チュートリアル: Azure portal を使用して 2 つの仮想マシン間のネットワーク通信を監視するTutorial: Monitor network communication between two virtual machines using the Azure portal

仮想マシン (VM) と別の VM などのエンドポイント間の通信の成功は、組織にとってきわめて重要になることがあります。Successful communication between a virtual machine (VM) and an endpoint such as another VM, can be critical for your organization. 場合によっては、通信を切断させる可能性がある構成の変更が導入されることがあります。Sometimes, configuration changes are introduced which can break communication. このチュートリアルでは、以下の内容を学習します。In this tutorial, you learn how to:

  • 2 つの VM を作成するCreate two VMs
  • Network Watcher の接続モニター機能によって VM 間の通信を監視するMonitor communication between VMs with the connection monitor capability of Network Watcher
  • 接続モニターのメトリックに対するアラートを生成するGenerate alerts on Connection Monitor metrics
  • 2 つの VM 間の通信の問題を診断し、解決方法を学習するDiagnose a communication problem between two VMs, and learn how you can resolve it

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。If you don't have an Azure subscription, create a free account before you begin.

Azure へのサインインSign in to Azure

Azure Portal にサインインします。Sign in to the Azure portal.

VM の作成Create VMs

2 つの VM を作成します。Create two VMs.

最初の VM を作成するCreate the first VM

  1. Azure Portal の左上隅にある [+ リソースの作成] を選択します。Select + Create a resource found on the upper, left corner of the Azure portal.

  2. [Compute] を選択し、オペレーティング システムを選択します。Select Compute, and then select an operating system. このチュートリアルでは、[Windows Server 2016 Datacenter] を使用します。In this tutorial, Windows Server 2016 Datacenter is used.

  3. 次の情報を入力するか選択し、それ以外の設定では既定値をそのまま使用して、[OK] を選択します。Enter, or select, the following information, accept the defaults for the remaining settings, and then select OK:

    SettingSetting Value
    NameName myVm1myVm1
    ユーザー名User name 任意のユーザー名を入力します。Enter a user name of your choosing.
    パスワードPassword 任意のパスワードを入力します。Enter a password of your choosing. パスワードは 12 文字以上で、定義された複雑さの要件を満たす必要があります。The password must be at least 12 characters long and meet the defined complexity requirements.
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    リソース グループResource group [新規作成] を選択し、「myResourceGroupと入力します。Select Create new and enter myResourceGroup.
    LocationLocation [米国東部] を選択します。Select East US
  4. VM のサイズを選択して、[選択] を選択します。Select a size for the VM and then select Select.

  5. [設定][拡張機能] を選択します。Under Settings, select Extensions. 次の図に示すように、[拡張機能の追加] を選択して、[Network Watcher Agent for Windows] を選択します。Select Add extension, and select Network Watcher Agent for Windows, as shown in the following picture:

    Network Watcher エージェント拡張機能

  6. [Network Watcher Agent for Windows] の下の [作成] を選択し、[拡張機能のインストール] の下の [OK] を選択し、[拡張機能] の下の [OK] を選択します。Under Network Watcher Agent for Windows, select Create, under Install extension select OK, and then under Extensions, select OK.

  7. 残りの [設定] は既定値を受け入れて、[OK] を選択します。Accept the defaults for the remaining Settings and select OK.

  8. [概要][作成][作成] を選択して、VM のデプロイを開始します。Under Create of the Summary, select Create to start VM deployment.

2 つ目の VM を作成するCreate the second VM

最初の VM を作成するの手順を、次を変更して再度実行します。Complete the steps in Create the first VM again, with the following changes:

手順Step SettingSetting Value
11 いずれかのバージョンの Ubuntu Server を選択するSelect a version of Ubuntu Server
33 NameName myVm2myVm2
33 認証の種類Authentication type SSH 公開キーを貼り付けるか、[パスワード] を選択して、パスワードを入力します。Paste your SSH public key or select Password, and enter a password.
33 リソース グループResource group [既存のものを使用] を選択し、[myResourceGroup] を選択します。Select Use existing and select myResourceGroup.
66 ExtensionsExtensions Linux 用ネットワーク エージェントNetwork Agent for Linux

VM のデプロイには数分かかります。The VM takes a few minutes to deploy. 残りの手順を続行する前に、VM がデプロイを完了するまで待ちます。Wait for the VM to finish deploying before continuing with the remaining steps.

接続モニターを作成するCreate a connection monitor

接続モニターを作成して、myVm1 から myVm2 への TCP ポート 22 経由の通信を監視します。Create a connection monitor to monitor communication over TCP port 22 from myVm1 to myVm2.

  1. ポータルの左側にある [その他のサービス] を選びます。On the left side of the portal, select All services.

  2. [フィルター] ボックスに「network watcher」の入力を始めます。Start typing network watcher in the Filter box. 検索結果に [Network Watcher] が表示されたら、それを選択します。When Network Watcher appears in the search results, select it.

  3. [監視][接続モニター] を選択します。Under MONITORING, select Connection monitor.

  4. [+ 追加] を選択します。Select + Add.

  5. 監視する接続の情報を入力するか選択して、[追加] を選択します。Enter or select the information for the connection you want to monitor, and then select Add. 次の図に示す例で、監視される接続は、ポート 22 経由の myVm1 VM から myVm2 VM への接続です。In the example shown in the following picture, the connection monitored is from the myVm1 VM to the myVm2 VM over port 22:

    SettingSetting Value
    NameName myVm1-myVm2(22)myVm1-myVm2(22)
    ソースSource
    仮想マシンVirtual machine myVm1myVm1
    宛先Destination
    仮想マシンを選択するSelect a virtual machine
    仮想マシンVirtual machine myVm2myVm2
    ポートPort 2222

    接続モニターを追加する

接続モニターを表示するView a connection monitor

  1. 接続モニターを作成するの手順 1 ~ 3 を完了して、接続監視を表示します。Complete steps 1-3 in Create a connection monitor to view connection monitoring. 次の図に示すように、既存の接続モニターの一覧が表示されます。You see a list of existing connection monitors, as shown in the following picture:

    接続モニター

  2. 前の図に示すように、myVm1-myVm2(22) という名前のモニターを選択して、次の図に示すように、モニターの詳細を表示します。Select the monitor with the name myVm1-myVm2(22), as shown in the previous picture, to see details for the monitor, as shown in the following picture:

    モニターの詳細

    次の情報をメモしておきます。Note the following information:

    ItemItem Value 詳細Details
    StatusStatus 到達可能Reachable エンドポイントが到達可能かどうかを知ることができます。Lets you know whether the endpoint is reachable or not.
    平均AVG. 往復時間ROUND-TRIP 接続を作成するまでの往復時間 (ミリ秒) を知ることができます。Lets you know the round-trip time to make the connection, in milliseconds. 接続モニターは、60 秒ごとに接続をプローブするため、時間経過に伴う待機時間を監視できます。Connection monitor probes the connection every 60 seconds, so you can monitor latency over time.
    HopsHops 接続モニターにより、2 つのエンドポイント間のホップを知ることができます。Connection monitor lets you know the hops between the two endpoints. この例では、接続は、同じ仮想ネットワーク内の 2 つの VM 間であるため、10.0.0.5 IP アドレスへのホップが 1 つだけあります。In this example, the connection is between two VMs in the same virtual network, so there is only one hop, to the 10.0.0.5 IP address. 既存のシステムまたはカスタム ルートで、VPN ゲートウェイまたはまたはネットワーク仮想アプライアンスなどを経由して VM 間のトラフィックをルーティングする場合、追加のホップが一覧表示されます。If any existing system or custom routes, route traffic between the VMs through a VPN gateway, or network virtual appliance, for example, additional hops are listed.
    状態STATUS 各エンドポイントの緑のチェック マークにより、各エンドポイントが正常であることを確認できます。The green check marks for each endpoint let you know that each endpoint is healthy.

アラートの作成Generate alerts

アラートは Azure Monitor のアラート ルールによって作成され、保存済みのクエリまたはカスタム ログ検索を一定の間隔で自動的に実行できます。Alerts are created by alert rules in Azure Monitor and can automatically run saved queries or custom log searches at regular intervals. 生成されたアラートで、第三者への通知や別のプロセスの呼び出しなど、1 つまたは複数のアクションを自動的に実行できます。A generated alert can automatically run one or more actions, such as to notify someone or start another process. アラート ルールを設定する際、対象となるリソースによって、アラートの生成に使用できる一連のメトリックが決まります。When setting an alert rule, the resource that you target determines the list of available metrics that you can use to generate alerts.

  1. Azure portal で Monitor サービスを選択し、[アラート] > [新しいアラート ルール] の順に選択します。In Azure portal, select the Monitor service, and then select Alerts > New alert rule.

  2. [ターゲットの選択] をクリックして、対象となるリソースを選択します。Click Select target, and then select the resources that you want to target. [サブスクリプション] を選択し、リソースの種類を設定して、使用したい接続モニターをフィルターで絞り込みます。Select the Subscription, and set Resource type to filter down to the Connection Monitor that you want to use.

    ターゲットが選択された状態のアラート画面

  3. 対象となるリソースを選択したら、[条件の追加] を選択します。Network Watcher には、アラートの作成に使用できるメトリックがあります。Once you have selected a resource to target, select Add criteria.The Network Watcher has metrics on which you can create alerts. [使用可能なシグナル] を ProbesFailedPercent と AverageRoundtripMs の各メトリックに設定します。Set Available signals to the metrics ProbesFailedPercent and AverageRoundtripMs:

    シグナルが選択された状態のアラート ページ

  4. アラート ルール名、説明、重大度などのアラートの詳細を指定します。Fill out the alert details like alert rule name, description and severity. アラートにアクション グループを追加して、アラートへの対応を自動化したりカスタマイズしたりすることもできます。You can also add an action group to the alert to automate and customize the alert response.

問題を表示するView a problem

既定で、Azure は、同じ仮想ネットワーク内の VM 間のすべてのポートで通信を許可します。By default, Azure allows communication over all ports between VMs in the same virtual network. 時間が経過し、組織のだれかが Azure の既定の規則をオーバーライドし、誤って通信エラーを引き起こすことがあります。Over time, you, or someone in your organization, might override Azure's default rules, inadvertently causing a communication failure. 次の手順を実行して、通信の問題を作成してから、再度接続モニターを表示します。Complete the following steps to create a communication problem and then view the connection monitor again:

  1. ポータル上部の [検索] ボックスに「myResourceGroup」と入力します。In the search box at the top of the portal, enter myResourceGroup. 検索結果に myResourceGroup リソース グループが表示されたら、それを選択します。When the myResourceGroup resource group appears in the search results, select it.

  2. myVm2-ns ネットワーク セキュリティ グループを選択します。Select the myVm2-nsg network security group.

  3. 次の図に示すように、[受信セキュリティ規則] を選択し、[追加] を選択します。Select Inbound security rules, and then select Add, as shown in the following picture:

    受信セキュリティ規則

  4. 仮想ネットワーク内のすべての VM 間の通信を許可する既定の規則は、AllowVnetInBound という名前の規則です。The default rule that allows communication between all VMs in a virtual network is the rule named AllowVnetInBound. AllowVnetInBound 規則よりも高い優先順位 (小さい数値) で、ポート 22 経由の受信を拒否する規則を作成します。Create a rule with a higher priority (lower number) than the AllowVnetInBound rule that denies inbound communication over port 22. 次の情報を選択するか、入力し、それ以外の情報は既定値を受け入れて、[作成] を選択します。Select, or enter, the following information, accept the remaining defaults, and then select Add:

    SettingSetting Value
    宛先ポート範囲Destination port ranges 2222
    ActionAction 拒否Deny
    優先順位Priority 100100
    NameName DenySshInboundDenySshInbound
  5. 接続モニターは、60 秒間隔でプローブするため、数分待ってから、ポータルの左側の [Network Watcher][接続モニター] の順に選択し、[myVm1-myVm2(22)] モニターを再度選択します。Since connection monitor probes at 60-second intervals, wait a few minutes and then on the left side of the portal, select Network Watcher, then Connection monitor, and then select the myVm1-myVm2(22) monitor again. 次の図に示すように、違う結果になります。The results are different now, as shown in the following picture:

    モニター詳細のエラー

    myvm2529 ネットワーク インターフェイスの状態列に赤の感嘆符アイコンがあることが確認できます。You can see that there's a red exclamation icon in the status column for the myvm2529 network interface.

  6. 状態が変更された理由については、前の図の 10.0.0.5 を選択します。To learn why the status has changed, select 10.0.0.5, in the previous picture. 接続モニターによって、通信エラーの理由が通知されます: "次のネットワーク セキュリティ グループの規則によってトラフィックがブロックされました: UserRule_DenySshInbound"。Connection monitor informs you that the reason for the communication failure is: Traffic blocked due to the following network security group rule: UserRule_DenySshInbound.

    手順 4. で作成したセキュリティの規則をだれかが実装したことを知らなかった場合、接続モニターからこの規則が通信の問題を引き起こしていることがわかります。If you didn't know that someone had implemented the security rule you created in step 4, you'd learn from connection monitor that the rule is causing the communication problem. その後、規則を変更、オーバーライド、または削除して、VM 間の通信を復元できます。You could then change, override, or remove the rule, to restore communication between the VMs.

リソースのクリーンアップClean up resources

リソース グループとそれに含まれるすべてのリソースが不要になったら、それらを削除します。When no longer needed, delete the resource group and all of the resources it contains:

  1. ポータル上部の [検索] ボックスに「myResourceGroup」と入力します。Enter myResourceGroup in the Search box at the top of the portal. 検索結果に [myResourceGroup] が表示されたら、それを選択します。When you see myResourceGroup in the search results, select it.
  2. [リソース グループの削除] を選択します。Select Delete resource group.
  3. [TYPE THE RESOURCE GROUP NAME:](リソース グループ名を入力してください:) に「myResourceGroup」と入力し、[削除] を選択します。Enter myResourceGroup for TYPE THE RESOURCE GROUP NAME: and select Delete.

次の手順Next steps

このチュートリアルでは、2 つの VM 間の接続を監視する方法について説明しました。In this tutorial, you learned how to monitor a connection between two VMs. ネットワーク セキュリティ グループの規則によって、VM への通信が妨げられていたことがわかりました。You learned that a network security group rule prevented communication to a VM. 接続モニターが返すことができるすべてのさまざまな応答については、応答の種類に関するページを参照してください。To learn about all of the different responses connection monitor can return, see response types. VM、完全修飾ドメイン名、URI (Uniform Resource Identifier)、または IP アドレス間の接続を監視することもできます。You can also monitor a connection between a VM, a fully qualified domain name, a uniform resource identifier, or an IP address.

何らかの時点で、仮想ネットワーク内のリソースが Azure 仮想ネットワーク ゲートウェイによって接続されている他のネットワーク内のリソースと通信できないことに気付く場合があります。At some point, you may find that resources in a virtual network are unable to communicate with resources in other networks connected by an Azure virtual network gateway. 次のチュートリアルに進み、仮想ネットワーク ゲートウェイに関する問題を診断する方法について学習します。Advance to the next tutorial to learn how to diagnose a problem with a virtual network gateway.