Azure 仮想マシンのネットワーク設定を構成する

カスタム ソフトウェアをインストールし、FTP サーバーを設定し、ビデオ ファイルを受信するように VM を構成しました。 ただし、FTP を使用してパブリック IP アドレスに接続しようとすると、ブロックされていることがわかります。

サーバー構成の調整は、通常、オンプレミス環境の機器で実行されます。 この意味では、Azure VM をその環境の拡張機能と見なすことができます。 Azure portal、Azure CLI、または Azure PowerShell ツールを使用して、構成の変更、ネットワークの管理、トラフィックのオープンまたはブロックなどを行うことができます。

仮想マシンの [概要 ] パネルには、基本的な情報と管理オプションの一部が既に表示されています。 ネットワーク構成についてもう少し詳しく見てみましょう。

Azure VM でポートを開く

既定では、新しい VM はロックダウンされます。

アプリは送信要求を行うことができますが、許可される受信トラフィックは、仮想ネットワーク (同じローカル ネットワーク上の他のリソースなど) と Azure の Load Balancer (プローブ チェック) からのトラフィックだけです。

FTP をサポートするように構成を調整するには、2 つの手順があります。 新しい VM を作成するときに、いくつかの一般的なポート (RDP、HTTP、HTTPS、SSH) を開く機会があります。 ただし、ファイアウォールに他の変更が必要な場合は、自分で変更する必要があります。

このプロセスには、次の 2 つの手順が含まれます。

1. ネットワーク セキュリティ グループを作成します。
2. アクティブな FTP サポートのためにポート 20 と 21 のトラフィックを許可する受信規則を作成します。

ネットワーク セキュリティ グループとは

仮想ネットワーク (VNet) は、Azure ネットワーク モデルの基盤であり、分離と保護を提供します。 ネットワーク セキュリティ グループ (NSG) は、ネットワーク レベルでネットワーク トラフィック ルールを適用および制御するために使用する主要なツールです。 NSG は、VNet 上の受信トラフィックと送信トラフィックをフィルター処理してソフトウェア ファイアウォールを提供するオプションのセキュリティ層です。

セキュリティ グループは、ネットワーク インターフェイス (ホストごとの規則の場合)、仮想ネットワーク内のサブネット (複数のリソースに適用する場合)、または両方のレベルに関連付けることができます。

セキュリティ グループの規則

NSG は ルール を使用して、ネットワークを通過するトラフィックを許可または拒否します。 各規則は、送信元と宛先のアドレス (または範囲)、プロトコル、ポート (または範囲)、方向 (受信または送信)、数値の優先順位、および規則に一致するトラフィックを許可または拒否するかどうかを識別します。 次の図は、サブネットレベルとネットワーク インターフェイス レベルで適用される NSG ルールを示しています。

各セキュリティ グループには、前のセクションで説明した既定のネットワーク規則を適用するための既定のセキュリティ規則のセットがあります。 これらの既定の規則は変更できませんが、オーバーライド することはできます 。

Azure でのネットワーク 規則の使用方法

受信トラフィックの場合、Azure はサブネットに関連付けられているセキュリティ グループを処理し、その後、ネットワーク インターフェイスに適用されたセキュリティ グループを処理します。 送信トラフィックは反対の順序で処理されます (最初にネットワーク インターフェイスが、次にサブネットが続きます)。

規則は "優先度順" に評価されます (最低優先度の規則が最初)。 拒否規則は常に評価を 停止します 。 たとえば、送信要求がネットワーク インターフェイスルールによってブロックされている場合、サブネットに適用されたルールはチェックされません。 セキュリティ グループ経由でトラフィックを許可するには、適用 されているすべての グループを通過する必要があります。

最後のルールは常に [すべて拒否] ルールです。 これは、優先度が 65500 の受信トラフィックと送信トラフィックの両方について、すべてのセキュリティ グループに追加される既定の規則です。 つまり、トラフィックがセキュリティ グループを通過するには、 許可規則が必要 です。または、既定の最終規則によってブロックされます。 セキュリティ規則の詳細を確認します。