IP フロー検証診断を確認する
Azure Network Watcher の IP フロー検証機能を使用すると、インターネットとの間およびオンプレミス環境との間の接続を確認できます。 この機能は、仮想マシンまたはインターネットとの間のトラフィックが、セキュリティ規則によってブロックされているかどうかを特定するのに役立ちます。
IP フロー検証について知って必要があること
Azure Network Watcher の IP フロー検証機能について、構成の詳細と働きを調べてみましょう。
IP フロー検証機能は、Azure portal で次のプロパティを使用して構成します。
- 仮想マシンとネットワーク インターフェイス
- ローカル (ソース) ポート番号
- リモート (宛先) IP アドレスとリモート ポート番号
- 通信プロトコル (TCP または UDP)
- トラフィックの方向 (受信または送信)
この機能を使用して、マシンとの間で送受信パケットを実行することで、関連付けられたネットワーク セキュリティ グループ (NSG) 規則を持つターゲット仮想マシンの通信をテストします。
テストの実行が完了すると、この機能によって、マシンとの通信が成功 (アクセスを許可) したか失敗 (アクセスを拒否) したかが通知されます。
パケットが NSG に基づいてターゲット マシンで拒否された場合、制御しているセキュリティ規則の名前がこの機能によって返されます。
IP フロー検証を使うときに考慮する必要があること
IP フロー検証機能は、セキュリティ規則の修正を確実に適用するのに最適です。
仮想マシンをデプロイすると、Azure によってそのマシンにいくつかの既定のセキュリティ規則が適用されます。 セキュリティ規則を使用して、仮想マシンとの間のトラフィックを許可または拒否することができます。 Azure の既定の規則をオーバーライドしたり、他の規則を作成したりすることもできます。
ある時点で、セキュリティ規則により、仮想マシンが他のリソースと通信できなくなることがあります。 IP フロー検証機能を使用して、NSG 規則のトラブルシューティングを行うことができます。
テストの実行が失敗しても、IP フロー検証機能で問題と NSG 規則の関連が示されていない場合は、ファイアウォールの制限などの他の領域を調べる必要があります。