Azure 上でクラシック Windows 仮想マシンにエンドポイントをセットアップする方法How to set up endpoints on a classic Windows virtual machine in Azure

クラシック デプロイメント モデルを使用して Azure で作成したすべての Windows 仮想マシンが、プライベート ネットワーク チャネルを介して、同じクラウド サービスまたは仮想ネットワーク内の他の仮想マシンと自動的に通信できます。All Windows virtual machines that you create in Azure using the classic deployment model can automatically communicate over a private network channel with other virtual machines in the same cloud service or virtual network. ただし、インターネットまたは他の仮想ネットワークにあるコンピューターと通信するには、仮想マシンへの着信ネットワーク トラフィックを転送するエンドポイントが必要になります。However, computers on the Internet or other virtual networks require endpoints to direct the inbound network traffic to a virtual machine. この記事は、 Linux 仮想マシン にも利用できます。This article is also available for Linux virtual machines.

重要

Azure には、リソースの作成と操作に関して、 Resource Manager とクラシックの 2 種類のデプロイメント モデルがあります。Azure has two different deployment models for creating and working with resources: Resource Manager and Classic. この記事では、クラシック デプロイ モデルの使用方法について説明します。This article covers using the Classic deployment model. 最新のデプロイメントでは、リソース マネージャー モデルを使用することをお勧めします。Microsoft recommends that most new deployments use the Resource Manager model.

2017 年 11 月 15 日から、Virtual Machines は Azure Portal でのみ使用できます。Starting November 15, 2017, Virtual Machines will be available only in the Azure portal.

Resource Manager デプロイ モデルでは、エンドポイントはネットワーク セキュリティ グループ (NSG) を使用して構成します。In the Resource Manager deployment model, endpoints are configured using Network Security Groups (NSGs). 詳しくは、「Azure Portal を使用して VM への外部アクセスを許可する方法」に関する記事をご覧ください。For more information, see Allow external access to your VM using the Azure portal.

Azure Portal で Windows 仮想マシンを作成すると、共通エンドポイント (リモート デスクトップや Windows PowerShell リモート処理用のエンドポイントなど) が通常は自動的に作成されます。When you create a Windows virtual machine in the Azure portal, common endpoints like those for Remote Desktop and Windows PowerShell Remoting are typically created for you automatically. 必要に応じて、仮想マシンの作成中や作成後に、追加のエンドポイントを構成できます。You can configure additional endpoints while creating the virtual machine or afterwards as needed.

各エンドポイントには、パブリック ポートプライベート ポートがあります。Each endpoint has a public port and a private port:

  • パブリック ポートは、インターネットから仮想マシンに発信される着信トラフィックをリッスンするときに、Azure Load Balancer によって使用されます。The public port is used by the Azure load balancer to listen for incoming traffic to the virtual machine from the Internet.
  • プライベート ポートは、一般的に仮想マシンで実行されているアプリケーションまたはサービスを宛先とする着信トラフィックをリッスンする仮想マシンによって使用されます。The private port is used by the virtual machine to listen for incoming traffic, typically destined to an application or service running on the virtual machine.

Azure ポータルでエンドポイントを作成するときに、周知のネットワーク プロトコルの IP プロトコルと、TCP ポートまたは UDP ポートの既定値が提示されます。Default values for the IP protocol and TCP or UDP ports for well-known network protocols are provided when you create endpoints with the Azure portal. カスタム エンドポイントの場合、正しい IP プロトコル (TCP または UDP) と、パブリック ポートとプライベート ポートを指定することが必要になります。For custom endpoints, you'll need to specify the correct IP protocol (TCP or UDP) and the public and private ports. 着信トラフィックを複数の仮想マシンにランダムに分散するには、複数のエンドポイントで構成される負荷分散セットを作成する必要があります。To distribute incoming traffic randomly across multiple virtual machines, you'll need to create a load-balanced set consisting of multiple endpoints.

エンドポイントを作成した後、アクセス制御リスト (ACL) を使用して、発信元 IP アドレスに基づいて、エンドポイントのパブリック ポートを宛先とする着信トラフィックの許可または拒否に役立つルールを定義できます。After you create an endpoint, you can use an access control list (ACL) to define rules that permit or deny the incoming traffic to the public port of the endpoint based on its source IP address. ただし、仮想マシンが Azure Virtual Network 内にある場合、ネットワーク セキュリティ グループを代わりに使用する必要があります。However, if the virtual machine is in an Azure virtual network, you should use network security groups instead. 詳細については、「 ネットワーク セキュリティ グループについて」を参照してください。For details, see About network security groups.

注意

Azure が自動で設定するリモート接続エンドポイントに関連付けられているポートに対して、Azure 仮想マシンのファイアウォール構成が自動的に行われます。Firewall configuration for Azure virtual machines is done automatically for ports associated with remote connectivity endpoints that Azure sets up automatically. 他のすべてのエンドポイントに対して指定されているポートについては、仮想マシンのファイアウォールは自動的には構成されません。For ports specified for all other endpoints, no configuration is done automatically to the firewall of the virtual machine. 仮想マシンにエンドポイントを作成するとき、仮想マシンのファイアウォールで、エンドポイントの構成に対応するプロトコルとプライベート ポートでトラフィックが許可されていることを確認する必要があります。When you create an endpoint for the virtual machine, you'll need to ensure that the firewall of the virtual machine also allows the traffic for the protocol and private port corresponding to the endpoint configuration. ファイアウォールを構成するには、仮想マシンで実行しているオペレーティング システムの文書またはオンライン ヘルプを参照してください。To configure the firewall, see the documentation or on-line help for the operating system running on the virtual machine.

エンドポイントの作成Create an endpoint

  1. まだサインインしていない場合は、 Azure ポータルにサインインします。If you haven't already done so, sign in to the Azure portal.
  2. [Virtual Machines] をクリックし、構成する仮想マシンの名前をクリックします。Click Virtual Machines, and then click the name of the virtual machine that you want to configure.
  3. [設定] グループで [エンドポイント] をクリックします。Click Endpoints in the Settings group. [エンドポイント] ページには、仮想マシンの現在のすべてのエンドポイントが表示されます。The Endpoints page lists all the current endpoints for the virtual machine. (この例は Windows VM です。(This example is a Windows VM. Linux VM の場合、SSH のエンドポイントが既定で表示されます。)A Linux VM will by default show an endpoint for SSH.)

    エンドポイント

  4. エンドポイントのエントリの上部にあるコマンド バーで、[追加] をクリックします。In the command bar above the endpoint entries, click Add.

  5. [エンドポイントの追加] ページで、[名前] にエンドポイントの名前を入力します。On the Add endpoint page, type a name for the endpoint in Name.
  6. [プロトコル] で、[TCP] または [UDP] のどちらかを選択します。In Protocol, choose either TCP or UDP.
  7. [パブリック ポート] に、インターネットから発信される着信トラフィックを着信するポートの番号を入力します。In Public Port, type the port number for the incoming traffic from the Internet. [プライベート ポート] に、仮想マシンがリッスンするポート番号を入力します。In Private Port, type the port number on which the virtual machine is listening. このポート番号は別の番号でもかまいません。These port numbers can be different. プロトコル (手順 6) とプライベート ポートに対応するトラフィックを許可するように、仮想マシン上のファイアウォールが構成されていることを確認します。Ensure that the firewall on the virtual machine has been configured to allow the traffic corresponding to the protocol (in step 6) and private port.
  8. [OK] をクリックします。Click Ok.

新しいエンドポイントが [エンドポイント] ページの一覧に表示されます。The new endpoint will be listed on the Endpoints page.

エンドポイントの作成に成功

エンドポイントの ACL の管理Manage the ACL on an endpoint

トラフィックを送信できるコンピューターを定義するために、エンドポイント上の ACL によって、発信元 IP アドレスに基づいてトラフィックを制限できます。To define the set of computers that can send traffic, the ACL on an endpoint can restrict traffic based upon source IP address. エンドポイントの ACL を追加、変更、削除するには、次のステップに従います。Follow these steps to add, modify, or remove an ACL on an endpoint.

注意

エンドポイントが負荷分散セットの一部である場合、エンドポイントの ACL に対して行った変更はそのセット内のすべてのエンドポイントに適用されます。If the endpoint is part of a load-balanced set, any changes you make to the ACL on an endpoint are applied to all endpoints in the set.

仮想マシンが Azure 仮想ネットワーク内にある場合は、ACL の代わりにネットワーク セキュリティ グループを使用することをお勧めします。If the virtual machine is in an Azure virtual network, we recommend network security groups instead of ACLs. 詳細については、「 ネットワーク セキュリティ グループについて」を参照してください。For details, see About network security groups.

  1. まだサインインしていない場合は、Azure ポータルにサインインします。If you haven't already done so, sign in to the Azure portal.
  2. [Virtual Machines] をクリックし、構成する仮想マシンの名前をクリックします。Click Virtual Machines, and then click the name of the virtual machine that you want to configure.
  3. [エンドポイント] をクリックします。Click Endpoints. 一覧から適切なエンドポイントを選択します。From the list, select the appropriate endpoint. ページの下部に ACL リストがあります。The ACL list is at the bottom of the page.

    [HTTPS エンドポイントの ACL の詳細の指定]

  4. 一覧内の行を使用して、ACL のルールの追加、削除、編集を行い、順序を変更します。Use rows in the list to add, delete, or edit rules for an ACL and change their order. [リモート サブネット] の値は、インターネットからのトラフィックを着信する IP アドレスの範囲です。Azure Load Balancer では、この値を使用して、発信元 IP アドレスに基づいてトラフィックを許可または拒否します。The Remote Subnet value is an IP address range for incoming traffic from the Internet that the Azure load balancer uses to permit or deny the traffic based on its source IP address. IP アドレスの範囲は、CIDR 形式 (アドレス プレフィックス形式とも呼ばれる) で指定してください。Be sure to specify the IP address range in CIDR format, also known as address prefix format. 例: 10.1.0.0/8An example is 10.1.0.0/8.

    新しい ACL エントリ

ルールを使用して、インターネット上のご使用のコンピューターに該当する特定のコンピューターから発信されるトラフィックのみを許可することや、特定の範囲の既知のアドレスから発信されるトラフィックを拒否できます。You can use rules to allow only traffic from specific computers corresponding to your computers on the Internet or to deny traffic from specific, known address ranges.

ルールの評価は、一覧の最初に示されているルールから開始され、最後に示されているルールで終了します。The rules are evaluated in order starting with the first rule and ending with the last rule. つまり、一覧には、制限の最も少ないルールから制限の最も多いルールの順に整列されている必要があります。This means that rules should be ordered from least restrictive to most restrictive. 例と詳細については、「ネットワーク アクセス制御リストとは」を参照してください。For examples and more information, see What is a Network Access Control List.

次の手順Next steps