チュートリアル: Azure portal を使用してハイブリッド ネットワークに Azure Firewall とポリシーをデプロイして構成する

オンプレミス ネットワークを Azure 仮想ネットワークに接続してハイブリッド ネットワークを作成する場合、ご利用の Azure ネットワーク リソースへのアクセスを制御する機能が、全体的なセキュリティ プランの中で重要な役割を果たします。

Azure Firewall とファイアウォール ポリシーを使用して、許可および拒否するネットワーク トラフィックを定義した規則によって、ハイブリッド ネットワークにおけるネットワーク アクセスを制御できます。

このチュートリアルでは、3 つの仮想ネットワークを作成します。

  • VNet-Hub - ファイアウォールは、この仮想ネットワーク内に存在します。
  • VNet-Spoke - スポーク仮想ネットワークは Azure 上のワークロードを表します。
  • VNet-Onprem - オンプレミス仮想ネットワークはオンプレミス ネットワークを表します。 実際のデプロイでは、VPN または ExpressRoute 接続のいずれかを使用して接続できます。 わかりやすくするため、このチュートリアルでは VPN ゲートウェイ接続を使用し、Azure に配置された仮想ネットワークがオンプレミス ネットワークを表すために使用されます。

ハイブリッド ネットワーク内のファイアウォールの図。

このチュートリアルでは、次の作業を行う方法について説明します。

  • ファイアウォールのハブ仮想ネットワークを作成する
  • スポーク仮想ネットワークを作成する
  • オンプレミス仮想ネットワークを作成する
  • ファイアウォールとポリシーを構成してデプロイする
  • VPN ゲートウェイを作成して接続する
  • ハブとスポークの仮想ネットワークをピアリングする
  • ルートを作成する
  • 仮想マシンの作成
  • ファイアウォールをテストする

この手順の実行に、代わりに Azure PowerShell を使用する場合は、「Azure PowerShell を使用してハイブリッド ネットワークに Azure Firewall をデプロイして構成する」を参照してください。

前提条件

ハイブリッド ネットワークでは、ハブおよびスポーク アーキテクチャ モデルを使用して、Azure VNet とオンプレミス ネットワーク間でトラフィックをルーティングします。 ハブおよびスポーク アーキテクチャには、次の要件があります。

  • スポーク サブネット トラフィックをハブ ファイアウォール経由でルーティングするには、 [仮想ネットワーク ゲートウェイのルート伝達] オプションが無効になったファイアウォールを指すユーザー定義ルート (UDR) を使用してください。 [仮想ネットワーク ゲートウェイのルート伝達] オプションが無効になっていると、スポーク サブネットへのルート配布ができなくなります。 これにより、学習されたルートと UDR との競合が防止されます。 [仮想ネットワーク ゲートウェイのルート伝達] を有効にしておきたい場合は必ず、ファイアウォールへのルートを具体的に定義して、オンプレミスから BGP で発行されたルートをオーバーライドしてください。
  • ハブ ゲートウェイ サブネット上の UDR を、スポーク ネットワークへの次のホップとしてファイアウォール IP アドレスを指すように構成します。 Azure Firewall サブネット上に UDR は必要ありません。BGP からルートを学習するためです。

これらのルートの作成方法については、このチュートリアルの「ルートを作成する」セクションをご覧ください。

Note

Azure Firewall には、インターネットへの直接接続が必要です。 AzureFirewallSubnet が BGP 経由のオンプレミス ネットワークへの既定のルートを学習する場合は、インターネットへの直接接続を保持するために、NextHopType の値を Internet に設定した 0.0.0.0/0 UDR でこれを上書きする必要があります。

Azure Firewall は、強制トンネリングをサポートするように構成できます。 詳細については、「Azure Firewall 強制トンネリング」を参照してください。

注意

直接ピアリングされた VNets 間のトラフィックは、UDR が既定のゲートウェイとして Azure Firewall をポイントしている場合でも、直接ルーティングされます。 このシナリオでサブネット間トラフィックをファイアウォールに送信するには、UDR に両方のサブネットのターゲットのサブネット ネットワーク プレフィックスを明示的に含める必要があります。

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

ファイアウォールのハブ仮想ネットワークを作成する

まず、このチュートリアルのリソースを含めるためのリソース グループを作成します。

  1. Azure portal にサインインします。
  2. Azure portal のホーム ページで [リソース グループ]>[作成] の順に選択します。
  3. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  4. [リソース グループ名] に「FW-Hybrid-Test」と入力します。
  5. [リージョン][(米国) 米国東部] を選択します。 後で作成するリソースは、いずれも同じ場所にある必要があります。
  6. [確認および作成] を選択します。
  7. [作成] を選択します

次に、仮想ネットワークを作成します。

Note

AzureFirewallSubnet サブネットのサイズは /26 です。 サブネットのサイズの詳細については、「Azure Firewall に関する FAQ」を参照してください。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. [ネットワーク] で、 [仮想ネットワーク] を選択します。
  3. [作成] を選択します
  4. [リソース グループ] で、 [FW-Hybrid-Test] を選択します。
  5. [名前] に「VNet-hub」と入力します。
  6. [セキュリティ] タブで [次へ] を選択します。
  7. [IPv4 アドレス空間] に「10.5.0.0/16」と入力します。
  8. [サブネット] で、[既定] を選択します。
  9. [Subnet purpose] (サブネットの目的) で、[Azure Firewall] を選択します。
  10. [開始アドレス] に「10.5.0.0/26」と入力します。
  11. [保存] を選択します。
  12. [Review + create](レビュー + 作成) を選択します。
  13. [作成] を選択します

ここで、ゲートウェイ用に 2 つ目のサブネットを作成します。

  1. [VNet-hub] ページで [サブネット] を選択します。
  2. [+サブネット] を選択します。
  3. [Subnet purpose] (サブネットの目的) で、[仮想ネットワーク ゲートウェイ] を選択します。
  4. [開始アドレス] に「10.5.2.0/26」と入力します。
  5. [追加] を選択します。

スポーク仮想ネットワークを作成する

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. [Networking](ネットワーク) で、 [仮想ネットワーク] を選択します。
  3. [作成] を選択します
  4. [リソース グループ] で、 [FW-Hybrid-Test] を選択します。
  5. [名前] に「VNet-Spoke」と入力します。
  6. [リージョン][(米国) 米国東部] を選択します。
  7. [次へ] を選択します。
  8. [セキュリティ] タブで [次へ] を選択します。
  9. [IPv4 アドレス空間] に「10.6.0.0/16」と入力します。
  10. [サブネット] で、[既定] を選択します。
  11. [名前] に「SN-Workload」と入力します。
  12. [開始アドレス] に「10.6.0.0/24」と入力します。
  13. [保存] を選択します。
  14. [Review + create](レビュー + 作成) を選択します。
  15. [作成] を選択します

オンプレミス仮想ネットワークを作成する

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. [Networking](ネットワーク) で、 [仮想ネットワーク] を選択します。
  3. [リソース グループ] で、 [FW-Hybrid-Test] を選択します。
  4. [名前] に「VNet-OnPrem」と入力します。
  5. [リージョン][(米国) 米国東部] を選択します。
  6. [次へ] を選択します。
  7. [セキュリティ] タブで [次へ] を選択します。
  8. [IPv4 アドレス空間] に「192.168.0.0/16」と入力します。
  9. [サブネット] で、[既定] を選択します。
  10. [名前] に「SN-Corp」と入力します。
  11. [開始アドレス] に「192.168.1.0/24」と入力します。
  12. [保存] を選択します。
  13. [Review + create](レビュー + 作成) を選択します。
  14. [作成] を選択します

ここで、ゲートウェイ用に 2 つ目のサブネットを作成します。

  1. [VNet-Onprem] ページで、 [サブネット] を選択します。
  2. [+サブネット] を選択します。
  3. [Subnet purpose] (サブネットの目的) で、[仮想ネットワーク ゲートウェイ] を選択します。
  4. [開始アドレス] に「192.168.2.0/24」と入力します。
  5. [追加] を選択します。

ファイアウォールを構成してデプロイする

次に、ファイアウォール ハブ仮想ネットワークにファイアウォールをデプロイします。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。

  2. 左側の列で [ネットワーク] を選択してから、[ファイアウォール] を検索して選択し、[作成] を選択します。

  3. [ファイアウォールの作成] ページで、次の表を使用してファイアウォールを構成します。

    設定
    サブスクリプション <該当するサブスクリプション>
    Resource group FW-Hybrid-Test
    名前 AzFW01
    リージョン 米国東部
    ファイアウォール レベル Standard
    ファイアウォール管理 ファイアウォール ポリシーを使用してこのファイアウォールを管理する
    ファイアウォール ポリシー [新規追加]\:
    hybrid-test-pol
    米国東部
    仮想ネットワークの選択 [Use Existing](既存の使用) :
    VNet-hub
    パブリック IP アドレス [新規追加]\:
    fw-pip
  4. 次へ :タグを選択します。

  5. 確認と作成 をクリックします。

  6. 概要を確認し、 [作成] を選択してファイアウォールを作成します。

    このデプロイには数分かかります。

  7. デプロイが完了したら、FW-Hybrid-Test リソース グループに移動し、AzFW01 ファイアウォールを選択します。

  8. プライベート IP アドレスをメモします。 後で既定のルートを作成するときにこれを使用します。

ネットワーク ルールを構成する

まず、Web トラフィックを許可するネットワーク ルールを追加します。

  1. FW-Hybrid-Test リソース グループから、hybrid-test-pol ファイアウォール ポリシーを選択します。
  2. [設定][ネットワーク規則] を選択します。
  3. [規則コレクションの追加] を選択します。
  4. [名前] に「RCNet01」と入力します。
  5. [優先度] に「100」と入力します。
  6. [規則コレクション アクション][許可] を選択します。
  7. [ルール] の下の [名前] に「AllowWeb」と入力します。
  8. [Source type](送信元の種類) で、 [IP アドレス] を選択します。
  9. [送信元] に「192.168.1.0/24」と入力します。
  10. [プロトコル][TCP] を選択します。
  11. [宛先ポート] に「80」と入力します。
  12. [送信先の種類] として [IP アドレス] を選択します。
  13. [Destination](送信先) に「10.6.0.0/16」と入力します。

次に、RDP トラフィックを許可するルールを追加します。

2 つ目のルール行に、次の情報を入力します。

  1. [名前] に「AllowRDP」と入力します。
  2. [Source type](送信元の種類) で、 [IP アドレス] を選択します。
  3. [送信元] に「192.168.1.0/24」と入力します。
  4. [プロトコル][TCP] を選択します。
  5. [宛先ポート] に「3389」と入力します。
  6. [送信先の種類] として [IP アドレス] を選択します。
  7. [送信先] に「10.6.0.0/16」と入力します。
  8. [追加] を選択します。

VPN ゲートウェイを作成して接続する

ハブとオンプレミスの仮想ネットワークは、VPN ゲートウェイ経由で接続されます。

ハブ仮想ネットワークの VPN ゲートウェイを作成する

次に、ハブ仮想ネットワークの VPN ゲートウェイを作成します。 ネットワーク間構成には、RouteBased VpnType が必要です。 選択した VPN ゲートウェイ SKU によっては、VPN ゲートウェイの作成に 45 分以上かかる場合も少なくありません。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. 検索テキスト ボックスに「仮想ネットワーク ゲートウェイ」と入力します。
  3. [仮想ネットワーク ゲートウェイ] を選択し、 [作成] を選択します。
  4. [名前] に「GW-hub」と入力します。
  5. [リージョン] で、前に使用したのと同じリージョンを選択します。
  6. [ゲートウェイの種類] で、 [VPN] を選択します。
  7. [SKU][VpnGw1] を選択します。
  8. [仮想ネットワーク] で、 [VNet-hub] を選択します。
  9. [パブリック IP アドレス][新規作成] を選択し、名前として「VNet-hub-GW-pip」と入力します。
  10. [2 番目のパブリック IP アドレス][新規作成] を選択し、名前として「VNet-hub-GW-pip2」と入力します。
  11. 他の既定値をそのまま使用し、 [確認および作成] を選択します。
  12. 構成を確認して、 [作成] を選択します。

オンプレミス仮想ネットワークの VPN ゲートウェイを作成する

次に、オンプレミス仮想ネットワークの VPN ゲートウェイを作成します。 ネットワーク間構成には、RouteBased VpnType が必要です。 選択した VPN ゲートウェイ SKU によっては、VPN ゲートウェイの作成に 45 分以上かかる場合も少なくありません。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. 検索テキスト ボックスに「仮想ネットワーク ゲートウェイ」と入力し、Enter キーを押します。
  3. [仮想ネットワーク ゲートウェイ] を選択し、 [作成] を選択します。
  4. [名前] に「GW-Onprem」と入力します。
  5. [リージョン] で、前に使用したのと同じリージョンを選択します。
  6. [ゲートウェイの種類] で、 [VPN] を選択します。
  7. [SKU][VpnGw1] を選択します。
  8. [仮想ネットワーク] で、 [VNet-Onprem] を選択します。
  9. [パブリック IP アドレス][新規作成] を選択し、名前として「VNet-Onprem-GW-pip」と入力します。
  10. [2 番目のパブリック IP アドレス][新規作成] を選択し、名前として「VNet-Onprem-GW-pip2」と入力します。
  11. 他の既定値をそのまま使用し、 [確認および作成] を選択します。
  12. 構成を確認して、 [作成] を選択します。

VPN 接続を作成する

これで、ハブ ゲートウェイとオンプレミス ゲートウェイの間に VPN 接続を作成することができます。

この手順では、ハブ仮想ネットワークからオンプレミス仮想ネットワークへの接続を作成します。 この例では、共有キーが使用されます。 共有キーには独自の値を使用することができます。 両方の接続の共有キーが一致することが重要です。 接続の作成完了までしばらくかかります。

  1. FW-Hybrid-Test リソース グループを開き、GW-hub ゲートウェイを選択します。
  2. [設定] で左側の列の [接続] を選択します。
  3. [追加] を選択します。
  4. 接続名として「Hub-to-Onprem」と入力します。
  5. [接続の種類][VNet 対 VNet] を選択します。
  6. [次へ : 設定] を選択します。
  7. [最初の仮想ネットワーク ゲートウェイ] に、[GW-hub] を選択します。
  8. [2 番目の仮想ネットワーク ゲートウェイ] で、 [GW-Onprem] を選択します。
  9. [共有キー (PSK)] に「AzureA1b2C3」と入力します。
  10. [Review + create](レビュー + 作成) を選択します。
  11. [作成] を選択します。

オンプレミスとハブとの間に仮想ネットワーク接続を作成します。 この手順は前の手順と似ていますが、VNet-Onprem から VNet-Hub への接続を作成する点が異なります。 共有キーが一致することを確認してください。 数分後に接続が確立されます。

  1. FW-Hybrid-Test リソース グループを開き、GW-Onprem ゲートウェイを選択します。
  2. 左側の列で、 [接続] を選択します。
  3. [追加] を選択します。
  4. 接続名として「Onprem-to-Hub」と入力します。
  5. [接続の種類][VNet 対 VNet] を選択します。
  6. [次へ : 設定] を選択します。
  7. 最初の仮想ネットワーク ゲートウェイ に、GW-Onprem を選択します。
  8. [2 番目の仮想ネットワーク ゲートウェイ] で、 [GW-hub] を選択します。
  9. [共有キー (PSK)] に「AzureA1b2C3」と入力します。
  10. [Review + create](レビュー + 作成) を選択します。
  11. [作成] を選択します

接続を確認する

約 5 分後、両方の接続の状態が [接続中] になるはずです。

ゲートウェイ接続

ハブとスポークの仮想ネットワークをピアリングする

次に、ハブとスポークの仮想ネットワークをピアリングします。

  1. FW-Hybrid-Test リソース グループを開き、VNet-hub 仮想ネットワークを選択します。

  2. 左側の列で、 [ピアリング] を選択します。

  3. [追加] を選択します。

  4. Remote virtual network summary (リモート仮想ネットワークの概要) で:

  5. Remote virtual network summary (リモート仮想ネットワークの概要) で:

    設定名
    [Peering link name](ピアリング リンク名) SpoketoHub
    仮想ネットワークのデプロイ モデル リソース マネージャー
    サブスクリプション <該当するサブスクリプション>
    仮想ネットワーク VNet-Spoke
    Allow 'VNet-Spoke' to access 'VNet-hub' ('VNet-Spoke' に 'VNet-hub' へのアクセスを許可する) 選択済み
    Allow 'VNet-Spoke' to receive forwarded traffic from 'VNet-Hub' ('VNet-Spoke' が 'VNet-Hub' から転送されたトラフィックを受信することを許可する) 選択済み
    Allow gateway or route server in 'VNet-Spoke' to forward traffic to 'VNet-Hub' ('VNet-Spoke' のゲートウェイまたはルート サーバーが 'VNet-Hub' にトラフィックを転送することを許可する) 選択なし
    Enable 'VNet-Spoke' to use 'VNet-hub's' remote gateway or route server ('VNet-Spoke' で 'VNet-hub' のリモート ゲートウェイまたはルート サーバーを使用できるようにする) 選択済み
  6. Local virtual network summary (ローカル仮想ネットワークの概要) で:

    設定名
    [Peering link name](ピアリング リンク名) HubtoSpoke
    Allow 'VNet-hub' to access 'VNet-Spoke' ('VNet-hub' に 'VNet-Spoke' へのアクセスを許可する) 選択済み
    Allow 'VNet-hub' to receive forwarded traffic from 'VNet-Spoke' ('VNet-hub' が 'VNet-Spoke' から転送されたトラフィックを受信することを許可する) 選択済み
    Allow gateway or route server in 'VNet-Hub' to forward traffic to 'VNet-Spoke' ('VNet-Hub' のゲートウェイまたはルート サーバーが 'VNet-Spoke' にトラフィックを転送することを許可する) 選択済み
    Enable 'VNet-hub' to use 'VNet-Spoke's' remote gateway or route server ('VNet-hub' で 'VNet-Spoke' のリモート ゲートウェイまたはルート サーバーを使用できるようにする) 選択なし
  7. [追加] を選択します。

    ネットワーク ピアリングを示すスクリーンショット。

ルートを作成する

次に、2 つのルートを作成します。

  • ファイアウォール ハブ IP アドレスを介したハブ ゲートウェイ サブネットからスポーク サブネットへのルート
  • ファイアウォール ハブ IP アドレスを介したスポーク サブネットからの既定ルート
  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. 検索テキスト ボックスに「ルート テーブル」と入力し、Enter キーを押します。
  3. [ルート テーブル] を選択します。
  4. [作成] を選択します
  5. リソース グループとして [FW-Hybrid-Test] を選択します。
  6. [リージョン] で、以前使用したのと同じ場所を選択します。
  7. 名前として「UDR-Hub-Spoke」と入力します。
  8. [確認および作成] を選択します。
  9. [作成] を選択します
  10. ルート テーブルが作成されたら、それを選択して、ルート テーブル ページを開きます。
  11. 左側の列の [設定][ルート] を選択します。
  12. [追加] を選択します。
  13. ルート名として「ToSpoke」と入力します。
  14. [送信先の種類] として [IP アドレス] を選択します。
  15. [宛先 IP アドレス/CIDR 範囲] に「10.6.0.0/16」と入力します。
  16. 次ホップの種類として [仮想アプライアンス] を選択します。
  17. 次ホップ アドレスとして、前にメモしておいた、ファイアウォールのプライベート IP アドレスを入力します。
  18. [追加] を選択します。

ここで、ルートをサブネットに関連付けます。

  1. [UDR-Hub-Spoke - ルート] ページで [サブネット] を選択します。
  2. [関連付け] を選択します。
  3. [仮想ネットワーク][VNet-hub] を選択します。
  4. [サブネット][GatewaySubnet] を選択します。
  5. [OK] を選択します。

ここで、スポーク サブネットからの既定のルートを作成します。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. 検索テキスト ボックスに「ルート テーブル」と入力し、Enter キーを押します。
  3. [ルート テーブル] を選択します。
  4. [作成] を選択します
  5. リソース グループとして [FW-Hybrid-Test] を選択します。
  6. [リージョン] で、以前使用したのと同じ場所を選択します。
  7. 名前として「UDR-DG」と入力します。
  8. [Propagate gateway route](ゲートウェイのルートを伝達する) で、 [いいえ] を選択します。
  9. [確認および作成] を選択します。
  10. [作成] を選択します
  11. ルート テーブルが作成されたら、それを選択して、ルート テーブル ページを開きます。
  12. 左側の列で、 [ルート] を選択します。
  13. [追加] を選択します。
  14. ルート名として「ToHub」と入力します。
  15. [送信先の種類][IP アドレス] を選択します。
  16. [宛先 IP アドレス/CIDR 範囲] に「0.0.0.0/0」と入力します。
  17. 次ホップの種類として [仮想アプライアンス] を選択します。
  18. 次ホップ アドレスとして、前にメモしておいた、ファイアウォールのプライベート IP アドレスを入力します。
  19. [追加] を選択します。

ここで、ルートをサブネットに関連付けます。

  1. [UDR-DG - ルート] ページで [サブネット] を選択します。
  2. [関連付け] を選択します。
  3. [仮想ネットワーク][VNet-spoke] を選択します。
  4. [サブネット][SN-Workload] を選択します。
  5. [OK] を選択します。

仮想マシンを作成する

次に、スポーク ワークロードとオンプレミスの仮想マシンを作成し、適切なサブネットに配置します。

ワークロード仮想マシンを作成する

パブリック IP アドレスなしで、スポーク仮想ネットワークに仮想マシンを作成し、IIS を実行します。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. [人気のある Marketplace 製品] で、[Windows Server 2019 Datacenter] を選択します。
  3. 次の仮想マシンの値を入力します。
    • [リソース グループ] - [FW-Hybrid-Test] を選択します
    • [仮想マシン名] : VM-Spoke-01
    • [リージョン] - 先ほど使用したものと同じリージョン
    • [ユーザー名]: <ユーザー名を入力します>
    • パスワード: <パスワードを入力します>
  4. [パブリック受信ポート][選択したポートを許可する] を選択し、[HTTP (80)][RDP (3389)] を選択します。
  5. [Next:Disks](次へ: ディスク) を選択します。
  6. 既定値をそのまま使用し、 [次へ: ネットワーク] を選択します。
  7. 仮想ネットワークとして [VNet-Spoke] を選択します。サブネットは SN-Workload です。
  8. [パブリック IP] で、 [なし] を選択します。
  9. [Next:Management](次へ: 管理) を選択します。
  10. [次へ :監視] を選択します。
  11. [起動の診断] で、 [Disable](無効) を選択します。
  12. [確認および作成] を選択し、概要ページの設定を確認して、 [作成] を選択します。

IIS のインストール

仮想マシンが作成されたら、IIS をインストールします。

  1. Azure portal で Cloud Shell を開き、PowerShell に設定されていることを確認します。

  2. 次のコマンドを実行して、IIS を仮想マシンにインストールし、必要に応じて場所を変更します。

    Set-AzVMExtension `
            -ResourceGroupName FW-Hybrid-Test `
            -ExtensionName IIS `
            -VMName VM-Spoke-01 `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location EastUS
    

オンプレミス仮想マシンを作成する

これは、リモート デスクトップを使用してパブリック IP アドレスに接続する際に使用する仮想マシンです。 そこから、ファイアウォールを介してオンプレミス サーバーに接続します。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. [人気のある Marketplace 製品] で、[Windows Server 2019 Datacenter] を選択します。
  3. 次の仮想マシンの値を入力します。
    • [リソース グループ] - 既存のものを選択し、 [FW-Hybrid-Test] を選択します。
    • [仮想マシン名] - VM-Onprem
    • [リージョン] - 先ほど使用したものと同じリージョン。
    • ユーザー名: <ユーザー名を入力します>。
    • パスワード: <ユーザー パスワードを入力します>。
  4. [パブリック受信ポート][選択したポートを許可する] を選択し、 [RDP (3389)] を選択します
  5. [Next:Disks](次へ: ディスク) を選択します。
  6. 既定値をそのまま使用し、 [Next:Networking](次へ: ネットワーク) を選択します。
  7. 仮想ネットワークとして [VNet-Onprem] を選択します。サブネットは SN-Corp です。
  8. [Next:Management](次へ: 管理) を選択します。
  9. [次へ :監視] を選択します。
  10. [起動の診断] で、 [Disable](無効) を選択します。
  11. [確認および作成] を選択し、概要ページの設定を確認して、 [作成] を選択します。

Note

パブリック IP が割り当てられていない VM、または内部の Basic Azure Load Balancer のバックエンド プール内にある VM に対しては、Azure によって既定のアウトバウンド アクセス IP が提供されます。 デフォルト送信アクセス IP メカニズムは、構成できないアウトバウンド IP アドレスを提供します。

次のいずれかのイベントが発生すると、既定のアウトバウンド アクセス IP は無効になります。

  • パブリック IP アドレスが VM に割り当てられます。
  • アウトバウンド規則の有無にかかわらず、VM は標準ロード バランサーのバックエンド プール内に配置されます。
  • Azure NAT Gateway リソースが VM のサブネットに割り当てられている。

フレキシブル オーケストレーション モードの仮想マシン スケール セットによって作成された VM には、既定のアウトバウンド アクセスがありません。

Azure のアウトバウンド接続の詳細については、「Azure での既定の送信アクセス」および「送信接続での送信元ネットワーク アドレス変換 (SNAT)を使用する」を参照してください。

ファイアウォールをテストする

  1. まず、VM-spoke-01 仮想マシンのプライベート IP アドレスをメモします。

  2. Azure portal から、VM-Onprem 仮想マシンに接続します。

  3. VM-Onprem 上で Web ブラウザーを開き、http://<VM-spoke-01 private IP> にアクセスします。

    VM-spoke-01 Web ページが表示されるはずです。VM-Spoke-01 Web ページ

  4. VM-Onprem 仮想マシンで、プライベート IP アドレスにある VM-spoke-01 へのリモート デスクトップを開きます。

    接続が成功し、サインインできるはずです。

これで、ファイアウォール規則が機能していることを確認できました。

  • スポーク仮想ネットワーク上の Web サーバーにブラウザーでアクセスすることができます。
  • スポーク仮想ネットワーク上のサーバーには、RDP を使用して接続できます。

次に、ファイアウォール ネットワーク ルール コレクションの動作を Deny に変更して、ファイアウォール ルールが想定どおりに動作することを確認します。

  1. hybrid-test-pol ファイアウォール ポリシーを選択します。
  2. [Rule Collections](規則コレクション) を選択します。
  3. RCNet01 ルール コレクションを選択します。
  4. [規則コレクション アクション][拒否] を選択します。
  5. [保存] を選択します。

既存のリモート デスクトップをすべて閉じてから、変更したルールをテストします。 ここで、テストを再実行します。 このとき、すべてが失敗するはずです。

リソースをクリーンアップする

ファイアウォール リソースは、次のチュートリアルのために残しておいてもかまいませんが、不要であれば、FW-Hybrid-Test リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除してください。

次のステップ