で [Custom] を選択した場合に、ポート番号を手動で入力します。Protocol 接続プロトコル。 使用できるオプションは、 [任意]、[TCP]、[UDP] です。
注: 定義済みのサービスのいずれかを選択すると、サービスが使用する正しいプロトコルが自動的に選択されます。
[サービスの種類] で [Custom] を選択した場合に、プロトコルを手動で選択します。リモート IP アドレスから VM への RDP 接続が許可されているかどうかをテストするには、次の値を選択します。
設定 値 変換元の型 [自分の IP アドレス] を選択します。 サービスの種類 [RDP] を選択します。 Port 既定値の [3389] のままにします。 Protocol 既定値の [TCP] のままにします。 [テストの実行] を選択します。
数秒後に、テストの詳細が表示されます。
- リモート IP アドレスから VM への RDP 接続が許可されている場合は、[トラフィックの状態: 許可] と表示されます。
- RDP 接続がブロックされている場合は、[トラフィックの状態: 拒否済み] と表示されます。 [概要] セクションには、トラフィックをブロックしているセキュリティ規則が表示されます。
リモート IP アドレスから VM への RDP 接続を許可するには、リモート IP アドレスからの RDP 接続を許可するセキュリティ規則をネットワーク セキュリティ グループに追加します。 このセキュリティ規則は、トラフィックをブロックしているセキュリティ規則よりも優先順位が高い必要があります。 詳細については、「ネットワーク セキュリティ グループを作成、変更、削除」をご覧ください。
送信接続のテスト
このセクションでは、VM がインターネットに接続できることをテストします。
ポータルの上部にある検索ボックスに「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
テストする VM を選択します。
[接続] で、[接続] を選択します。
Note
仮想マシンは実行中の状態である必要があります。
[トラブルシューティング] で、[Test network security groups]\(ネットワーク セキュリティ グループのテスト\) を選択します。
[送信接続] を選択します。 送信テストには、次のオプションを使用できます。
設定 値 サービスの種類 テストで使用できる定義済みサービスの一覧。
注:
- 定義済みサービスを選択すると、サービスのポート番号とプロトコルが自動的に選択されます。
- 必要なポートとプロトコルの情報が表示されない場合は、[Custom] を選択し、ポート番号を入力して目的のプロトコルを選択します。Port VM のポート番号。
注: 定義済みサービスのいずれかを選択すると、正しいポート番号が自動的に選択されます。
[サービスの種類] で [Custom] を選択した場合に、ポート番号を手動で入力します。Protocol 接続プロトコル。 使用できるオプションは、 [任意]、[TCP]、[UDP] です。
注: 定義済みのサービスのいずれかを選択すると、サービスが使用する正しいプロトコルが自動的に選択されます。
[サービスの種類] で [Custom] を選択した場合に、プロトコルを手動で選択します。変換先の型 - [自分の IP アドレス]: Azure portal へのアクセスに使用している自分のパブリック IP アドレス。
- [任意の IP アドレス]: 任意のソース IP アドレス。
- [その他の IP アドレスまたは CIDR]: ソースの IP アドレスまたはアドレス プレフィックス。
- [サービス タグ]: ソース サービス タグ。IP アドレスまたは CIDR 宛先として使用する IP アドレスまたはアドレス プレフィックス。
注: [ソースの種類] で [その他の IP アドレスまたは CIDR] を選択すると、このオプションが表示されます。サービス タグ 宛先として使用するサービス タグ。
注: [ソースの種類] で [サービス タグ] を選択すると、このオプションが表示されます。VM がインターネットに接続できるかどうかをテストするには、次の値を選択します。
設定 値 サービスの種類 [カスタム] を選択します。 Port 既定値の [50000] のままにします。 Protocol 既定値の [Any](すべて) のままにします。 変換先の型 [任意の IP アドレス] を選択します。 [テストの実行] を選択します。
数秒後に、テストの詳細が表示されます。
- VM からインターネットへの接続が許可されている場合は、[トラフィックの状態: 許可] と表示されます。
- インターネットへの接続がブロックされている場合は、[トラフィックの状態: 拒否済み] と表示されます。 [概要] セクションには、トラフィックをブロックしているセキュリティ規則が表示されます。
VM からのインターネット接続を許可するには、インターネット サービス タグへの接続を許可するセキュリティ規則をネットワーク セキュリティ グループに追加します。 このセキュリティ規則は、トラフィックをブロックしているセキュリティ規則よりも優先度が高い必要があります。 詳細については、「ネットワーク セキュリティ グループを作成、変更、削除」をご覧ください。
関連するコンテンツ
- VM 接続のトラブルシューティング方法については、「Azure Portal を使用した Azure Network Watcher との接続のトラブルシューティング」を参照してください。
- ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関する記事を参照してください。