Rainbow Engine

IT技術を分かりやすく簡潔にまとめることによる学習の効率化、また日常の気付きを記録に残すことを目指します。

Azure Microsoft

Azureの「NSG」とは?概要と設定方法について

投稿日:2021年7月21日 更新日:

 

<目次>

(1) Azureの「NSG」とは?概要と設定方法について
 (1-1) NSG(ネットワークセキュリティグループ)とは?
 (1-2) NSGの設定内容について
 (1-3) NSGの設定手順
 (1-4) 備考

(1) Azureの「NSG」とは?概要と設定方法について

Azureの「NSG」(ネットワークセキュリティグループ)と「Azure Firewall」は両方とも「ファイアウォール」(通信を設定した規則に従い許可/遮断する機能)の技術ですが、本記事ではそれぞれの特徴や両者の違いについて整理した内容をご紹介します。

(1-1) 構文

・「仮想マシン」の通信を制御する「パーソナルファイアウォール」(ホスト単位に保護)です。つまり、特定のコンピュータへの通信(受信/送信)を制限します。身近な例ではWindows 10に搭載されているWindows Firewallなどが「パーソナルファイアウォール」の例です。

(例)
下図のようなWeb/APサーバが2台、DBサーバが1台の構成のWebアプリがあり、インターネットを経由してアクセスされると仮定します。この時、NSGを何も設定していない場合、例えば「インターネット⇒DB」といった、本来許可したくない経路の通信まで許可されてしまいます・・・
 

(図111)BEFORE(NSG導入前)

しかし、NSG(ネットワークセキュリティグループ)を導入する事によって、例えば仮想ネットワーク内部の通信は許可するけど、外部からのDBはアクセス禁止にする、といったNSGをサブネットに適用する事で、そのような状況を作りだす事が出来ます。
 
(図112)AFTER(NSG導入後)
 

目次にもどる

(1-2) NSGの設定内容について

NSGは「送信」と「受信」の規則を設定する事ができ、それぞれ次のような設定値があります。

(表)ルールの設定値

●設定項目 ●説明
優先度 数字が小さい方が優先されます
ソース 通信の送り主の「IPアドレス」などを指定します。
(どのIPアドレスからの通信を制御するか?)
ソースポート範囲 通信の送り主の先ポートを指定します。
(HTTPを制御する場合は80など)
サービス 制御する通信のプロトコル/サービスを指定します。
HTTP、HTTPS、RDPといった馴染みのあるプロトコルから、MySQL等のデータベースサービスも指定可能です。
宛先 通信の宛先「IPアドレス」や「仮想ネットワーク」等を指定します。
(どのIPアドレス・仮想ネットワーク宛の通信を制御するか?)
宛先ポート範囲 通信の宛先ポート(通信の宛先ポート)を指定します。
サービスを指定した場合、自動で埋まります。
(RDP=3389など)
プロトコル 通信の宛先プロトコルを指定します。
サービスを指定した場合、自動で埋まります。
(TCP、UDPなど)

(図121)設定画面

目次にもどる

(1-3) NSGの設定手順

・①Azure Portalから「Network Security Group」を検索します。

(図131)

・②「+新規」を押下します。
(図132)

・③設定項目を入力して「確認および作成」を押下します。
(図133)

(表)設定項目

タブ 設定項目 説明
基本 サブスクリプション
(Subscription)
NSGを紐づけるサブスクリプションの名前を入力します。
基本 リソースグループ
(Resouce Group)
NSGに紐づけるリソースグループを選択します。
リソースグループの概念や作成方法については、こちらのページ(⇒★リソースグループのURL)をご参照頂けたらと思います。
基本 仮想マシン名 NSGの名称を指定します。
基本 地域
(Region)
NSGをホストする地理的な立地(リージョン)を選択します。ご自身のサービスのユーザが居る場所に最も近い場所を選択する事で、最も高い性能を発揮できます。
・④検証⇒作成完了
(図134)①

(図134)②

・⑤左メニューのブレードから「受信セキュリティ規則」「送信セキュリティ規則」を選択してルールの設定を行います。
(図135)

(図136)ルールの設定画面

 

目次にもどる

(1-4) 備考

NSGは「サブネット」またはVMの「NIC」のいずれかに対して割り当てる事ができます。

(図141)

(図142)

目次にもどる

Adsense審査用広告コード


Adsense審査用広告コード


-Azure, Microsoft

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

Azureで「subscription is not registered to use namespace ‘Microsoft.EventGrid’.」エラーが出た時の原因と対処

  <目次> (1) Azureで「subscription is not registered to use namespace ‘Microsoft.EventGrid&#8 …

Azure DevOpsのPipelineの使い方をご紹介(入門編)

  <目次> (1) Azure DevOpsのPipelineの使い方をご紹介(入門編)  (1-1) 概要  (1-2) Pipeline疎通の手順 (1) Azure DevOpsのP …

Azure Storageをネットワークドライブに割り当てする方法

  <目次> (1) Azure Storageをネットワークドライブに割り当てする方法  (1-1) Azure Storageについて  (1-2) ネットワークドライブへの割り当て手順 …

Outlookで予定表の分類の「色」選択が表示されない原因と対策

  <目次> (1) Outlookで予定表の分類の「色」選択が表示されない原因と対策  (1-1) 発生事象  (1-2) 原因  (1-3) 対策 (1) Outlookで予定表の分類の …

AzureのARMテンプレートをPowerShellからデプロイする手順をご紹介

  <目次> (1) AzureのARMテンプレートをPowerShellからデプロイする手順をご紹介  (1-1) Azure Resouce Managerとは?  (1-2) ARMテ …

  • English (United States)
  • 日本語
Top