クイック スタート:Azure portal を使用して仮想マシン ネットワーク トラフィック フィルターの問題を診断するQuickstart: Diagnose a virtual machine network traffic filter problem using the Azure portal

このクイック スタートでは、仮想マシン (VM) を展開してから、IP アドレスと URL への通信および IP アドレスからの通信をチェックします。In this quickstart, you deploy a virtual machine (VM), and then check communications to an IP address and URL and from an IP address. 通信障害の原因と解決方法を特定します。You determine the cause of a communication failure and how you can resolve it.

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。If you don't have an Azure subscription, create a free account before you begin.

Azure にログインするLog in to Azure

Azure Portal (https://portal.azure.com) にログインします。Log in to the Azure portal at https://portal.azure.com.

VM の作成Create a VM

  1. Azure Portal の左上隅にある [+ リソースの作成] を選択します。Select + Create a resource found on the upper, left corner of the Azure portal.

  2. [Compute] を選択し、[Windows Server 2016 Datacenter] またはいずれかのバージョンの Ubuntu Server を選択します。Select Compute, and then select Windows Server 2016 Datacenter or a version of Ubuntu Server.

  3. 次の情報を入力するか選択し、それ以外の設定では既定値をそのまま使用して、[OK] を選択します。Enter, or select, the following information, accept the defaults for the remaining settings, and then select OK:

    SettingSetting Value
    NameName myVmmyVm
    ユーザー名User name 任意のユーザー名を入力します。Enter a user name of your choosing.
    パスワードPassword 任意のパスワードを入力します。Enter a password of your choosing. パスワードは 12 文字以上で、定義された複雑さの要件を満たす必要があります。The password must be at least 12 characters long and meet the defined complexity requirements.
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    リソース グループResource group [新規作成] を選択し、「myResourceGroupと入力します。Select Create new and enter myResourceGroup.
    LocationLocation [米国東部] を選択します。Select East US
  4. VM のサイズを選択して、[選択] を選択します。Select a size for the VM and then select Select.

  5. [設定] で、すべての既定値をそのままにして、[OK] を選択します。Under Settings, accept all the defaults, and select OK.

  6. [概要][作成][作成] を選択して、VM のデプロイを開始します。Under Create of the Summary, select Create to start VM deployment. VM のデプロイには数分かかります。The VM takes a few minutes to deploy. 残りの手順を続行する前に、VM がデプロイを完了するまで待ちます。Wait for the VM to finish deploying before continuing with the remaining steps.

ネットワーク通信をテストするTest network communication

Network Watcher を使ってネットワーク通信をテストするには、最初に少なくとも 1 つの Azure リージョンでネットワーク ウォッチャーを有効にしてから、Network Watcher の IP フローの確認機能を使います。To test network communication with Network Watcher, first enable a network watcher in at least one Azure region, and then use Network Watcher's IP flow verify capability.

ネットワーク ウォッチャーを有効にするEnable network watcher

既に少なくとも 1 つのリージョンでネットワーク ウォッチャーを有効にしている場合は、この手順をスキップして、「IP フローの確認を使用する」へ進んでください。If you already have a network watcher enabled in at least one region, skip to Use IP flow verify.

  1. ポータルで [すべてのサービス] を選択します。In the portal, select All services. [フィルター] ボックスに、「Network Watcher」と入力します。In the Filter box, enter Network Watcher. 結果に [Network Watcher] が表示されたら、それを選択します。When Network Watcher appears in the results, select it.

  2. 前の手順で VM を展開した米国東部リージョンにおいてネットワーク ウォッチャーを有効にします。Enable a network watcher in the East US region, because that's the region the VM was deployed to in a previous step. 次の図に示すように、[リージョン] を選択して展開し、[米国東部] の右側の [...] を選択します。Select Regions, to expand it, and then select ... to the right of East US, as shown in the following picture:

    Network Watcher を有効にする

  3. [Network Watcher の有効化] を選択します。Select Enable Network Watcher.

IP フローの確認を使用するUse IP flow verify

VM を作成すると、Azure は既定に従って、VM との間でやり取りされるネットワーク トラフィックを許可および拒否します。When you create a VM, Azure allows and denies network traffic to and from the VM, by default. 後で Azure の既定値をオーバーライドして、他の種類のトラフィックを許可または拒否する場合があります。You might later override Azure's defaults, allowing or denying additional types of traffic.

  1. ポータルで [すべてのサービス] を選択します。In the portal, select All services. [すべてのサービス][フィルター] ボックスに、「Network Watcher」と入力します。In the All services Filter box, enter Network Watcher. 結果に [Network Watcher] が表示されたら、それを選択します。When Network Watcher appears in the results, select it.

  2. [ネットワーク診断ツール] で、[IP フローの確認] を選択します。Select IP flow verify, under NETWORK DIAGNOSTIC TOOLS.

  3. サブスクリプションを選択して、以下の値を入力または選択して、次の図に示すように [確認] を選択します。Select your subscription, enter or select the following values, and then select Check, as shown in the picture that follows:

    SettingSetting Value
    リソース グループResource group myResourceGroup を選択するSelect myResourceGroup
    仮想マシンVirtual machine myVm を選択するSelect myVm
    LinuxNetwork interface myvm - VM を作成したときにポータルが作成したネットワーク インターフェイスの名前は異なります。myvm - The name of the network interface the portal created when you created the VM is different.
    ProtocolProtocol TCPTCP
    方向Direction 送信Outbound
    ローカル IP アドレスLocal IP address 10.0.0.410.0.0.4
    ローカル ポートLocal port 6000060000
    リモート IP アドレスRemote IP address 13.107.21.200 - <www.bing.com> に対するアドレスの 1 つ。13.107.21.200 - One of the addresses for <www.bing.com>.
    リモート ポートRemote port 8080

    IP フロー検証

    数秒後に、AllowInternetOutbound という名前のセキュリティ規則によってアクセスが許可されていることを示す結果が返されます。After a few seconds, the result returned informs you that access is allowed because of a security rule named AllowInternetOutbound. 確認を実行する前に米国東部リージョン以外のリージョンにネットワーク ウォッチャーが既に存在していた場合は、確認を実行したときに、米国東部リージョンにネットワーク ウォッチャーが自動的に作成されています。When you ran the check, Network Watcher automatically created a network watcher in the East US region, if you had an existing network watcher in a region other than the East US region before you ran the check.

  4. 手順 3 をもう一度実行しますが、[リモート IP アドレス]172.31.0.100 に変更します。Complete step 3 again, but change the Remote IP address to 172.31.0.100. 返される結果では、DefaultOutboundDenyAll という名前のセキュリティ規則のためにアクセスが拒否されることが示されています。The result returned informs you that access is denied because of a security rule named DefaultOutboundDenyAll.

  5. 手順 3 をもう一度実行しますが、[方向][受信] に、[ローカル ポート] を「80」に、[リモート ポート] を「60000」にそれぞれ変更します。Complete step 3 again, but change the Direction to Inbound, the Local port to 80 and the Remote port to 60000. 返される結果では、DefaultInboundDenyAll という名前のセキュリティ規則のためにアクセスが拒否されることが示されています。The result returned informs you that access is denied because of a security rule named DefaultInboundDenyAll.

VM へのトラフィックまたは VM からのトラフィックを許可または拒否しているセキュリティ規則がわかったので、問題を解決する方法を決定できます。Now that you know which security rules are allowing or denying traffic to or from a VM, you can determine how to resolve the problems.

セキュリティ規則の詳細を表示するView details of a security rule

  1. IP フローの確認を使用する」の手順 3 ~ 5 の規則によって通信が許可または拒否された理由を特定するには、VM においてネットワーク インターフェイスに対して有効なセキュリティ規則を確認します。To determine why the rules in steps 3-5 of Use IP flow verify allow or deny communication, review the effective security rules for the network interface in the VM. ポータルの上部にある検索ボックスに、「myvm」と入力します。In the search box at the top of the portal, enter myvm. myvm ネットワーク インターフェイス (実際にお使いのネットワーク インターフェイスの名前) が検索結果に表示されたら、それを選びます。When the myvm (or whatever the name of your network interface is) network interface appears in the search results, select it.

  2. 次の図に示すように、[サポート + トラブルシューティング][有効なセキュリティ規則] を選択します。Select Effective security rules under SUPPORT + TROUBLESHOOTING, as shown in the following picture:

    有効なセキュリティ規則

    IP フローの確認を使用する」の手順 3 では、通信が許可された理由が AllowInternetOutbound 規則であることを確認しました。In step 3 of Use IP flow verify, you learned that the reason the communication was allowed is because of the AllowInternetOutbound rule. 前に図を見ると、規則の [送信先][インターネット] であることがわかります。You can see in the previous picture that the DESTINATION for the rule is Internet. しかし、「IP フローの確認を使用する」の点順 3 でテストしたアドレス 13.107.21.200 が Internet にどのように関連するのかはっきりしません。It's not clear how 13.107.21.200, the address you tested in step 3 of Use IP flow verify, relates to Internet though.

  3. AllowInternetOutBound 規則を選び、次の図のように [送信先] を選びます。Select the AllowInternetOutBound rule, and then select Destination, as shown in the following picture:

    セキュリティ規則のプレフィックス

    リストのプレフィックスの 1 つは 12.0.0.0/6 であり、これは 12.0.0.1-15.255.255.254 の IP アドレス範囲を包含します。One of the prefixes in the list is 12.0.0.0/6, which encompasses the 12.0.0.1-15.255.255.254 range of IP addresses. 13.107.21.200 はそのアドレス範囲内にあるため、AllowInternetOutBound 規則は送信トラフィックを許可します。Since 13.107.21.200 is within that address range, the AllowInternetOutBound rule allows the outbound traffic. さらに、手順 2 の画像で示されている規則の中には、この規則をオーバーライドする優先順位の高い (小さい値の) 規則はありません。Additionally, there are no higher priority (lower number) rules shown in the picture in step 2 that override this rule. [アドレスのプレフィックス] ボックスを閉じます。Close the Address prefixes box. 13.107.21.200 への送信通信を拒否するには、その IP アドレスへのポート 80 での送信を拒否する、優先順位の高いセキュリティ規則を追加します。To deny outbound communication to 13.107.21.200, you could add a security rule with a higher priority, that denies port 80 outbound to the IP address.

  4. IP フローの確認を使用する」の手順 4 で 172.131.0.100 への送信チェックを実行したときに、DefaultOutboundDenyAll という規則が通信を拒否したことがわかりました。When you ran the outbound check to 172.131.0.100 in step 4 of Use IP flow verify, you learned that the DefaultOutboundDenyAll rule denied communication. その規則は、手順 2 の画像に示されている [送信先] として 0.0.0.0/0 が指定されている DenyAllOutBound 規則と同じです。That rule equates to the DenyAllOutBound rule shown in the picture in step 2 that specifies 0.0.0.0/0 as the DESTINATION. この規則は、172.131.0.100 が画像で示されている他のどの [送信規則][送信先] にも含まれないので、このアドレスへの送信通信を拒否します。This rule denies the outbound communication to 172.131.0.100, because the address is not within the DESTINATION of any of the other Outbound rules shown in the picture. この送信通信を許可するには、アドレス 172.131.0.100 に対するポート 80 への送信トラフィックを許可する、優先順位の高いセキュリティ規則を追加します。To allow the outbound communication, you could add a security rule with a higher priority, that allows outbound traffic to port 80 for the 172.131.0.100 address.

  5. IP フローの確認を使用する」の手順 5 で 172.131.0.100 からの受信チェックを実行したときに、DefaultInboundDenyAll という規則が通信を拒否したことがわかりました。When you ran the inbound check from 172.131.0.100 in step 5 of Use IP flow verify, you learned that the DefaultInboundDenyAll rule denied communication. その規則は、手順 2 の画像で示されている DenyAllInBound 規則と同じです。That rule equates to the DenyAllInBound rule shown in the picture in step 2. DenyAllInBound 規則は、172.31.0.100 から VM へのポート 80 での受信を許可する、優先順位がさらに高い規則が存在しないために、適用されました。The DenyAllInBound rule is enforced because no other higher priority rule exists that allows port 80 inbound to the VM from 172.31.0.100. この受信通信を許可するには、ポート 80 での 172.31.0.100 からの受信を許可する優先順位の高いセキュリティ規則を追加します。To allow the inbound communication, you could add a security rule with a higher priority, that allows port 80 inbound from 172.31.0.100.

このクイック スタートのチェックでは、Azure の構成をテストしました。The checks in this quickstart tested Azure configuration. チェックから予想どおりの結果が返ったにもかかわらず、まだネットワークの問題がある場合は、VM と通信対象のエンドポイントとの間にファイアウォールが存在しないこと、および VM のオペレーティング システムに通信を許可または拒否するファイアウォールが含まれないことを確認します。If the checks return expected results and you still have network problems, ensure that you don't have a firewall between your VM and the endpoint you're communicating with and that the operating system in your VM doesn't have a firewall that is allowing or denying communication.

リソースのクリーンアップClean up resources

リソース グループとそれに含まれるすべてのリソースが不要になったら、それらを削除します。When no longer needed, delete the resource group and all of the resources it contains:

  1. ポータル上部の [検索] ボックスに「myResourceGroup」と入力します。Enter myResourceGroup in the Search box at the top of the portal. 検索結果に [myResourceGroup] が表示されたら、それを選択します。When you see myResourceGroup in the search results, select it.
  2. [リソース グループの削除] を選択します。Select Delete resource group.
  3. [TYPE THE RESOURCE GROUP NAME:](リソース グループ名を入力してください:) に「myResourceGroup」と入力し、[削除] を選択します。Enter myResourceGroup for TYPE THE RESOURCE GROUP NAME: and select Delete.

次の手順Next steps

このクイック スタートでは、VM を作成し、受信および送信ネットワーク トラフィック フィルターを診断しました。In this quickstart, you created a VM and diagnosed inbound and outbound network traffic filters. ネットワーク セキュリティ グループの規則が、VM との間でやり取りされるトラフィックを許可または拒否することを学習しました。You learned that network security group rules allow or deny traffic to and from a VM. セキュリティ規則およびセキュリティ規則を作成する方法について、さらに詳しく学習してください。Learn more about security rules and how to create security rules.

適切なネットワーク トラフィック フィルターを適用してもまだ、ルーティングの構成のために VM への通信が失敗する可能性があります。Even with the proper network traffic filters in place, communication to a VM can still fail, due to routing configuration. VM ネットワークのルーティングの問題を診断する方法については、「VM のルーティングに関する問題を診断する」をご覧ください。送信ルーティング、待機時間、およびトラフィック フィルター処理の問題を 1 つのツールで診断する方法については、接続のトラブルシューティングに関するページをご覧ください。To learn how to diagnose VM network routing problems, see Diagnose VM routing problems or, to diagnose outbound routing, latency, and traffic filtering problems, with one tool, see Connection troubleshoot.