次の方法で共有

クラシック デプロイ モデルを使用して Windows 仮想マシンにエンドポイントを設定する

  • [アーティクル]

重要

クラシック VM は、2023 年 3 月 1 日に廃止されます。

ASM から IaaS リソースを使用する場合は、2023 年 3 月 1 日までに移行を完了してください。 Azure Resource Manager の多数の機能強化を活用するために、早急に切り替えを行うことをお勧めします。

詳細については、「2023 年 3 月 1 日までに IaaS リソースを Azure Resource Manager に移行するを参照してください。

クラシック デプロイ モデルを使用して Azure で作成した Windows 仮想マシン (VM) は、プライベート ネットワーク チャネル経由で、同じクラウド サービスまたは仮想ネットワーク内の他の VM と自動的に通信できます。 ただし、インターネットまたはその他の仮想ネットワーク上のコンピューターでは、受信ネットワーク トラフィックを VM に転送するためにエンドポイントが必要です。

Linux 仮想マシンでエンドポイントを設定することもできます。

重要

Azure には、リソースの作成と操作に関して、2 種類のデプロイ モデルがあります。Resource Manager とクラシックです。 この記事では、クラシック デプロイ モデルについて説明します。 最新のデプロイメントでは、リソース マネージャー モデルを使用することをお勧めします。

2017 年 11 月 15 日より、仮想マシンは Azure portalでのみ使用できるようになります。

Resource Manager デプロイ モデルでは、エンドポイントはネットワーク セキュリティ グループ (NSG) を使用して構成されます。 詳細については、「 Azure portal を使用して VM への外部アクセスを許可する」を参照してください

Azure portal で Windows VM を作成すると、通常、リモート デスクトップや Windows PowerShell リモート処理のエンドポイントなどの一般的なエンドポイントが自動的に作成されます。 必要に応じて、後で追加のエンドポイントを構成できます。

各エンドポイントには、パブリック ポートプライベート ポートがあります。

  • パブリック ポートは、インターネットから仮想マシンへの着信トラフィックをリッスンするために Azure ロード バランサーによって使用されます。
  • プライベート ポートは、着信トラフィックをリッスンするために仮想マシンによって使用されます。通常は、仮想マシンで実行されているアプリケーションまたはサービス宛てです。

Azure portal でエンドポイントを作成すると、既知のネットワーク プロトコルの IP プロトコルと TCP または UDP ポートの既定値が提供されます。 カスタム エンドポイントの場合は、適切な IP プロトコル (TCP または UDP) とパブリック ポートとプライベート ポートを指定します。 受信トラフィックを複数の仮想マシンにランダムに分散するには、複数のエンドポイントで構成される負荷分散セットを作成します。

エンドポイントを作成したら、アクセス制御リスト (ACL) を使用して、送信元 IP アドレスに基づいてエンドポイントのパブリック ポートへの着信トラフィックを許可または拒否する規則を定義できます。 ただし、仮想マシンが Azure 仮想ネットワーク内にある場合は、代わりにネットワーク セキュリティ グループを使用します。 詳細については、「ネットワーク セキュリティ グループのについて」を参照してください。

Azure 仮想マシンのファイアウォール構成は、Azure が自動的に設定するリモート接続エンドポイントに関連付けられているポートに対して自動的に行われます。 他のすべてのエンドポイントに対して指定されたポートの場合、仮想マシンのファイアウォールに対して自動的に構成は行われません。 仮想マシンのエンドポイントを作成するときは、仮想マシンのファイアウォールで、エンドポイント構成に対応するプロトコルとプライベート ポートのトラフィックも許可されていることを確認します。 ファイアウォールを構成するには、仮想マシンで実行されているオペレーティング システムのドキュメントまたはオンライン ヘルプを参照してください。

エンドポイントを作成する

  1. Azure portal にサインインします。

  2. 仮想マシンを選択し、構成する仮想マシンを選択します。

  3. [設定] グループで エンドポイントを選択します。 エンドポイント ページが表示され、仮想マシンの現在のすべてのエンドポイントが一覧表示されます。 (この例は Windows VM 用です。Linux VM では、既定で SSH のエンドポイントが表示されます)。

    エンドポイント

  4. エンドポイント エントリの上にあるコマンド バーで、[追加] を選択します。 [エンドポイント の追加] ページが表示されます。

  5. 名前に、エンドポイントの名前を入力します。

  6. [プロトコル] では、[TCP] または [UDP] を選択します。

  7. パブリック ポートには、インターネットからの着信トラフィックのポート番号を入力します。

  8. プライベート ポートでは、仮想マシンがリッスンしているポート番号を入力します。 パブリック ポート番号とプライベート ポート番号は異なる場合があります。 プロトコルとプライベート ポートに対応するトラフィックを許可するように、仮想マシン上のファイアウォールが構成されていることを確認します。

  9. [OK] を選択.

新しいエンドポイントは、エンドポイント ページに一覧表示されます。

エンドポイントの作成が成功した

エンドポイントで ACL を管理する

トラフィックを送信できるコンピューターのセットを定義するために、エンドポイント上の ACL は送信元 IP アドレスに基づいてトラフィックを制限できます。 エンドポイントの ACL を追加、変更、または削除するには、次の手順に従います。

エンドポイントが負荷分散セットの一部である場合、エンドポイントの ACL に加えた変更は、セット内のすべてのエンドポイントに適用されます。

仮想マシンが Azure 仮想ネットワーク内にある場合は、ACL ではなくネットワーク セキュリティ グループを使用します。 詳細については、「ネットワーク セキュリティ グループのについて」を参照してください。

  1. Azure portal にサインインします。

  2. [仮想マシン 選択し、構成する仮想マシンの名前を選択します。

  3. [エンドポイント] を選択します。 エンドポイントの一覧から、適切なエンドポイントを選択します。 ACL リストはページの下部にあります。

    ACL の詳細 を指定する

  4. 一覧の行を使用して、ACL のルールを追加、削除、または編集し、順序を変更します。 REMOTE SUBNET 値は、Azure ロード バランサーが送信元 IP アドレスに基づいてトラフィックを許可または拒否するために使用するインターネットからの受信トラフィックの IP アドレス範囲です。 IP アドレス範囲は、クラスレスドメイン間ルーティング (CIDR) 形式 (アドレス プレフィックス形式とも呼ばれます) で指定してください。 たとえば、10.1.0.0/8 のようにします。

ACL の新しいエントリ

ルールを使用すると、インターネット上のコンピューターに対応する特定のコンピューターからのトラフィックのみを許可したり、特定の既知のアドレス範囲からのトラフィックを拒否したりできます。

ルールは、最初のルールから始まり、最後のルールで終わる順序で評価されます。 したがって、規則は、最も制限の厳しい制限から最も制限の厳しい順に並べ替える必要があります。 詳細については、「ネットワーク アクセス制御リストとは」を参照してください。

次のステップ