<目次>
(1) Azureの「NSG」とは?概要と設定方法について
(1-1) NSG(ネットワークセキュリティグループ)とは?
(1-2) NSGの設定内容について
(1-3) NSGの設定手順
(1-4) 備考
(1) Azureの「NSG」とは?概要と設定方法について
Azureの「NSG」(ネットワークセキュリティグループ)と「Azure Firewall」は両方とも「ファイアウォール」(通信を設定した規則に従い許可/遮断する機能)の技術ですが、本記事ではそれぞれの特徴や両者の違いについて整理した内容をご紹介します。
(1-1) 構文
・「仮想マシン」の通信を制御する「パーソナルファイアウォール」(ホスト単位に保護)です。つまり、特定のコンピュータへの通信(受信/送信)を制限します。身近な例ではWindows 10に搭載されているWindows Firewallなどが「パーソナルファイアウォール」の例です。
(例)
下図のようなWeb/APサーバが2台、DBサーバが1台の構成のWebアプリがあり、インターネットを経由してアクセスされると仮定します。この時、NSGを何も設定していない場合、例えば「インターネット⇒DB」といった、本来許可したくない経路の通信まで許可されてしまいます・・・
(図111)BEFORE(NSG導入前)
しかし、NSG(ネットワークセキュリティグループ)を導入する事によって、例えば仮想ネットワーク内部の通信は許可するけど、外部からのDBはアクセス禁止にする、といったNSGをサブネットに適用する事で、そのような状況を作りだす事が出来ます。
(図112)AFTER(NSG導入後)
(1-2) NSGの設定内容について
NSGは「送信」と「受信」の規則を設定する事ができ、それぞれ次のような設定値があります。
(表)ルールの設定値
| ●設定項目 | ●説明 |
| 優先度 | 数字が小さい方が優先されます |
| ソース | 通信の送り主の「IPアドレス」などを指定します。 (どのIPアドレスからの通信を制御するか?) |
| ソースポート範囲 | 通信の送り主の先ポートを指定します。 (HTTPを制御する場合は80など) |
| サービス | 制御する通信のプロトコル/サービスを指定します。 HTTP、HTTPS、RDPといった馴染みのあるプロトコルから、MySQL等のデータベースサービスも指定可能です。 |
| 宛先 | 通信の宛先「IPアドレス」や「仮想ネットワーク」等を指定します。 (どのIPアドレス・仮想ネットワーク宛の通信を制御するか?) |
| 宛先ポート範囲 | 通信の宛先ポート(通信の宛先ポート)を指定します。 サービスを指定した場合、自動で埋まります。 (RDP=3389など) |
| プロトコル | 通信の宛先プロトコルを指定します。 サービスを指定した場合、自動で埋まります。 (TCP、UDPなど) |
(図121)設定画面
(1-3) NSGの設定手順
・①Azure Portalから「Network Security Group」を検索します。
(図131)
・②「+新規」を押下します。
(図132)
・③設定項目を入力して「確認および作成」を押下します。
(図133)
(表)設定項目
| タブ | 設定項目 | 説明 |
| 基本 | サブスクリプション (Subscription) |
NSGを紐づけるサブスクリプションの名前を入力します。 |
| 基本 | リソースグループ (Resouce Group) |
NSGに紐づけるリソースグループを選択します。 リソースグループの概念や作成方法については、こちらのページ(⇒★リソースグループのURL)をご参照頂けたらと思います。 |
| 基本 | 仮想マシン名 | NSGの名称を指定します。 |
| 基本 | 地域 (Region) |
NSGをホストする地理的な立地(リージョン)を選択します。ご自身のサービスのユーザが居る場所に最も近い場所を選択する事で、最も高い性能を発揮できます。 |
・④検証⇒作成完了
(図134)①
↓
(図134)②
(1-4) 備考
NSGは「サブネット」またはVMの「NIC」のいずれかに対して割り当てる事ができます。
(図141)
(図142)
