チュートリアル: Azure Portal を使用して仮想マシン ネットワークのルーティングの問題を診断する

  • [アーティクル]

このチュートリアルでは、Azure Network Watcher のネクスト ホップ ツールを使用して、他のリソースと正しく通信できなくなる VM ルーティングの問題のトラブルシューティングと診断を行います。 ネクスト ホップでは、カスタム ルートがルーティングの問題の原因となったことが示されます。

Diagram shows the resources created in the tutorial.

このチュートリアルでは、次の作業を行う方法について説明します。

  • 仮想ネットワークの作成
  • 2 つの仮想マシンの作成
  • Azure Network Watcher の次ホップ機能を使って異なる IP への通信をテストする
  • 有効なルートを表示する
  • カスタム ルートを作成する
  • ルーティングに関する問題を診断する

好みに応じて、Azure CLI または Azure PowerShell バージョンのチュートリアルを使用して仮想マシン ネットワークのルーティングの問題を診断することもできます。

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

前提条件

  • アクティブなサブスクリプションが含まれる Azure アカウント。

仮想ネットワークの作成

このセクションでは、仮想ネットワークを作成します。

  1. Azure portal にサインインします。

  2. ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果から、[仮想ネットワーク] を選択します。

    Screenshot shows searching for virtual networks in the Azure portal.

  3. [+ 作成] を選択します。 [仮想ネットワークの作成][基本] タブで、次の値を入力するか選びます。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択します。
    リソース グループ [新規作成] を選択します。
    [名前] に「myResourceGroup」と入力します。
    [OK] を選択します。
    インスタンスの詳細
    仮想ネットワーク名 myVNet」と入力します。
    リージョン [米国東部] を選択します。

  4. [IP アドレス] タブを選択するか、ページ下部にある [次へ] ボタンを 2 回選択します。

  5. [IP アドレス] タブで、次の値を入力します。

    設定
    IPv4 アドレス空間 10.0.0.0/16
    サブネット名 mySubnet
    サブネット IP アドレス範囲 10.0.0.0 - 10.0.0.255 (サイズ: /24)

  6. [確認と作成] タブを選ぶか、ページ下部にある [確認と作成] ボタンを選びます。

  7. 設定を確認し、 [作成] を選択します。

仮想マシンを作成する

このセクションでは、myVMmyNVA という 2 つの仮想マシンを作成します。 myVM 仮想マシンを使用して、通信をテストします。 myNVA 仮想マシンは、このシナリオではネットワーク仮想アプライアンスとして使用されます。

最初の仮想マシンを作成する

  1. ポータルの上部にある検索ボックスに「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。

  2. [+ 作成] を選択し、[Azure 仮想マシン] を選択します。

  3. [仮想マシンの作成][基本] タブに次の値を入力するか選択します。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択します。
    リソース グループ [myResourceGroup] を選択します。
    インスタンスの詳細
    仮想マシン名 myVM」と入力します。
    リージョン [(米国) 米国東部] を選択します。
    可用性オプション [インフラストラクチャ冗長は必要ありません] を選択します。
    セキュリティの種類 [Standard] を選択します。
    Image [Windows Server 2022 Datacenter: Azure Edition - x64 Gen2] を選択します。
    サイズ サイズを選択するか、既定の設定のままにします。
    管理者アカウント
    ユーザー名 ユーザー名を入力します。
    Password パスワードを入力します。
    パスワードの確認 パスワードを再入力します。

  4. [ネットワーク] タブまたは [次へ: ディスク] を選択してから [次へ: ネットワーク] を選択します。

  5. [ネットワーク] タブで、次の値を入力するか選びます。

    設定
    ネットワーク インターフェイス
    仮想ネットワーク [myVNet] を選択します。
    Subnet [mySubnet] を選択します。
    パブリック IP (新規) myVM-ip を選択します。
    NIC ネットワーク セキュリティ グループ [Basic] を選択します。
    パブリック受信ポート [選択したポートを許可する] を選択します。
    受信ポートの選択 [RDP (3389)] を選択します。

    注意事項

    RDP ポートをインターネットに対して開いたままにしておくことは、テストにのみお勧めします。 運用環境では、RDP ポートへのアクセスを特定の IP アドレスまたは IP アドレスの範囲に制限することをお勧めします。 RDP ポートへのインターネット アクセスをブロックし、Azure Bastion を使用して、Azure ポータルから仮想マシンに安全に接続することもできます。

  6. [Review + create](レビュー + 作成) を選択します。

  7. 設定を確認し、 [作成] を選択します。

  8. デプロイが完了したら、[リソースに移動] を選んで myVM[概要] ページに移動します。

  9. [接続] を選んでから、[ネイティブ RDP] の下の [選択] を選びます。

  10. [RDP ファイルのダウンロード] を選択して、ダウンロードしたファイルを開きます。

  11. [接続] を選んでから、前の手順で作成したユーザー名とパスワードを入力します。 メッセージが表示されたら、証明書を受け入れます。

  12. ログインしたら、Web ブラウザーを開き、www.bing.com に移動して到達可能であることを確認します。

    Screenshot showing Bing page in a web browser.

2 番目の仮想マシンを作成する

前の手順 (1 から 6) に従い、仮想マシン名に myNVA を使用して、2 つ目の仮想マシンを作成します。

Network Watcher の次ホップを使用してネットワーク通信をテストする

Network Watcher の次ホップ機能を使用して、1 つの IP 構成を含む 1 つのネットワーク インターフェイスを持つ myVM からのトラフィックをルーティングするために Azure が使用しているルートを特定します。

  1. ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。

  2. [ネットワーク診断ツール] で、[次ホップ] を選択します。 次の値を入力または選択します。

    設定
    サブスクリプション Azure サブスクリプションを選択します。
    Resource group [myResourceGroup] を選択します。
    仮想マシン [myVM] を選択します。
    ネットワーク インターフェイス 既定値のままにします。
    送信元 IP アドレス 異なる場合は、「10.0.0.4」または使用中の VM の IP を入力します。
    宛先 IP アドレス www.bing.com への通信をテストするために「13.107.21.200」と入力します。

  3. [次ホップ] ボタンを選択してテストを開始します。 テスト結果には、次ホップの種類、IP アドレス、トラフィックのルーティングに使用されるルート テーブル ID などの次ホップに関する情報が表示されます。 13.107.21.200 をテストした結果、次ホップの種類が Internet で、ルート テーブル ID が [System Route] (システム ルート) であることが示されています。これは、myVM から www.bing.com 宛に送信されるトラフィックが Azure の既定のシステム ルートを使用してインターネットにルーティングされていることを意味します。

    Screenshot showing how to test communication to www.bing.com using Azure Network Watcher next hop capability.

  4. [宛先 IP アドレス]myNVA 仮想マシンの IP アドレスである 10.0.0.5 に変更し、[Next hop](次ホップ) ボタンを選択します。 その結果には、次ホップの種類が VirtualNetwork であり、ルート テーブル ID が [System Route] (システム ルート) であることが示されています。これは、myVM から 10.0.0.5 宛てのトラフィックが、Azure の既定のシステム ルートを使用して myVNet 仮想ネットワーク内でルーティングされていることを意味します。

    Screenshot showing Network Watcher next hop result when testing with an IP within the same virtual network.

  5. 次に、[宛先 IP アドレス]myVNet 仮想ネットワークのアドレス空間にないプライベート IP アドレスである 10.1.0.5 に変更し、[Next hop] (次ホップ) ボタンを選択します。 結果には、次ホップの種類が None であることが示されています。これは、myVM から 10.1.0.5 宛てのトラフィックが破棄されていることを意味します。

    Screenshot showing Network Watcher next hop result when testing with a private IP outside the address space of the virtual network.

ルートの詳細の表示

さらに詳細にルーティングを分析するには、myVM ネットワーク インターフェイスの有効なルートを確認します。

  1. ポータルの上部にある検索ボックスに「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。

  2. [設定][ネットワーク] を選択し、ネットワーク インターフェイスを選択します。

    Screenshot showing how to select the network interface page from the virtual machine settings in the Azure portal.

  3. [ヘルプ][有効なルート] を選択して、myVM のネットワーク インターフェイスに関連付けられているすべてのルートを表示します。

    Screenshot showing Azure default system routes associated with the virtual machine network interface.

    前のセクションで 13.107.21.200 を使用してテストを実行したときは、他のルートにはそのアドレスが含まれていないため、0.0.0.0/0 のアドレス プレフィックスを持つルートが、そのアドレスにトラフィックをルーティングするために使用されました。 既定では、他のルートのアドレス プレフィックス内で指定されていないすべてのアドレスが、インターネットにルーティングされます。

    10.0.0.5 を使用してテストを実行したときには、10.0.0.0/16 のアドレス プレフィックスを持つルートを使用してトラフィックがルーティングされました。

    ただし、10.1.0.5 を使用してテストを実行したときには、この IP アドレスは 10.0.0.0/8 アドレス空間にあるため、結果の次ホップの種類は [None] (なし) でした。 10.0.0.0/8 アドレス プレフィックスの Azure の既定のルートでは、次ホップの種類が [None] (なし) になります。 10.1.0.5 を含むアドレス プレフィックスを仮想ネットワーク アドレス空間に追加した場合、10.1.0.5 の次ホップの種類が [None] (なし) から [VirtualNetwork] に変わります。

カスタム ルートによるルーティングの問題をテストする

次に、静的カスタム ルートを作成して Azure の既定のシステム ルートをオーバーライドし、www.bing.com との直接の通信を不可能にしている myVM 仮想マシンへのルーティングの問題を発生させます。 次に、Network Watcher の次ホップを使用して、問題のトラブルシューティングと診断を行います。

カスタム ルートを作成する

このセクションでは、仮想ネットワークの外部宛のすべてのトラフィックを特定の IP アドレスに強制的に送信する静的カスタム ルート (ユーザー定義ルート) をルート テーブルに作成します。 仮想ネットワーク アプライアンスへのトラフィックの強制送信は、一般的なシナリオです。

  1. ポータルの上部にある検索ボックスに、「ルート テーブル」と入力します。 検索結果で [ルート テーブル] を選択します。

  2. [+ Create](作成) を選択して、新しいルート テーブルを作成します。 [ルート テーブルの作成] ページで、次の値を入力するか選びます。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択します。
    Resource group [myResourceGroup] を選択します。
    インスタンスの詳細
    リージョン [米国東部] を選択します。
    名前 myRouteTable-Spoke」と入力します。
    ゲートウェイのルートを伝達する 既定値のままにします。

  3. [Review + create](レビュー + 作成) を選択します。

  4. 設定を確認し、 [作成] を選択します。

  5. デプロイが完了したら、[リソースに移動] を選んで myRouteTable[概要] ページに移動します。

  6. [設定][ルート] を選択し、[+ Add](追加) を選択してカスタム ルートを追加します。

  7. [ルートの追加] ページで、次の値を入力するか選びます。

    設定
    ルート名 myRoute」と入力します
    アドレス プレフィックス送信先 [IP アドレス] を選択します。
    宛先 IP アドレス/CIDR 範囲 0.0.0.0/0」と入力します。
    ネクストホップの種類 [仮想アプライアンス] を選択します。
    次ホップ アドレス 10.0.0.5」と入力します

  8. [追加] を選択します。

ルート テーブルをサブネットに関連付けます。

このセクションでは、前のセクションで作成したルート テーブルを mySubnet サブネットに関連付けます。

  1. [設定][サブネット] を選択し、[+ Associate](関連付け) を選択して myRouteTablemySubnet サブネットに関連付けます。

  2. [サブネットの関連付け] ページで、次の値を選びます。

    設定
    仮想ネットワーク [myVNet (myResourcegroup)] を選択します。
    Subnet [MySubnet] を選択します。

  3. [OK] を選択します。

[https://resources.azure.com](www.bing.com ) に移動します

myVM で Web ブラウザーを開き、www.bing.com に移動して、まだ到達可能かどうかを確認します。 作成して myVM のサブネットに関連付けたカスタム ルートによって、トラフィックが強制的に myNVA に送信されます。 このチュートリアルがルーティングの問題を示すことを目的としているために、myNVA はトラフィックを転送するように設定されていないので、トラフィックは破棄されます。

Screenshot showing Bing page isn't reachable in a web browser.

次ホップを使用してネットワーク通信をテストする

Network Watcher の次ホップを使用してネットワーク通信をテストする」セクションで使用した手順を繰り返し、13.107.21.200 を使用して www.bing.com への通信をテストします。

Screenshot showing virtual appliance as the next hop after applying a custom route.

有効なルートの表示

ルートの詳細の表示」で使用した手順を繰り返して、www.bing.com への到達の問題を引き起こしたカスタム ルートを使用した後に、有効なルートを確認します。

プレフィックス 0.0.0.0/0 のカスタム ルートは Azure の既定のルートをオーバーライドし、そのために myVNet 仮想マシンの外部宛てのすべてのトラフィックが 10.0.0.5 に送信されました。

Screenshot the effective routes after overriding Azure default system routes using a custom route.

Note

このチュートリアルでは、myNVA がトラフィックを転送するように設定されていないため、www.bing.com へのトラフィックは破棄されました。 トラフィックを転送するように仮想マシンを設定する方法については、「IP 転送を有効にする」を参照してください。

リソースをクリーンアップする

myResourceGroup とそれに含まれるすべてのリソースが不要になったら、それらを削除します:

  1. ポータル上部の [検索] ボックスに「myResourceGroup」と入力します。 検索結果から [myResourceGroup] を選択します。

  2. [リソース グループの削除] を選択します。

  3. [リソース グループの削除] に「myResourceGroup」と入力し、[削除] を選択します。

  4. [削除] を選択して、リソース グループとそのすべてのリソースの削除を確認します。

次のステップ

2 つの仮想マシン間の通信を監視する方法については、次のチュートリアルに進んでください。

仮想マシン間のネットワーク通信を監視する