クラシック デプロイ モデルを使用して、Windows 仮想マシンでエンドポイントを設定するSet up endpoints on a Windows virtual machine by using the classic deployment model

クラシック デプロイ モデルを使用して Azure で作成した Windows Virtual Machines (VM) では、プライベート ネットワーク チャネルを介して、同じクラウド サービスまたは仮想ネットワーク内の他の VM と自動的に通信することができます。Windows virtual machines (VMs) that you create in Azure by using the classic deployment model can automatically communicate over a private network channel with other VMs in the same cloud service or virtual network. しかし、インターネットまたは他の仮想ネットワークにあるコンピューターには、VM への着信ネットワーク トラフィックを転送するエンドポイントが必要になります。However, computers on the internet or other virtual networks require endpoints to direct the inbound network traffic to a VM.

Linux Virtual Machines 上でエンドポイントを設定することもできます。You can also set up endpoints on Linux virtual machines.

重要

Azure には、リソースの作成と操作に関して、Resource Manager とクラシックの 2 種類のデプロイメント モデルがあります。Azure has two different deployment models for creating and working with resources: Resource Manager and classic. この記事では、クラシック デプロイ モデルについて説明します。This article covers the classic deployment model. 最新のデプロイメントでは、リソース マネージャー モデルを使用することをお勧めします。Microsoft recommends that most new deployments use the Resource Manager model.

2017 年 11 月 15 日から、仮想マシンは Azure portal でのみ使用できます。Starting November 15, 2017, virtual machines will be available only in the Azure portal.

Resource Manager デプロイ モデルでは、エンドポイントはネットワーク セキュリティ グループ (NSG) を使用して構成されます。In the Resource Manager deployment model, endpoints are configured by using Network Security Groups (NSGs). 詳細については、Azure portal を使用する VM への外部アクセスの許可に関するページを参照してください。For more information, see Allow external access to your VM by using the Azure portal.

Azure portal で Windows VM を作成すると、共通エンドポイント (リモート デスクトップや Windows PowerShell リモート処理用のエンドポイントなど) が通常は自動的に作成されます。When you create a Windows VM in the Azure portal, common endpoints, such as endpoints for Remote Desktop and Windows PowerShell Remoting, are typically created for you automatically. 必要に応じて、あとで追加のエンドポイントを構成できます。You can configure additional endpoints later as needed.

各エンドポイントには、パブリック ポートプライベート ポートがあります。Each endpoint has a public port and a private port:

  • パブリック ポートは、インターネットから仮想マシンに発信される着信トラフィックをリッスンするときに、Azure Load Balancer によって使用されます。The public port is used by the Azure load balancer to listen for incoming traffic to the virtual machine from the internet.
  • プライベート ポートは、一般的に仮想マシンで実行されているアプリケーションまたはサービスを宛先とする着信トラフィックをリッスンする仮想マシンによって使用されます。The private port is used by the virtual machine to listen for incoming traffic, typically destined to an application or service running on the virtual machine.

Azure ポータルでエンドポイントを作成するときに、周知のネットワーク プロトコルの IP プロトコルと、TCP ポートまたは UDP ポートの既定値が提示されます。Default values for the IP protocol and TCP or UDP ports for well-known network protocols are provided when you create endpoints with the Azure portal. カスタム エンドポイントの場合、正しい IP プロトコル (TCP または UDP) と、パブリック ポートとプライベート ポートを指定します。For custom endpoints, specify the correct IP protocol (TCP or UDP) and the public and private ports. 着信トラフィックを複数の仮想マシンにランダムに分散するには、複数のエンドポイントで構成される負荷分散セットを作成します。To distribute incoming traffic randomly across multiple virtual machines, create a load-balanced set consisting of multiple endpoints.

エンドポイントを作成した後、アクセス制御リスト (ACL) を使用して、発信元 IP アドレスに基づいて、エンドポイントのパブリック ポートを宛先とする着信トラフィックの許可または拒否に役立つルールを定義できます。After you create an endpoint, you can use an access control list (ACL) to define rules that permit or deny the incoming traffic to the public port of the endpoint based on its source IP address. ただし、仮想マシンが Azure Virtual Network 内にある場合、ネットワーク セキュリティ グループを代わりに使用します。However, if the virtual machine is in an Azure virtual network, use network security groups instead. 詳細については、「 ネットワーク セキュリティ グループについて」をご覧ください。For more information, see About network security groups.

注意

Azure が自動で設定するリモート接続エンドポイントに関連付けられているポートに対して、Azure 仮想マシンのファイアウォール構成が自動的に行われます。Firewall configuration for Azure virtual machines is done automatically for ports associated with remote connectivity endpoints that Azure sets up automatically. 他のすべてのエンドポイントに対して指定されているポートについては、仮想マシンのファイアウォールは自動的には構成されません。For ports specified for all other endpoints, no configuration is done automatically to the firewall of the virtual machine. 仮想マシンにエンドポイントを作成するとき、仮想マシンのファイアウォールで、エンドポイントの構成に対応するプロトコルとプライベート ポートでトラフィックが許可されていることを確認します。When you create an endpoint for the virtual machine, ensure that the firewall of the virtual machine also allows the traffic for the protocol and private port corresponding to the endpoint configuration. ファイアウォールを構成するには、仮想マシンで実行しているオペレーティング システムの文書またはオンライン ヘルプを参照してください。To configure the firewall, see the documentation or on-line help for the operating system running on the virtual machine.

エンドポイントの作成Create an endpoint

  1. Azure Portal にサインインします。Sign in to the Azure portal.

  2. [仮想マシン] をクリックし、構成する仮想マシンを選択します。Select Virtual machines, and then select the virtual machine that you want to configure.

  3. [設定] グループで [エンドポイント] を選択します。Select Endpoints in the Settings group. 仮想マシンの現在のすべてのエンドポイントが表示されている [エンドポイント] ページが表示されます。The Endpoints page appears, which lists all the current endpoints for the virtual machine. (この例は Windows VM のものです。(This example is for a Windows VM. Linux VM の場合、SSH のエンドポイントが既定で表示されます。)A Linux VM will by default show an endpoint for SSH.)

    エンドポイント Endpoints

  4. エンドポイントのエントリの上部にあるコマンド バーで、[追加] を選択します。In the command bar above the endpoint entries, select Add. [エンドポイントの追加] ページが表示されます。The Add endpoint page appears.

  5. [名前] に、エンドポイントの名前を入力します。For Name, enter a name for the endpoint.

  6. [プロトコル] に、[TCP] または [UDP] のどちらかを選択します。For Protocol, choose either TCP or UDP.

  7. [パブリック ポート] に、インターネットからのトラフィックが着信するポート番号を入力します。For Public port, enter the port number for the incoming traffic from the internet.

  8. [プライベート ポート] に、仮想マシンがリッスンするポート番号を入力します。For Private port, enter the port number on which the virtual machine is listening. パブリック ポートとプライベート ポートには異なる番号を指定できます。The public and private port numbers can be different. プロトコルとプライベート ポートに対応するトラフィックを許可するように、仮想マシン上のファイアウォールが構成されていることを確認します。Ensure that the firewall on the virtual machine has been configured to allow the traffic corresponding to the protocol and private port.

  9. [OK] を選択します。Select OK.

新しいエンドポイントが [エンドポイント] ページの一覧に表示されます。The new endpoint is listed on the Endpoints page.

エンドポイントの作成に成功

エンドポイントの ACL の管理Manage the ACL on an endpoint

トラフィックを送信できるコンピューターを定義するために、エンドポイント上の ACL によって、発信元 IP アドレスに基づいてトラフィックを制限できます。To define the set of computers that can send traffic, the ACL on an endpoint can restrict traffic based upon source IP address. エンドポイントの ACL を追加、変更、削除するには、次のステップに従います。Follow these steps to add, modify, or remove an ACL on an endpoint.

注意

エンドポイントが負荷分散セットの一部である場合、エンドポイントの ACL に対して行った変更はそのセット内のすべてのエンドポイントに適用されます。If the endpoint is part of a load-balanced set, any changes you make to the ACL on an endpoint are applied to all endpoints in the set.

仮想マシンが Azure Virtual Network 内にある場合、ACL の代わりにネットワーク セキュリティ グループを使用します。If the virtual machine is in an Azure virtual network, use network security groups instead of ACLs. 詳細については、「 ネットワーク セキュリティ グループについて」をご覧ください。For more information, see About network security groups.

  1. Azure ポータルにサインインします。Sign in to the Azure portal.

  2. [仮想マシン] を選択し、構成する仮想マシンの名前を選択します。Select Virtual machines, and then select the name of the virtual machine that you want to configure.

  3. [エンドポイント] を選択します。Select Endpoints. エンドポイントの一覧から適切なエンドポイントを選択します。From the endpoints list, select the appropriate endpoint. ページの下部に ACL リストがあります。The ACL list is at the bottom of the page.

    [HTTPS エンドポイントの ACL の詳細の指定]

  4. 一覧内の行を使用して、ACL のルールの追加、削除、編集を行い、順序を変更します。Use rows in the list to add, delete, or edit rules for an ACL and change their order. [リモート サブネット] の値は、インターネットからのトラフィックを着信する IP アドレスの範囲です。Azure Load Balancer では、この値を使用して、発信元 IP アドレスに基づいてトラフィックを許可または拒否します。The REMOTE SUBNET value is an IP address range for incoming traffic from the internet that the Azure load balancer uses to permit or deny the traffic based on its source IP address. IP アドレスの範囲は、クラスレス ドメイン間ルーティング (CIDR) 形式 (アドレス プレフィックス形式とも呼ばれる) で指定してください。Be sure to specify the IP address range in classless inter-domain routing (CIDR) format, also known as address prefix format. たとえば、「 10.1.0.0/8 」のように入力します。For example, 10.1.0.0/8.

    新しい ACL エントリ

ルールを使用して、インターネット上のご使用のコンピューターに該当する特定のコンピューターから発信されるトラフィックのみを許可したり、特定の範囲の既知のアドレスから発信されるトラフィックを拒否したりすることができます。You can use rules to allow only traffic from specific computers corresponding to your computers on the internet or to deny traffic from specific, known address ranges.

ルールの評価は、一覧の最初に示されているルールから開始され、最後に示されているルールで終了します。The rules are evaluated in order starting with the first rule and ending with the last rule. そのため、一覧には、制限の最も少ないルールから制限の最も多いルールの順に整列されている必要があります。Therefore, rules should be ordered from least restrictive to most restrictive. 詳細については、ネットワーク アクセス制御リストの概要に関するページを参照してください。For more information, see What is a Network Access Control List.

次の手順Next steps