次の方法で共有


クラシック デプロイ モデルを使用して、Windows 仮想マシンでエンドポイントを設定する

重要

クラシック VM は 2023 年 3 月 1 日に廃止される予定です。

ASM の IaaS リソースを使用する場合は、すぐに移行の計画を開始し、2023 年 3 月 1 日までに完了してください。ASM の IaaS リソースを使用する場合は、すぐに移行の計画を開始し、2023 年 3 月 1 日までに完了してください。 Azure Resource Manager の多数の機能強化を活用するために、早急に切り替えを行うことをお勧めします。

詳細については、「2023 年 3 月 1 日までに IaaS リソースを Azure Resource Manager に移行する」を参照してください。

クラシック デプロイ モデルを使用して Azure で作成した Windows Virtual Machines (VM) では、プライベート ネットワーク チャネルを介して、同じクラウド サービスまたは仮想ネットワーク内の他の VM と自動的に通信することができます。 しかし、インターネットまたは他の仮想ネットワークにあるコンピューターには、VM への着信ネットワーク トラフィックを転送するエンドポイントが必要になります。

Linux Virtual Machines 上でエンドポイントを設定することもできます。

重要

Azure には、リソースの作成と操作に関して、2 種類のデプロイ モデルがあります。Resource Manager とクラシックです。 この記事では、クラシック デプロイ モデルについて説明します。 最新のデプロイメントでは、リソース マネージャー モデルを使用することをお勧めします。

2017 年 11 月 15 日から、仮想マシンは Azure portal でのみ使用できます。

Resource Manager デプロイ モデルでは、エンドポイントはネットワーク セキュリティ グループ (NSG) を使用して構成されます。 詳細については、Azure portal を使用する VM への外部アクセスの許可に関するページを参照してください。

Azure portal で Windows VM を作成すると、共通エンドポイント (リモート デスクトップや Windows PowerShell リモート処理用のエンドポイントなど) が通常は自動的に作成されます。 必要に応じて、あとで追加のエンドポイントを構成できます。

各エンドポイントには、 パブリック ポートプライベート ポートがあります。

  • パブリック ポートは、インターネットから仮想マシンに発信される着信トラフィックをリッスンするときに、Azure Load Balancer によって使用されます。
  • プライベート ポートは、一般的に仮想マシンで実行されているアプリケーションまたはサービスを宛先とする着信トラフィックをリッスンする仮想マシンによって使用されます。

Azure ポータルでエンドポイントを作成するときに、周知のネットワーク プロトコルの IP プロトコルと、TCP ポートまたは UDP ポートの既定値が提示されます。 カスタム エンドポイントの場合、正しい IP プロトコル (TCP または UDP) と、パブリック ポートとプライベート ポートを指定します。 着信トラフィックを複数の仮想マシンにランダムに分散するには、複数のエンドポイントで構成される負荷分散セットを作成します。

エンドポイントを作成した後、アクセス制御リスト (ACL) を使用して、発信元 IP アドレスに基づいて、エンドポイントのパブリック ポートを宛先とする着信トラフィックの許可または拒否に役立つルールを定義できます。 ただし、仮想マシンが Azure Virtual Network 内にある場合、ネットワーク セキュリティ グループを代わりに使用します。 詳細については、「 ネットワーク セキュリティ グループについて」をご覧ください。

Note

Azure が自動で設定するリモート接続エンドポイントに関連付けられているポートに対して、Azure 仮想マシンのファイアウォール構成が自動的に行われます。 他のすべてのエンドポイントに対して指定されているポートについては、仮想マシンのファイアウォールは自動的には構成されません。 仮想マシンにエンドポイントを作成するとき、仮想マシンのファイアウォールで、エンドポイントの構成に対応するプロトコルとプライベート ポートでトラフィックが許可されていることを確認します。 ファイアウォールを構成するには、仮想マシンで実行しているオペレーティング システムの文書またはオンライン ヘルプを参照してください。

エンドポイントの作成

  1. Azure portal にサインインします。

  2. [仮想マシン] をクリックし、構成する仮想マシンを選択します。

  3. [設定] グループで [エンドポイント] を選択します。 仮想マシンの現在のすべてのエンドポイントが表示されている [エンドポイント] ページが表示されます。 (この例は Windows VM 用です。Linux VM では、既定で SSH のエンドポイントが表示されます)。

    エンドポイント

  4. エンドポイントのエントリの上部にあるコマンド バーで、[追加] を選択します。 [エンドポイントの追加] ページが表示されます。

  5. [名前] に、エンドポイントの名前を入力します。

  6. [プロトコル] に、[TCP] または [UDP] のどちらかを選択します。

  7. [パブリック ポート] に、インターネットからのトラフィックが着信するポート番号を入力します。

  8. [プライベート ポート]に、仮想マシンがリッスンするポート番号を入力します。 パブリック ポートとプライベート ポートには異なる番号を指定できます。 プロトコルとプライベート ポートに対応するトラフィックを許可するように、仮想マシン上のファイアウォールが構成されていることを確認します。

  9. [OK] を選択します。

新しいエンドポイントが [エンドポイント] ページの一覧に表示されます。

エンドポイントの作成に成功

エンドポイントの ACL の管理

トラフィックを送信できるコンピューターを定義するために、エンドポイント上の ACL によって、発信元 IP アドレスに基づいてトラフィックを制限できます。 エンドポイントの ACL を追加、変更、削除するには、次のステップに従います。

注意

エンドポイントが負荷分散セットの一部である場合、エンドポイントの ACL に対して行った変更はそのセット内のすべてのエンドポイントに適用されます。

仮想マシンが Azure Virtual Network 内にある場合、ACL の代わりにネットワーク セキュリティ グループを使用します。 詳細については、「 ネットワーク セキュリティ グループについて」をご覧ください。

  1. Azure portal にサインインします。

  2. [仮想マシン] を選択し、構成する仮想マシンの名前を選択します。

  3. [エンドポイント] を選択します。 エンドポイントの一覧から適切なエンドポイントを選択します。 ページの下部に ACL リストがあります。

    [HTTPS エンドポイントの ACL の詳細の指定]

  4. 一覧内の行を使用して、ACL のルールの追加、削除、編集を行い、順序を変更します。 [リモート サブネット] の値は、インターネットからのトラフィックを着信する IP アドレスの範囲です。Azure Load Balancer では、この値を使用して、発信元 IP アドレスに基づいてトラフィックを許可または拒否します。 IP アドレスの範囲は、クラスレス ドメイン間ルーティング (CIDR) 形式 (アドレス プレフィックス形式とも呼ばれる) で指定してください。 たとえば、「 10.1.0.0/8 」のように入力します。

新しい ACL エントリ

ルールを使用して、インターネット上のご使用のコンピューターに該当する特定のコンピューターから発信されるトラフィックのみを許可したり、特定の範囲の既知のアドレスから発信されるトラフィックを拒否したりすることができます。

ルールの評価は、一覧の最初に示されているルールから開始され、最後に示されているルールで終了します。 そのため、一覧には、制限の最も少ないルールから制限の最も多いルールの順に整列されている必要があります。 詳細については、ネットワーク アクセス制御リストの概要に関するページを参照してください。

次のステップ