仮想マシン ネットワーク トラフィック フィルターの問題を診断するDiagnose a virtual machine network traffic filter problem

この記事では、仮想マシン (VM) に対して有効なネットワーク セキュリティ グループ (NSG) のセキュリティ規則を表示することによって、ネットワーク トラフィック フィルターに関する問題を診断する方法を学習します。In this article, you learn how to diagnose a network traffic filter problem by viewing the network security group (NSG) security rules that are effective for a virtual machine (VM).

NSG を使うと、VM を出入りするトラフィックの種類を制御できます。NSGs enable you to control the types of traffic that flow in and out of a VM. Azure 仮想ネットワーク内のサブネット、または VM に接続されたネットワーク インターフェイス、もしくはその両方に、NSG を関連付けることができます。You can associate an NSG to a subnet in an Azure virtual network, a network interface attached to a VM, or both. ネットワーク インターフェイスに適用される有効なセキュリティ規則は、ネットワーク インターフェイスに関連付けられている NSG およびネットワーク インターフェイスが含まれるサブネットに存在する規則をまとめたものです。The effective security rules applied to a network interface are an aggregation of the rules that exist in the NSG associated to a network interface, and the subnet the network interface is in. 場合によっては、異なる NSG の規則が競合し、VM のネットワーク接続に影響を及ぼすことがあります。Rules in different NSGs can sometimes conflict with each other and impact a VM's network connectivity. VM のネットワーク インターフェイスに適用されるすべての有効なセキュリティ規則を NSG から表示できます。You can view all the effective security rules from NSGs that are applied on your VM's network interfaces. 仮想ネットワーク、ネットワーク インターフェイス、または NSG の概念について初めて学ぶ場合は、仮想ネットワークの概要ネットワーク インターフェイスネットワーク セキュリティ グループに関する記事をご覧ください。If you're not familiar with virtual network, network interface, or NSG concepts, see Virtual network overview, Network interface, and Network security groups overview.

シナリオScenario

インターネットからポート 80 経由で VM に接続しようとしますが、接続は失敗します。You attempt to connect to a VM over port 80 from the internet, but the connection fails. インターネットからポート 80 にアクセスできない理由を特定するために、Azure portalPowerShell、または Azure CLI を使って、ネットワーク インターフェイスの有効なセキュリティ規則を表示できます。To determine why you can't access port 80 from the Internet, you can view the effective security rules for a network interface using the Azure portal, PowerShell, or the Azure CLI.

以下の手順では、有効なセキュリティ規則の表示対象となる既存の VM があるものと仮定します。The steps that follow assume you have an existing VM to view the effective security rules for. 既存の VM がない場合は、最初に Linux または Windows VM を展開して、この記事のタスクを実行します。If you don't have an existing VM, first deploy a Linux or Windows VM to complete the tasks in this article with. この記事の例は、myVMVMNic というネットワーク インターフェイスを持つ myVM という VM に関するものです。The examples in this article are for a VM named myVM with a network interface named myVMVMNic. VM およびネットワーク インターフェイスは、myResourceGroup というリソース グループおよび "米国東部" リージョンにあります。The VM and network interface are in a resource group named myResourceGroup, and are in the East US region. 問題を診断する VM については、手順の値を適宜変更します。Change the values in the steps, as appropriate, for the VM you are diagnosing the problem for.

Azure portal を使用して診断するDiagnose using Azure portal

  1. 必要なアクセス許可を持つアカウントで Azure portal にログインします。Log into the Azure portal with an Azure account that has the necessary permissions.

  2. Azure portal の上部の検索ボックスに、VM の名前を入力します。At the top of the Azure portal, enter the name of the VM in the search box. 検索結果に VM の名前が表示されたら、それを選択します。When the name of the VM appears in the search results, select it.

  3. 次の図に示すように、 [設定][ネットワーク] を選択します。Under SETTINGS, select Networking, as shown in the following picture:

    セキュリティ規則を表示する

    前の図に示されている規則は、myVMVMNic という名前のネットワーク インターフェイスのものです。The rules you see listed in the previous picture are for a network interface named myVMVMNic. 2 つの異なるネットワーク セキュリティ グループからのネットワーク インターフェイスに対する受信ポートの規則があることがわかります。You see that there are INBOUND PORT RULES for the network interface from two different network security groups:

    • mySubnetNSG: ネットワーク インターフェイスが含まれているサブネットに関連付けられています。mySubnetNSG: Associated to the subnet that the network interface is in.
    • myVMNSG: myVMVMNic という名前の VM 内のネットワーク インターフェイスに関連付けられています。myVMNSG: Associated to the network interface in the VM named myVMVMNic.

    DenyAllInBound という名前のルールが、「シナリオ」で説明したように、ポート 80 経由でのインターネットから VM への受信通信を妨げています。The rule named DenyAllInBound is what's preventing inbound communication to the VM over port 80, from the internet, as described in the scenario. 規則の [ソース] には 0.0.0.0/0 と表示されており、これにはインターネットが含まれます。The rule lists 0.0.0.0/0 for SOURCE, which includes the internet. 優先順位がそれより高くて (小さい値) ポート 80 での受信を許可する規則は他にありません。No other rule with a higher priority (lower number) allows port 80 inbound. インターネットから VM へのポート 80 での受信を許可する方法については、「問題を解決する」をご覧ください。To allow port 80 inbound to the VM from the internet, see Resolve a problem. セキュリティ規則および Azure によるその適用方法について詳しくは、「ネットワーク セキュリティ グループ」をご覧ください。To learn more about security rules and how Azure applies them, see Network security groups.

    図の下部には、 [送信ポートの規則] も示されています。At the bottom of the picture, you also see OUTBOUND PORT RULES. そこには、ネットワーク インターフェイスの送信ポート規則が表示されます。Under that are the outbound port rules for the network interface. 図で各 NSG に表示されている受信規則は 4 つだけですが、もっと多くの規則がある場合もあります。Though the picture only shows four inbound rules for each NSG, your NSGs may have many more than four rules. 図では、 [ソース][ターゲット]VirtualNetwork と、また [ソース]AzureLoadBalancer と表示されています。In the picture, you see VirtualNetwork under SOURCE and DESTINATION and AzureLoadBalancer under SOURCE. VirtualNetworkAzureLoadBalancerサービス タグです。VirtualNetwork and AzureLoadBalancer are service tags. サービス タグは IP アドレス プレフィックスのグループを表し、セキュリティ規則の作成の複雑さを最小限に抑えるのに役立ちます。Service tags represent a group of IP address prefixes to help minimize complexity for security rule creation.

  4. VM が実行状態であることを確認した後、前の図のように [有効なセキュリティ規則] を選択して、次の図のように有効なセキュリティ規則を表示します。Ensure that the VM is in the running state, and then select Effective security rules, as shown in the previous picture, to see the effective security rules, shown in the following picture:

    有効なセキュリティ規則を表示する

    表示されている規則はステップ 3 と同じですが、ネットワーク インターフェイスとサブネットに関連付けられている NSG に対する別のタブがあります。The rules listed are the same as you saw in step 3, though there are different tabs for the NSG associated to the network interface and the subnet. 図に示すように、最初の 50 規則のみが表示されています。As you can see in the picture, only the first 50 rules are shown. すべての規則を含む .csv ファイルをダウンロードするには、 [ダウンロード] を選択します。To download a .csv file that contains all of the rules, select Download.

    各サービス タグが表すプレフィックスを確認するには、AllowAzureLoadBalancerInbound のような規則を選択します。To see which prefixes each service tag represents, select a rule, such as the rule named AllowAzureLoadBalancerInbound. 次の図では、AzureLoadBalancer サービス タグのプレフィックスが示されています。The following picture shows the prefixes for the AzureLoadBalancer service tag:

    有効なセキュリティ規則を表示する

    AzureLoadBalancer サービス タグが表すプレフィックスは 1 つだけですが、他のサービス タグは複数のプレフィックスを表しています。Though the AzureLoadBalancer service tag only represents one prefix, other service tags represent several prefixes.

  5. 前の手順では myVMVMNic という名前のネットワーク インターフェイスのセキュリティ規則を示しましたが、前のいくつかの図には myVMVMNic2 という名前のネットワーク インターフェイスも表示されています。The previous steps showed the security rules for a network interface named myVMVMNic, but you've also seen a network interface named myVMVMNic2 in some of the previous pictures. この例の VM には 2 つのネットワーク インターフェイスが接続されています。The VM in this example has two network interfaces attached to it. 有効なセキュリティ規則は、ネットワーク インターフェイスごとに異なる場合があります。The effective security rules can be different for each network interface.

    myVMVMNic2 ネットワーク インターフェイスの規則を表示するには、それを選択します。To see the rules for the myVMVMNic2 network interface, select it. 次の図のように、このネットワーク インターフェイスのサブネットには myVMVMNic ネットワーク インターフェイスと同じ規則が関連付けられています。これは、両方のネットワーク インターフェイスが同じサブネット内にあるためです。As shown in the picture that follows, the network interface has the same rules associated to its subnet as the myVMVMNic network interface, because both network interfaces are in the same subnet. サブネットに NSG を関連付けると、サブネット内のすべてのネットワーク インターフェイスにその規則が適用されます。When you associate an NSG to a subnet, its rules are applied to all network interfaces in the subnet.

    セキュリティ規則を表示する

    myVMVMNic ネットワーク インターフェイスとは異なり、myVMVMNic2 ネットワーク インターフェイスにはネットワーク セキュリティ グループが関連付けられていません。Unlike the myVMVMNic network interface, the myVMVMNic2 network interface does not have a network security group associated to it. 各ネットワーク インターフェイスとサブネットには、1 つの NSG を関連付けることができ、NSG を関連付けなくてもかまいません。Each network interface and subnet can have zero, or one, NSG associated to it. 各ネットワーク インターフェイスまたはサブネットに関連付ける NSG は、同じでも異なっていてもかまいません。The NSG associated to each network interface or subnet can be the same, or different. 同じネットワーク セキュリティ グループを、任意の数のネットワーク インターフェイスとサブネットに関連付けることができます。You can associate the same network security group to as many network interfaces and subnets as you choose.

ここでは VM から有効なセキュリティ規則を表示しましたが、以下の個々の項目から有効なセキュリティ規則を表示することもできます。Though effective security rules were viewed through the VM, you can also view effective security rules through an individual:

PowerShell を使用して診断するDiagnose using PowerShell

注意

この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. AzureRM モジュールはまだ使用でき、少なくとも 2020 年 12 月までは引き続きバグ修正が行われます。You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。For Az module installation instructions, see Install Azure PowerShell.

以下のコマンドは、Azure Cloud Shell で、またはコンピューターから PowerShell を実行することで実行できます。You can run the commands that follow in the Azure Cloud Shell, or by running PowerShell from your computer. Azure Cloud Shell は無料の対話型シェルです。The Azure Cloud Shell is a free interactive shell. 一般的な Azure ツールが事前にインストールされており、アカウントで使用できるように構成されています。It has common Azure tools preinstalled and configured to use with your account. お使いのコンピューターから PowerShell を実行する場合は、Azure PowerShell モジュール、バージョン 1.0.0 以降が必要です。If you run PowerShell from your computer, you need the Azure PowerShell module, version 1.0.0 or later. コンピューターで Get-Module -ListAvailable Az を実行して、インストールされているバージョンを確認してください。Run Get-Module -ListAvailable Az on your computer, to find the installed version. アップグレードする必要がある場合は、Azure PowerShell モジュールのインストールに関するページを参照してください。If you need to upgrade, see Install Azure PowerShell module. PowerShell をローカルで実行している場合、必要なアクセス許可を持つアカウントで Connect-AzAccount を実行して Azure にログインする必要もあります。If you are running PowerShell locally, you also need to run Connect-AzAccount to log into Azure with an account that has the necessary permissions].

ネットワーク インターフェイスの有効なセキュリティ規則を取得するには、Get-AzEffectiveNetworkSecurityGroup を使います。Get the effective security rules for a network interface with Get-AzEffectiveNetworkSecurityGroup. 次の例では、myResourceGroup というリソース グループにある myVMVMNic という名前のネットワーク インターフェイスの有効なセキュリティ規則を取得します。The following example gets the effective security rules for a network interface named myVMVMNic, that is in a resource group named myResourceGroup:

Get-AzEffectiveNetworkSecurityGroup `
  -NetworkInterfaceName myVMVMNic `
  -ResourceGroupName myResourceGroup

出力は JSON 形式で返されます。Output is returned in json format. 出力を理解する方法については、「コマンドの出力を解釈する」をご覧ください。To understand the output, see interpret command output. 出力は、NSG がネットワーク インターフェイスまたはネットワーク インターフェイスが含まれるサブネットのどちらか一方または両方に関連付けられている場合にのみ返されます。Output is only returned if an NSG is associated with the network interface, the subnet the network interface is in, or both. VM は実行状態になっている必要があります。The VM must be in the running state. VM には、異なる NSG が適用された複数のネットワーク インターフェイスが存在することがあります。A VM may have multiple network interfaces with different NSGs applied. トラブルシューティングを行うときは、それぞれのネットワーク インターフェイスに対してコマンドを実行します。When troubleshooting, run the command for each network interface.

接続の問題が解決しない場合は、「追加の診断」と「考慮事項」をご覧ください。If you're still having a connectivity problem, see additional diagnosis and considerations.

ネットワーク インターフェイスの名前がわからなくても、ネットワーク インターフェイスが接続されている VM の名前がわかっている場合は、次のコマンドで VM に接続されているすべてのネットワーク インターフェイスの ID が返されます。If you don't know the name of a network interface, but do know the name of the VM the network interface is attached to, the following commands return the IDs of all network interfaces attached to a VM:

$VM = Get-AzVM -Name myVM -ResourceGroupName myResourceGroup
$VM.NetworkProfile

次の例のような出力が返されます。You receive output similar to the following example:

NetworkInterfaces
-----------------
{/subscriptions/<ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myVMVMNic

前の出力では、ネットワーク インターフェイスの名前は myVMVMNic です。In the previous output, the network interface name is myVMVMNic.

Azure CLI を使用して診断するDiagnose using Azure CLI

Azure コマンド ライン インターフェイス (CLI) コマンドを使用してこの記事のタスクを実行する場合は、Azure Cloud Shell でコマンドを実行するか、お使いのコンピューターから CLI を実行してください。If using Azure Command-line interface (CLI) commands to complete tasks in this article, either run the commands in the Azure Cloud Shell, or by running the CLI from your computer. この記事では、Azure CLI バージョン 2.0.32 以降が必要です。This article requires the Azure CLI version 2.0.32 or later. インストールされているバージョンを確認するには、az --version を実行します。Run az --version to find the installed version. インストールまたはアップグレードする必要がある場合は、Azure CLI のインストールに関するページを参照してください。If you need to install or upgrade, see Install Azure CLI. Azure CLI をローカルで実行している場合、必要なアクセス許可を持つアカウントで az login を実行して Azure にログインする必要もあります。If you are running the Azure CLI locally, you also need to run az login and log into Azure with an account that has the necessary permissions.

az network nic list-effective-nsg を使用して、ネットワーク インターフェイスに対して有効なセキュリティ規則を取得します。Get the effective security rules for a network interface with az network nic list-effective-nsg. 次の例では、myResourceGroup というリソース グループにある myVMVMNic という名前のネットワーク インターフェイスの有効なセキュリティ規則を取得します。The following example gets the effective security rules for a network interface named myVMVMNic that is in a resource group named myResourceGroup:

az network nic list-effective-nsg \
  --name myVMVMNic \
  --resource-group myResourceGroup

出力は JSON 形式で返されます。Output is returned in json format. 出力を理解する方法については、「コマンドの出力を解釈する」をご覧ください。To understand the output, see interpret command output. 出力は、NSG がネットワーク インターフェイスまたはネットワーク インターフェイスが含まれるサブネットのどちらか一方または両方に関連付けられている場合にのみ返されます。Output is only returned if an NSG is associated with the network interface, the subnet the network interface is in, or both. VM は実行状態になっている必要があります。The VM must be in the running state. VM には、異なる NSG が適用された複数のネットワーク インターフェイスが存在することがあります。A VM may have multiple network interfaces with different NSGs applied. トラブルシューティングを行うときは、それぞれのネットワーク インターフェイスに対してコマンドを実行します。When troubleshooting, run the command for each network interface.

接続の問題が解決しない場合は、「追加の診断」と「考慮事項」をご覧ください。If you're still having a connectivity problem, see additional diagnosis and considerations.

ネットワーク インターフェイスの名前がわからなくても、ネットワーク インターフェイスが接続されている VM の名前がわかっている場合は、次のコマンドで VM に接続されているすべてのネットワーク インターフェイスの ID が返されます。If you don't know the name of a network interface, but do know the name of the VM the network interface is attached to, the following commands return the IDs of all network interfaces attached to a VM:

az vm show \
  --name myVM \
  --resource-group myResourceGroup

返される出力には次の例のような情報が含まれます。Within the returned output, you see information similar to the following example:

"networkProfile": {
    "additionalProperties": {},
    "networkInterfaces": [
      {
        "additionalProperties": {},
        "id": "/subscriptions/<ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myVMVMNic",
        "primary": true,
        "resourceGroup": "myResourceGroup"
      },

前の出力では、ネットワーク インターフェイスの名前は myVMVMNic interface です。In the previous output, the network interface name is myVMVMNic interface.

コマンドの出力を解釈するInterpret command output

PowerShell または Azure CLI のどちらを使って問題を診断しても、次の情報が含まれる出力が表示されます。Regardless of whether you used the PowerShell, or the Azure CLI to diagnose the problem, you receive output that contains the following information:

  • NetworkSecurityGroup: ネットワーク セキュリティ グループの ID です。NetworkSecurityGroup: The ID of the network security group.
  • Association: ネットワーク セキュリティ グループが NetworkInterfaceSubnet のどちらに関連付けられているかを示します。Association: Whether the network security group is associated to a NetworkInterface or Subnet. NSG が両方に関連付けられている場合、出力は各 NSG の NetworkSecurityGroupAssociation、および EffectiveSecurityRules で返されます。If an NSG is associated to both, output is returned with NetworkSecurityGroup, Association, and EffectiveSecurityRules, for each NSG. このコマンドを実行して有効なセキュリティ規則を表示する直前に、NSG リソースを関連付けたり、関連付けを解除したりした場合は、コマンドの出力にその変更が反映されるまで数秒間待たなければならないことがあります。If the NSG is associated or disassociated immediately before running the command to view the effective security rules, you may need to wait a few seconds for the change to reflect in the command output.
  • EffectiveSecurityRules: 各プロパティの説明について詳しくは、「セキュリティ規則を作成する」をご覧ください。EffectiveSecurityRules: An explanation of each property is detailed in Create a security rule. 名前の前に defaultSecurityRules/ が付いている規則は、すべての NSG に存在する既定のセキュリティ規則です。Rule names prefaced with defaultSecurityRules/ are default security rules that exist in every NSG. 名前の前に securityRules/ が付いている規則は、ユーザーが作成した規則です。Rule names prefaced with securityRules/ are rules that you've created. destinationAddressPrefix または sourceAddressPrefix プロパティに対して InternetVirtualNetworkAzureLoadBalancer などのサービス タグが指定されている規則は、expandedDestinationAddressPrefix プロパティにも値があります。Rules that specify a service tag, such as Internet, VirtualNetwork, and AzureLoadBalancer for the destinationAddressPrefix or sourceAddressPrefix properties, also have values for the expandedDestinationAddressPrefix property. expandedDestinationAddressPrefix プロパティには、サービス タグによって表されるすべてのアドレス プレフィックスが一覧表示されます。The expandedDestinationAddressPrefix property lists all address prefixes represented by the service tag.

出力に重複して規則が表示される場合は、NSG がネットワーク インターフェイスとサブネットの両方に関連付けられているためです。If you see duplicate rules listed in the output, it's because an NSG is associated to both the network interface and the subnet. 既定の規則はどちらの NSG も同じであり、両方の NSG で同じ独自のルールが作成されている場合は、他にも重複する規則が存在することがあります。Both NSGs have the same default rules, and may have additional duplicate rules, if you've created your own rules that are the same in both NSGs.

defaultSecurityRules/DenyAllInBound という名前のルールが、「シナリオ」で説明したように、ポート 80 経由でのインターネットから VM への受信通信を妨げています。The rule named defaultSecurityRules/DenyAllInBound is what's preventing inbound communication to the VM over port 80, from the internet, as described in the scenario. 優先順位がそれより高くて (小さい値) ポート 80 でのインターネットからの受信を許可する規則は他にありません。No other rule with a higher priority (lower number) allows port 80 inbound from the internet.

問題を解決するResolve a problem

この記事の「シナリオ」で示されている問題の診断に Azure portalPowerShellAzure CLI のどれを使用した場合でも、解決するには、以下のプロパティを含むネットワーク セキュリティ規則を作成します。Whether you use the Azure portal, PowerShell, or the Azure CLI to diagnose the problem presented in the scenario in this article, the solution is to create a network security rule with the following properties:

プロパティProperty Value
ソースSource 任意Any
ソース ポート範囲Source port ranges 任意Any
変換先Destination VM の IP アドレス、IP アドレスの範囲、またはサブネット内のすべてのアドレス。The IP address of the VM, a range of IP addresses, or all addresses in the subnet.
宛先ポート範囲Destination port ranges 8080
プロトコルProtocol TCPTCP
ActionAction ALLOWAllow
優先順位Priority 100100
NameName Allow-HTTP-AllAllow-HTTP-All

この規則を作成した後は、ポート 80 でインターネットからの受信が許可されるようになります。これは、トラフィックを拒否している DenyAllInBound という名前の既定のセキュリティ規則より、この規則の優先順位の方が高いためです。After you create the rule, port 80 is allowed inbound from the internet, because the priority of the rule is higher than the default security rule named DenyAllInBound, that denies the traffic. 方法については、「セキュリティ規則を作成する」をご覧ください。Learn how to create a security rule. ネットワーク インターフェイスとサブネットに異なる NSG が関連付けられている場合は、両方の NSG に同じ規則を作成する必要があります。If different NSGs are associated to both the network interface, and the subnet, you must create the same rule in both NSGs.

Azure は、受信トラフィックを処理するとき、最初にサブネットに関連付けられている NSG の規則を処理し (関連付けられた NSG がある場合)、次にネットワーク インターフェイスに関連付けられている NSG の規則を処理します。When Azure processes inbound traffic, it processes rules in the NSG associated to the subnet (if there is an associated NSG), and then it processes the rules in the NSG associated to the network interface. ネットワーク インターフェイスとサブネットに関連付けられている NSG がある場合、トラフィックが VM に到達するためには、両方の NSG でポートを開く必要があります。If there is an NSG associated to the network interface and the subnet, the port must be open in both NSGs, for the traffic to reach the VM. 管理と通信の問題を軽減するため、個々のネットワーク インターフェイスではなくサブネットに NSG を関連付けることをお勧めします。To ease administration and communication problems, we recommend that you associate an NSG to a subnet, rather than individual network interfaces. サブネット内の VM で異なるセキュリティ規則が必要な場合は、アプリケーション セキュリティ グループ (ASG) のネットワーク インターフェイス メンバーを作成し、セキュリティ規則のソースとターゲットとして ASG を指定できます。If VMs within a subnet need different security rules, you can make the network interfaces members of an application security group (ASG), and specify an ASG as the source and destination of a security rule. 詳しくは、「アプリケーション セキュリティ グループ」をご覧ください。Learn more about application security groups.

通信の問題が解決しない場合は、「考慮事項」と「追加の診断」をご覧ください。If you're still having communication problems, see Considerations and Additional diagnosis.

考慮事項Considerations

接続問題のトラブルシューティングを行う場合は、次の点を検討してください。Consider the following points when troubleshooting connectivity problems:

  • 既定のセキュリティ規則は、インターネットからの受信アクセスをブロックし、仮想ネットワークからの受信トラフィックのみを許可します。Default security rules block inbound access from the internet, and only permit inbound traffic from the virtual network. インターネットからの受信トラフィックを許可するには、既定の規則より優先順位の高いセキュリティ規則を追加します。To allow inbound traffic from the Internet, add security rules with a higher priority than default rules. 既定のセキュリティ規則またはセキュリティ規則を追加する方法について学習します。Learn more about default security rules, or how to add a security rule.
  • 既定では、仮想ネットワークをピアリングした場合、VIRTUAL_NETWORK サービス タグは、ピアリングされている仮想ネットワークのプレフィックスを含めるように自動的に拡張されます。If you have peered virtual networks, by default, the VIRTUAL_NETWORK service tag automatically expands to include prefixes for peered virtual networks. 仮想ネットワークのピアリングに関する問題をトラブルシューティングするには、ExpandedAddressPrefix の一覧でプレフィックスを表示できます。To troubleshoot any issues related to virtual network peering, you can view the prefixes in the ExpandedAddressPrefix list. 仮想ネットワーク ピアリングおよびサービス タグの詳細を学習してください。Learn more about virtual network peering and service tags.
  • ネットワーク インターフェイスの有効なセキュリティ規則は、VM のネットワーク インターフェイスまたはサブネットに NSG が関連付けられていて、VM が実行中の状態である場合にのみ、表示されます。Effective security rules are only shown for a network interface if there is an NSG associated with the VM's network interface and, or, subnet, and if the VM is in the running state.
  • ネットワーク インターフェイスやサブネットに関連付けられている NSG がなく、VM にパブリック IP アドレスが割り当てられている場合は、すべてのポートがすべての場所との間の受信/送信アクセス用に開かれます。If there are no NSGs associated with the network interface or subnet, and you have a public IP address assigned to a VM, all ports are open for inbound access from and outbound access to anywhere. VM にパブリック IP アドレスがある場合は、ネットワーク インターフェイスが含まれるサブネットに NSG を適用することをお勧めします。If the VM has a public IP address, we recommend applying an NSG to the subnet the network interface.

追加の診断Additional diagnosis

  • VM の送受信トラフィックが許可されているかどうかを確認するための簡単なテストを実行するには、Azure Network Watcher の IP フロー検証機能を使用します。To run a quick test to determine if traffic is allowed to or from a VM, use the IP flow verify capability of Azure Network Watcher. IP フロー検証では、トラフィックが許可されるか拒否されるかが示されます。IP flow verify tells you if traffic is allowed or denied. 拒否される場合、IP フロー検証はトラフィックを拒否しているセキュリティ規則を示します。If denied, IP flow verify tells you which security rule is denying the traffic.
  • VM のネットワーク接続の失敗を引き起こすセキュリティ規則がない場合は、他の原因が考えられます。If there are no security rules causing a VM's network connectivity to fail, the problem may be due to:
    • VM のオペレーティング システム内で実行されているファイアウォール ソフトウェアFirewall software running within the VM's operating system
    • 仮想アプライアンスまたはオンプレミスのトラフィック用に構成されたルート。Routes configured for virtual appliances or on-premises traffic. インターネット トラフィックは、強制トンネリングを使用してオンプレミスのネットワークにリダイレクトできます。Internet traffic can be redirected to your on-premises network via forced-tunneling. インターネット トラフィックを仮想アプライアンスまたはオンプレミスに強制トンネリングすると、インターネットから VM に接続できない場合があります。If you force tunnel internet traffic to a virtual appliance, or on-premises, you may not be able to connect to the VM from the internet. VM からのトラフィックのフローを妨げる可能性があるルートの問題を診断する方法については、「Diagnose a virtual machine routing problem」(仮想マシンのルーティングの問題を診断する) をご覧ください。To learn how to diagnose route problems that may impede the flow of traffic out of the VM, see Diagnose a virtual machine network traffic routing problem.

次の手順Next steps