次の方法で共有

Windows Admin Centerでタグを使用してネットワーク セキュリティ グループを構成する

  • [アーティクル]

適用対象: Azure Stack HCI バージョン 23H2 および 22H2

この記事では、Windows Admin Centerでネットワーク セキュリティ タグを使用してネットワーク セキュリティ グループを構成する方法について説明します。

ネットワーク セキュリティ タグを使用すると、カスタム ユーザー定義タグを作成し、それらのタグを仮想マシン (VM) ネットワーク インターフェイスにアタッチし、これらのタグに基づいてネットワーク アクセス ポリシー (ネットワーク セキュリティ グループを使用) を適用できます。

ネットワーク セキュリティ タグを使用してセキュリティを簡素化する

ネットワーク セキュリティ グループを使用すると、ネットワーク プレフィックスやサブネットなどのネットワークコンストラクトに基づいてアクセス ポリシーを構成できます。 たとえば、Web サーバー VM とデータベース VM 間の通信を制限する場合は、対応するネットワーク サブネットを特定し、それらのサブネット間の通信を拒否するポリシーを作成する必要があります。 ただし、この方法にはいくつかの制限があります。

  • セキュリティ ポリシーはネットワークコンストラクトに関連付けられています。つまり、特定のネットワーク セグメントに存在するアプリケーションを把握する必要があります。 ネットワーク インフラストラクチャとアーキテクチャを理解することが重要になります。

  • アプリケーションのポリシーを構築する場合は、さまざまなシナリオで再利用することが必要になる場合があります。 たとえば、運用 Web アプリにインターネットからポート 80 経由でのみアクセスでき、運用環境やその他の環境の他のアプリからアクセスできない場合は、新しいアプリに対して同様のポリシーが適用されます。 ただし、ネットワークのセグメント化では、アプリごとに固有のネットワーク要素が原因でポリシーを再作成する必要があります。

  • 古いアプリケーションの使用を停止し、同じネットワーク セグメント内に新しいアプリケーションをプロビジョニングする場合は、ポリシーの調整が必要です。

ネットワーク セキュリティ タグ機能を使用すると、アプリケーションがホストされているネットワーク セグメントを追跡する必要がなくなります。 これにより、ポリシー管理が簡略化され、ネットワークコンストラクトに関連する複雑さが回避されます。 Web サーバーとデータベース VM で例を再考しましょう。対応する VM に "Web" と "Database" のネットワーク セキュリティ タグをタグ付けし、"Web" タグと "Database" タグ間の通信を制限するルールを作成します。

ネットワーク セキュリティ タグ ベースのネットワーク セキュリティ グループを作成する

ネットワーク セキュリティ タグ ベースのネットワーク セキュリティ グループを作成するには、次の手順に従います。

  1. 1 つ以上のネットワーク セキュリティ タグを作成します

  2. VM にネットワーク セキュリティ タグを割り当てます

  3. ネットワーク セキュリティ グループを作成します

  4. ネットワーク セキュリティ グループのネットワーク セキュリティ規則を作成します。

  5. VM、ネットワーク サブネット、ネットワーク セキュリティ タグにネットワーク セキュリティ グループを適用します

ネットワーク セキュリティ タグを作成する

  1. Windows Admin Centerホーム画面の [すべての接続] で、ネットワーク セキュリティ グループを作成するクラスターを選択します。

  2. [ ツール] で[ ネットワーク ] 領域まで下にスクロールし、[ ネットワーク セキュリティ グループ] を選択します。

  3. [ ネットワーク セキュリティ グループ] で、[ ネットワーク セキュリティ タグ ] タブを選択し、[ 新規] を選択します。

  4. [ ネットワーク セキュリティ タグの作成 ] ウィンドウで、[名前] フィールドにネットワーク セキュリティ タグの 名前 を入力します。

    [ネットワーク セキュリティ タグの作成] ペインのスクリーンショット。

  5. (省略可能)[ 種類 ] フィールドに、タグの型を入力します。 このフィールドは、管理を容易にするためにタグを分類する場合に便利です。 たとえば、SQL、Web、IOT、センサーなど、同じ種類の "Application" で異なるタグを持つことができます。

  6. [Submit](送信) をクリックします。

VM にネットワーク セキュリティ タグを割り当てる

新しい VM を作成するとき、または既存の VM のプロパティを変更するときに、VM にネットワーク セキュリティ タグを割り当てることができます。

VM の作成時にネットワーク セキュリティ タグを割り当てる

新しい VM を作成する方法の詳細な手順については、「新しい VM の 作成」を参照してください。

新しい VM の作成時にネットワーク セキュリティ タグを割り当てるには:

  1. Windows Admin Center のホームの [すべての接続] で、VM を作成するサーバーまたはクラスターを選択します。

  2. [ツール] で下方向にスクロールし、 [仮想マシン] を選択します。

  3. [ 仮想マシン] で、[ インベントリ ] タブを選択し、[ 追加] を選択し、[ 新規] を選択します。

  4. [新しい仮想マシン] で、VM の名前を入力します。

  5. VM の他のプロパティを入力します。

  6. [ ネットワーク] で、前に作成したネットワーク セキュリティ タグを [ ネットワーク セキュリティ タグの作成] で選択します。

    新しい VM の作成時にネットワーク セキュリティ タグを割り当てる手順を示すスクリーンショット。

  7. [作成] を選択します

既存の VM にネットワーク セキュリティ タグを割り当てる

ネットワーク セキュリティ タグを既存の VM に割り当てるには、その設定を変更します。 VM の設定を変更する方法の詳細については、「VM 設定の 変更」を参照してください。

  1. [ツール][ネットワーク] 領域まで下にスクロールし、 [仮想マシン] を選択します。

  2. [インベントリ] タブを選択し、VM を選択して、 [設定] を選択します。

  3. [設定] ページで [ネットワーク] を選択します。

  4. [ ネットワーク セキュリティ タグ ] セクションで、[ ネットワーク セキュリティ タグの追加] を選択し、前に作成したネットワーク セキュリティ タグを [ネットワーク セキュリティ タグの作成] で選択します。

  5. [ ネットワーク設定の保存] を選択します

ネットワーク セキュリティ グループの作成

  1. Windows Admin Centerホーム画面の [すべての接続] で、ネットワーク セキュリティ グループを作成するクラスターを選択します。

  2. [ ツール] で[ ネットワーク ] 領域まで下にスクロールし、[ ネットワーク セキュリティ グループ] を選択します。

  3. [ ネットワーク セキュリティ グループ] で、[ インベントリ ] タブを選択し、[ 新規] を選択します。

  4. [ ネットワーク セキュリティ グループ ] ウィンドウで、ネットワーク セキュリティ グループの名前を入力し、[送信] を選択 します

    [ネットワーク セキュリティ グループ] ペインを示すスクリーンショット。

  5. [ ネットワーク セキュリティ グループ] で、新しいネットワーク セキュリティ グループの [プロビジョニング状態 ] に [成功] と表示されていることを確認します。

ネットワーク セキュリティ グループ規則を作成する

ネットワーク セキュリティ グループを作成したら、ネットワーク セキュリティ グループの規則を作成する準備ができました。 受信トラフィックと送信トラフィックの両方にネットワーク セキュリティ グループ規則を適用する場合は、2 つの規則を作成する必要があります。

  1. Windows Admin Centerホーム画面の [すべての接続] で、ネットワーク セキュリティ グループを作成するクラスターを選択します。

  2. [ ツール] で[ ネットワーク ] 領域まで下にスクロールし、[ ネットワーク セキュリティ グループ] を選択します。

  3. [ ネットワーク セキュリティ グループ] で、[ インベントリ ] タブを選択し、前に作成したネットワーク セキュリティ グループを [ ネットワーク セキュリティ グループの作成] で選択します。

  4. [ ネットワーク セキュリティ規則] で、[新規] を選択 します

  5. 右側の [ ネットワーク セキュリティ 規則 ] ウィンドウで、次の情報を指定します。

    フィールド 説明
    名前 ルールの名前。
    優先順位 ルールの優先度。 使用できる値は 101 ~ 65000 です。 値が小さいほど、優先度が高くなります。
    ルールの種類。 [ 受信] または [ 送信] を指定できます。
    プロトコル 受信パケットまたは送信パケットのいずれかと一致するプロトコル。 指定できる値は、 [すべて][TCP][UDP] です。
    ソース [ ネットワーク セキュリティ タグ] を選択します

    メモ: アドレス プレフィックスまたはネットワーク セキュリティ タグを選択できますが、両方を選択することはできません。
    ソース セキュリティ タグの種類 (省略可能)タグの種類を選択します。
    ソース セキュリティ タグ [ネットワーク セキュリティ タグの作成] で、前に作成した ネットワーク セキュリティ タグを選択します
    送信元ポート範囲 受信パケットまたは送信パケットに一致する送信元ポート範囲を指定します。 を入力 * して、すべてのソース ポートを指定できます。
    宛先 [ ネットワーク セキュリティ タグ] を選択します

    メモ: アドレス プレフィックスまたはネットワーク セキュリティ タグを選択できますが、両方を選択することはできません。 ソースと宛先は異なる場合があります。
    宛先セキュリティ タグの種類 (省略可能)タグの種類を選択します。
    宛先セキュリティ タグ [ネットワーク セキュリティ タグの作成] で、前に作成した ネットワーク セキュリティ タグを選択します
    宛先ポート範囲 着信パケットまたは送信パケットに一致する宛先ポート範囲を指定します。 を入力 * して、すべての宛先ポートを指定できます。
    アクション 上記の条件が一致する場合は、パケットを許可またはブロックするように を指定します。 指定できる値は、 [許可][拒否] です。
    Logging ルールのログ記録を有効または無効にするかを指定します。 ログ記録を有効にすると、この規則に一致するすべてのトラフィックがホスト コンピューター上でログに記録されます。

  6. [Submit](送信) をクリックします。

ネットワーク セキュリティ グループを適用する

ネットワーク セキュリティ グループは、次の場合に適用できます。

ネットワーク セキュリティ グループをネットワーク セキュリティ タグに適用する

ネットワーク セキュリティ グループをネットワーク セキュリティ タグに適用すると、ネットワーク セキュリティ グループ規則は、そのネットワーク セキュリティ タグに関連付けられているすべての VM ネットワーク インターフェイスに適用されます。

Windows Admin Center経由でネットワーク セキュリティ タグにネットワーク セキュリティ グループを適用するには、次の手順に従います。

  1. Windows Admin Centerホーム画面の [すべての接続] で、ネットワーク セキュリティ グループを適用するクラスターを選択します。

  2. [ ツール] で[ ネットワーク ] 領域まで下にスクロールし、[ ネットワーク セキュリティ グループ] を選択します。

  3. [ ネットワーク セキュリティ グループ] で、[ ネットワーク セキュリティ タグ ] タブを選択します。

  4. 編集するネットワーク セキュリティ タグを選択し、[ 設定] を選択します。

  5. 選択したタグの [ ネットワーク セキュリティ タグの編集 ] ウィンドウで、ネットワーク セキュリティ タグに適用するネットワーク セキュリティ グループを選択します。

    既存のネットワーク セキュリティ グループをネットワーク セキュリティ タグに適用する方法を示すスクリーンショット。

  6. [送信] を選びます。

次のステップ

関連情報については、以下もご覧ください。