チュートリアル: ネットワーク セキュリティ グループを使用してネットワーク トラフィックをフィルター処理する

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。

Azure Cloud Shell

Azure では、ブラウザーを介して使用できる対話型のシェル環境、Azure Cloud Shell がホストされています。 Cloud Shell で Bash または PowerShell を使用して、Azure サービスを操作できます。 ローカル環境に何もインストールしなくても、Cloud Shell にプレインストールされているコマンドを使用して、この記事のコードを実行できます。

Azure Cloud Shell を開始するには、以下のようにします。

オプション	例とリンク
コードまたはコマンド ブロックの右上隅にある [使ってみる] を選択します。 [使ってみる] を選択しても、コードまたはコマンドは Cloud Shell に自動的にはコピーされません。
https://shell.azure.com に移動するか、[Cloud Shell を起動する] ボタンを選択して、ブラウザーで Cloud Shell を開きます。
Azure portal の右上にあるメニュー バーの [Cloud Shell] ボタンを選択します。

Azure Cloud Shell を使用するには、以下のようにします。

1. Cloud Shell を開始します。

2. コード ブロック (またはコマンド ブロック) の [コピー] ボタンを選択し、コードまたはコマンドをコピーします。

3. Windows と Linux では Ctrl+Shift+V キーを選択し、macOS では Cmd+Shift+V キーを選択して、コードまたはコマンドを Cloud Shell セッションに貼り付けます。

4. Enter キーを選択して、コードまたはコマンドを実行します。

PowerShell をローカルにインストールして使用する場合、この記事では Azure PowerShell モジュール バージョン 1.0.0 以降が必要になります。 インストールされているバージョンを確認するには、Get-Module -ListAvailable Az を実行します。 アップグレードする必要がある場合は、Azure PowerShell モジュールのインストールに関するページを参照してください。 PowerShell をローカルで実行している場合、Connect-AzAccount を実行して Azure との接続を作成することも必要です。

Azure サブスクリプションをお持ちでない場合は、開始する前に Azure 無料アカウントを作成してください。

• Azure Cloud Shell で Bash 環境を使用します。 詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。

  

• CLI リファレンス コマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。 詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。

  • ローカル インストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。 認証プロセスを完了するには、ターミナルに表示される手順に従います。 その他のサインイン オプションについては、Azure CLI でのサインインに関するページを参照してください。

  • 初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。 拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。

  • az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。 最新バージョンにアップグレードするには、az upgrade を実行します。

• この記事では、Azure CLI のバージョン 2.0.28 以降が必要です。 Azure Cloud Shell を使用している場合は、最新バージョンが既にインストールされています。

以下の手順ではリソース サブネットを持つ仮想ネットワークが作成されます。

1. ポータルで、[仮想ネットワーク] を検索して選択します。

2. [仮想ネットワーク] ページで、[+ 作成] を選択します。

3. [仮想ネットワークの作成] の [基本] タブで、次の情報を入力するか選択します。

   設定	値
   プロジェクトの詳細
   サブスクリプション	サブスクリプションを選択します。
   Resource group	[新規作成] を選択します。 [名前] に「test-rg」と入力します。 [OK] を選択します。
   インスタンスの詳細
   Name	「vnet-1」と入力します。
   リージョン	[米国東部 2] を選択します。

   

4. [次へ] を選択して、[セキュリティ] タブに進みます。

5. [次へ] を選択して、[IP アドレス] タブに進みます。

6. [サブネット] のアドレス空間ボックスで、既定のサブネットを選択します。

7. [サブネットの編集] ペインで、次の情報を入力または選択します。

   設定	値
   サブネットの詳細
   サブネット テンプレート	既定値は [既定値] のままにします。
   Name	「subnet-1」と入力します。
   開始アドレス	既定値の 10.0.0.0 のままにします。
   サブネットのサイズ	既定値の /24(256 アドレス) のままにします。

   

8. [保存] を選択します。

9. 画面の下部にある [確認および作成] を選択します。 検証に合格した後、 [作成] を選択します。

まず、New-AzureRmResourceGroup を使用して、この記事で作成したすべてのリソースのリソース グループを作成します。 次の例では、westus2 の場所にリソース グループを作成します。

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}

New-AzResourceGroup @rg

New-AzVirtualNetwork を使用して仮想ネットワークを作成します。 次の例では、vnet-1 という名前の仮想ネットワークを作成します。

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}

$virtualNetwork = New-AzVirtualNetwork @vnet

New-AzVirtualNetworkSubnetConfig を使用してサブネット構成を作成し、Set-AzVirtualNetwork を使用してサブネット構成を仮想ネットワークに書き込みます。 次の例では、subnet-1 という名前のサブネットを仮想ネットワークに追加し、それに nsg-1 ネットワーク セキュリティ グループを関連付けます。

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

まず az group create を使用して、この記事で作成したすべてのリソースのリソース グループを作成します。 次の例では、westus2 の場所にリソース グループを作成します。

az group create \
  --name test-rg \
  --location westus2

az network vnet create を使用して仮想ネットワークを作成します。 次の例では、vnet-1 という名前の仮想ネットワークを作成します。

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefixes 10.0.0.0/16

az network vnet subnet create で、仮想ネットワークにサブネットを追加します。 次の例では、subnet-1 という名前のサブネットを仮想ネットワークに追加し、それに nsg-1 ネットワーク セキュリティ グループを関連付けます。

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24

1. ポータルの上部にある検索ボックスに、「アプリケーションのセキュリティ グループ」と入力します。 検索結果から [アプリケーションのセキュリティ グループ] を選びます。

2. [+ 作成] を選択します。

3. [アプリケーションのセキュリティ グループの作成] の [基本] タブで、この情報を入力または選択します。

   設定	値
   プロジェクトの詳細
   サブスクリプション	サブスクリプションを選択します。
   Resource group	test-rg を選択します。
   インスタンスの詳細
   名前	「asg-web」と入力します。
   リージョン	[米国東部 2] を選択します。

4. [Review + create](レビュー + 作成) を選択します。

5. [+ 作成] を選択します。

6. 上記の手順を繰り返し、次の値を指定します。

   設定	値
   プロジェクトの詳細
   サブスクリプション	サブスクリプションを選択します。
   Resource group	test-rg を選択します。
   インスタンスの詳細
   名前	「asg-mgmt」と入力します。
   リージョン	[米国東部 2] を選択します。

7. [Review + create](レビュー + 作成) を選択します。

8. ［作成］ を選択します

New-AzApplicationSecurityGroup を使用して、アプリケーション セキュリティ グループを作成します。 アプリケーション セキュリティ グループを使用すると、同様のポート フィルター処理要件を持つサーバーをグループ化できます。 次の例では、2 つのアプリケーション セキュリティ グループを作成します。

$web = @{
    ResourceGroupName = "test-rg"
    Name = "asg-web"
    Location = "westus2"
}
$webAsg = New-AzApplicationSecurityGroup @web

$mgmt = @{
    ResourceGroupName = "test-rg"
    Name = "asg-mgmt"
    Location = "westus2"
}
$mgmtAsg = New-AzApplicationSecurityGroup @mgmt

az network asg create で、アプリケーション セキュリティ グループを作成します。 アプリケーション セキュリティ グループを使用すると、同様のポート フィルター処理要件を持つサーバーをグループ化できます。 次の例では、2 つのアプリケーション セキュリティ グループを作成します。

az network asg create \
  --resource-group test-rg \
  --name asg-web \
  --location westus2

az network asg create \
  --resource-group test-rg \
  --name asg-mgmt \
  --location westus2

1. ポータルの上部にある検索ボックスに、「ネットワーク セキュリティ グループ」と入力します。 検索結果から [ネットワーク セキュリティ グループ] を選択します。

   注意

   [ネットワーク セキュリティ グループ] の検索結果に、[ネットワーク セキュリティ グループ (クラシック)] が表示される場合があります。 ネットワーク セキュリティ グループを選択します。

2. [+ 作成] を選択します。

3. [ネットワーク セキュリティ グループの作成] の [基本] タブで、この情報を入力または選択します。

   設定	値
   プロジェクトの詳細
   サブスクリプション	サブスクリプションを選択します。
   Resource group	test-rg を選択します。
   インスタンスの詳細
   名前	「nsg-1」と入力します。
   場所	[米国東部 2] を選択します。

4. [Review + create](レビュー + 作成) を選択します。

5. ［作成］ を選択します

New-AzNetworkSecurityGroup を使用して、ネットワーク セキュリティ グループを作成します。 次の例では、nsg-1 という名前のネットワーク セキュリティ グループを作成します。

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

az network nsg create で、ネットワーク セキュリティ グループを作成します。 次の例では、nsg-1 という名前のネットワーク セキュリティ グループを作成します。

# Create a network security group
az network nsg create \
  --resource-group test-rg \
  --name nsg-1

1. ポータルの上部にある検索ボックスに、「ネットワーク セキュリティ グループ」と入力します。 検索結果から [ネットワーク セキュリティ グループ] を選択します。

2. [nsg-1] を選択します。

3. [nsg-1] の [設定] セクションから [サブネット] を選択します。

4. [サブネット] ページで [+ 関連付け] を選択します。

   

5. [サブネットの関連付け] で [仮想ネットワーク] として [vnet-1 (test-rg)] を選択します。

6. [サブネット] として [subnet-1] を選択した後に、[OK] を選択します。

Get-AzVirtualNetwork を使用して仮想ネットワーク オブジェクトを取得し、Set-AzVirtualNetworkSubnetConfig を使用してネットワーク セキュリティ グループをサブネットに関連付けます。 次の例では、仮想ネットワーク オブジェクトを取得し、サブネット構成を更新してネットワーク セキュリティ グループを関連付けます。

# Retrieve the virtual network
$vnet = Get-AzVirtualNetwork -Name "vnet-1" -ResourceGroupName "test-rg"

# Update the subnet configuration to associate the network security group
$subnetConfigParams = @{
    VirtualNetwork = $vnet
    Name = "subnet-1"
    AddressPrefix = $vnet.Subnets[0].AddressPrefix
    NetworkSecurityGroup = Get-AzNetworkSecurityGroup -Name "nsg-1" -ResourceGroupName "test-rg"
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

# Update the virtual network with the new subnet configuration
$vnet | Set-AzVirtualNetwork

az network vnet subnet update を使用して、ネットワーク セキュリティ グループをサブネットに関連付けます。 次の例では、nsg-1 ネットワーク セキュリティ グループを subnet-1 サブネットに関連付けます。

az network vnet subnet update \
  --resource-group test-rg \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --network-security-group nsg-1

1. [nsg-1] の [設定] セクションから [受信セキュリティ規則] を選択します。

2. [受信セキュリティ規則] ページで [+ 追加] を選択します。

3. asg-web アプリケーション セキュリティ グループに、ポート 80 と 443 を許可するセキュリティ規則を作成します。 [受信セキュリティ規則の追加] ページで、次の情報を入力するか選択します。

   設定	値
   source	既定値の [Any](すべて) のままにします。
   Source port ranges	既定値の (*) のままにします。
   到着地	[アプリケーションのセキュリティ グループ] を選択します。
   宛先アプリケーションのセキュリティ グループ	[asg-web] を選択します。
   サービス	既定値の [Custom](カスタム) のままにします。
   宛先ポート範囲	「80,443」と入力します。
   Protocol	[TCP] を選択します。
   アクション	既定値の [Allow](許可) のままにします。
   Priority	既定値の [100] のままにします。
   名前	「allow-web-all」と入力します。

4. [追加] を選択します。

5. 次の情報を使用して、前の手順を完了します。

   設定	値
   source	既定値の [Any](すべて) のままにします。
   Source port ranges	既定値の (*) のままにします。
   到着地	[アプリケーションのセキュリティ グループ] を選択します。
   宛先アプリケーションのセキュリティ グループ	[asg-mgmt] を選択します。
   サービス	[RDP] を選択します。
   アクション	既定値の [Allow](許可) のままにします。
   Priority	既定値の [110] のままにします。
   名前	「allow-rdp-all」と入力します。

6. [追加] を選択します。

New-AzNetworkSecurityRuleConfig を使用してセキュリティ規則を作成します。 次の例では、インターネットから asg-web アプリケーション セキュリティ グループへの、ポート 80 と 443 経由の受信トラフィックを許可する規則を作成します。

$webAsgParams = @{
    Name = "asg-web"
    ResourceGroupName = "test-rg"
}
$webAsg = Get-AzApplicationSecurityGroup @webAsgParams

$webRuleParams = @{
    Name = "Allow-Web-All"
    Access = "Allow"
    Protocol = "Tcp"
    Direction = "Inbound"
    Priority = 100
    SourceAddressPrefix = "Internet"
    SourcePortRange = "*"
    DestinationApplicationSecurityGroupId = $webAsg.id
    DestinationPortRange = 80,443
}
$webRule = New-AzNetworkSecurityRuleConfig @webRuleParams

次の例では、インターネットから asg-mgmt アプリケーション セキュリティ グループへの、ポート 3389 経由の受信トラフィックを許可する規則を作成します。

$mgmtAsgParams = @{
    Name = "asg-mgmt"
    ResourceGroupName = "test-rg"
}
$mgmtAsg = Get-AzApplicationSecurityGroup @mgmtAsgParams

$mgmtRuleParams = @{
    Name = "Allow-RDP-All"
    Access = "Allow"
    Protocol = "Tcp"
    Direction = "Inbound"
    Priority = 110
    SourceAddressPrefix = "Internet"
    SourcePortRange = "*"
    DestinationApplicationSecurityGroupId = $mgmtAsg.id
    DestinationPortRange = 3389
}
$mgmtRule = New-AzNetworkSecurityRuleConfig @mgmtRuleParams

Get-AzNetworkSecurityGroup を使用して既存のネットワーク セキュリティ グループを取得し、+= 演算子を使用して新しい規則を追加します。 最後に、Set-AzNetworkSecurityGroup を使用してネットワーク セキュリティ グループを更新します。

# Retrieve the existing network security group
$nsg = Get-AzNetworkSecurityGroup -Name "nsg-1" -ResourceGroupName "test-rg"

# Add the new rules to the security group
$nsg.SecurityRules += $webRule
$nsg.SecurityRules += $mgmtRule

# Update the network security group with the new rules
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg

az network nsg rule create でセキュリティ規則を作成します。 次の例では、インターネットから asg-web アプリケーション セキュリティ グループへの、ポート 80 と 443 経由の受信トラフィックを許可する規則を作成します。

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Web-All \
  --access Allow \
  --protocol Tcp \
  --direction Inbound \
  --priority 100 \
  --source-address-prefix Internet \
  --source-port-range "*" \
  --destination-asgs "asg-web" \
  --destination-port-range 80 443

次の例では、インターネットから asg-mgmt アプリケーション セキュリティ グループへの、ポート 22 経由の受信トラフィックを許可する規則を作成します。

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-SSH-All \
  --access Allow \
  --protocol Tcp \
  --direction Inbound \
  --priority 110 \
  --source-address-prefix Internet \
  --source-port-range "*" \
  --destination-asgs "asg-mgmt" \
  --destination-port-range 22

1. ポータルで、[仮想マシン] を検索して選択します。

2. [仮想マシン] で [+ 作成]、[Azure 仮想マシン] の順に選択します。

3. [仮想マシンの作成] の [基本] タブで、この情報を入力または選択します。

   設定	値
   プロジェクトの詳細
   サブスクリプション	サブスクリプションを選択します。
   Resource group	test-rg を選択します。
   インスタンスの詳細
   仮想マシン名	「vm-web」と入力します。
   リージョン	[(米国) 米国東部 2] を選択します。
   可用性のオプション	既定値の [インフラストラクチャ冗長は必要ありません] のままにします。
   セキュリティの種類	[Standard] を選択します。
   Image	[Windows Server 2022 Datacenter - x64 Gen2] を選択します。
   Azure Spot インスタンス	既定値のオフのままにします。
   サイズ	サイズを選択します。
   管理者アカウント
   ユーザー名	ユーザー名を入力します。
   Password	パスワードを入力します。
   パスワードの確認	パスワードを再入力します。
   受信ポートの規則
   受信ポートの選択	[なし] を選択します。

4. [次へ: ディスク]、[次へ: ネットワーク] の順に選択します。

5. [ネットワーク] タブで、次の情報を入力または選択します。

   設定	値
   ネットワーク インターフェイス
   仮想ネットワーク	[vnet-1] を選択します。
   Subnet	subnet-1 (10.0.0.0/24) を選択します。
   パブリック IP	新しいパブリック IP の既定値をそのまま使用します。
   NIC ネットワーク セキュリティ グループ	[なし] を選択します。

6. [Review + create](確認と作成) タブを選択するか、ページの下部にある青色の [Review + create](確認と作成) ボタンを選択します。

7. ［作成］ を選択します VM のデプロイには数分かかることがあります。

8. 前の手順を繰り返して、vm-mgmt という名前の 2 つ目の仮想マシンを作成します。

VM を作成する前に、Get-AzVirtualNetwork を使用して、サブネットと共に仮想ネットワーク オブジェクトを取得します。

$virtualNetworkParams = @{
    Name = "vnet-1"
    ResourceGroupName = "test-rg"
}
$virtualNetwork = Get-AzVirtualNetwork @virtualNetworkParams

New-AzPublicIpAddress を使用して、各 VM のパブリック IP アドレスを作成します。

$publicIpWebParams = @{
    AllocationMethod = "Static"
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "public-ip-vm-web"
}
$publicIpWeb = New-AzPublicIpAddress @publicIpWebParams

$publicIpMgmtParams = @{
    AllocationMethod = "Static"
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "public-ip-vm-mgmt"
}
$publicIpMgmt = New-AzPublicIpAddress @publicIpMgmtParams

New-AzNetworkInterface によって 2 つのネットワーク インターフェイスを作成し、パブリック IP アドレスをネットワーク インターフェイスに割り当てます。 次の例では、ネットワーク インターフェイスを作成し、public-ip-vm-web パブリック IP アドレスをそれに関連付けます。

$webNicParams = @{
    Location = "westus2"
    Name = "vm-web-nic"
    ResourceGroupName = "test-rg"
    SubnetId = $virtualNetwork.Subnets[0].Id
    PublicIpAddressId = $publicIpWeb.Id
}
$webNic = New-AzNetworkInterface @webNicParams

次の例では、ネットワーク インターフェイスを作成し、public-ip-vm-mgmt パブリック IP アドレスをそれに関連付けます。

$mgmtNicParams = @{
    Location = "westus2"
    Name = "vm-mgmt-nic"
    ResourceGroupName = "test-rg"
    SubnetId = $virtualNetwork.Subnets[0].Id
    PublicIpAddressId = $publicIpMgmt.Id
}
$mgmtNic = New-AzNetworkInterface @mgmtNicParams

仮想ネットワークに 2 つの VM を作成して、後でトラフィックのフィルター処理を検証できるようにします。

New-AzVMConfig を使用して VM 構成を作成し、New-AzVM を使用して VM を作成します。 次の例では、Web サーバーとして機能する VM を作成します。 -AsJob オプションを使用すると、VM はバックグラウンドで作成されるため、次の手順に進むことができます。

# Create user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

$webVmConfigParams = @{
    VMName = "vm-web"
    VMSize = "Standard_DS1_V2"
}

$vmOSParams = @{
    ComputerName = "vm-web"
    Credential = $cred
}

$vmImageParams = @{
    PublisherName = "MicrosoftWindowsServer"
    Offer = "WindowsServer"
    Skus = "2022-Datacenter"
    Version = "latest"
}

$webVmConfig = New-AzVMConfig @webVmConfigParams | Set-AzVMOperatingSystem -Windows @vmOSParams | Set-AzVMSourceImage @vmImageParams | Add-AzVMNetworkInterface -Id $webNic.Id

$webVmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VM = $webVmConfig
}

New-AzVM @webVmParams -AsJob

管理サーバーとして機能する VM を作成します。

# Create user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

$webVmConfigParams = @{
    VMName = "vm-mgmt"
    VMSize = "Standard_DS1_V2"
}

$vmOSParams = @{
    ComputerName = "vm-mgmt"
    Credential = $cred
}

$vmImageParams = @{
    PublisherName = "MicrosoftWindowsServer"
    Offer = "WindowsServer"
    Skus = "2022-Datacenter"
    Version = "latest"
}

$mgmtVmConfig = New-AzVMConfig @webVmConfigParams | Set-AzVMOperatingSystem -Windows @vmOSParams | Set-AzVMSourceImage @vmImageParams | Add-AzVMNetworkInterface -Id $mgmtNic.Id

$mgmtVmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VM = $mgmtVmConfig
}

New-AzVM @mgmtVmParams

仮想マシンの作成には、数分かかります。 Azure で VM の作成が完了するまで、次の手順に進まないでください。

仮想ネットワークに 2 つの VM を作成して、後でトラフィックのフィルター処理を検証できるようにします。

az vm create を使用して VM を作成します。 次の例では、Web サーバーとして機能する VM を作成します。 --nsg "" オプションを指定すると、VM の作成時に、作成するネットワーク インターフェイス用に既定のネットワーク セキュリティ グループが作成されるのを回避します。 コマンドでは、VM 用のパスワードの作成を求められます。 この例では、この記事の以降の手順を容易にするため、SSH キーは使いません。 運用環境では、セキュリティのために SSH キーを使ってください。

az vm create \
  --resource-group test-rg \
  --name vm-web \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-1 \
  --nsg "" \
  --admin-username azureuser \
  --authentication-type password \
  --assign-identity

VM の作成には数分かかります。 VM が作成されると、次の例のような出力が返されます。

{
  "fqdns": "",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-web",
  "location": "westus2",
  "macAddress": "00-0D-3A-23-9A-49",
  "powerState": "VM running",
  "privateIpAddress": "10.0.0.4",
  "publicIpAddress": "203.0.113.24",
  "resourceGroup": "test-rg"
}

az vm create を使用して VM を作成します。 次の例では、管理サーバーとして機能する VM を作成します。

次の例では、VM を作成し、ユーザー アカウントを追加します。 --generate-ssh-keys パラメーターを指定すると、CLI は ~/.ssh で使用可能な SSH キーを検索します。 見つかった場合は、そのキーが使われます。 見つからない場合は、キーが生成され、~/.ssh に格納されます。 最後に、最新の Ubuntu 22.04 イメージをデプロイします。

az vm create \
  --resource-group test-rg \
  --name vm-mgmt \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-1 \
  --nsg "" \
  --admin-username azureuser \
  --generate-ssh-keys \
  --assign-identity

VM の作成には数分かかります。 Azure で VM の作成が完了するまで、次の手順に進まないでください。

VM を作成したとき、Azure では各 VM 用のネットワーク インターフェイスが作成され、それが VM に接続されました。

各 VM 用のネットワーク インターフェイスを、前に作成したアプリケーション セキュリティ グループの 1 つに追加します。

1. ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択してから、[vm-web] を選択します。

2. [vm-web] の [ネットワーク] セクションから [アプリケーション セキュリティ グループ] を選択します。

3. [アプリケーション セキュリティのグループの追加] を選択し、[アプリケーション セキュリティのグループの追加] タブで [asg-web] を選択します。 最後に、[追加] を選択します。

   

4. vm-mgmt に対して前の手順を繰り返し、[アプリケーション セキュリティのグループの追加] タブで [asg-mgmt] を選択します。

Get-AzNetworkInterface を使用して仮想マシンのネットワーク インターフェイスを取得し、Get-AzApplicationSecurityGroup を使用してアプリケーション セキュリティ グループを取得します。 最後に、Set-AzNetworkInterface を使用して、アプリケーション セキュリティ グループをネットワーク インターフェイスに関連付けます。 次の例では、asg-web アプリケーション セキュリティ グループを vm-web-nic ネットワーク インターフェイスに関連付けます。

$params1 = @{
    Name = "vm-web-nic"
    ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @params1

$params2 = @{
    Name = "asg-web"
    ResourceGroupName = "test-rg"
}
$asg = Get-AzApplicationSecurityGroup @params2

$nic.IpConfigurations[0].ApplicationSecurityGroups = @($asg)

$params3 = @{
    NetworkInterface = $nic
}
Set-AzNetworkInterface @params3

コマンドを繰り返して、asg-mgmt アプリケーション セキュリティ グループを vm-mgmt-nic ネットワーク インターフェイスに関連付けます。

$params1 = @{
    Name = "vm-mgmt-nic"
    ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @params1

$params2 = @{
    Name = "asg-mgmt"
    ResourceGroupName = "test-rg"
}
$asg = Get-AzApplicationSecurityGroup @params2

$nic.IpConfigurations[0].ApplicationSecurityGroups = @($asg)

$params3 = @{
    NetworkInterface = $nic
}
Set-AzNetworkInterface @params3

az network nic update を使用して、ネットワーク インターフェイスをアプリケーション セキュリティ グループに関連付けます。 次の例では、asg-web アプリケーション セキュリティ グループを vm-web-nic ネットワーク インターフェイスに関連付けます。

# Retrieve the network interface name associated with the virtual machine
nic_name=$(az vm show --resource-group test-rg --name vm-web --query 'networkProfile.networkInterfaces[0].id' -o tsv | xargs basename)

# Associate the application security group with the network interface
az network nic ip-config update \
    --name ipconfigvm-web \
    --nic-name $nic_name \
    --resource-group test-rg \
    --application-security-groups asg-web

コマンドを繰り返して、asg-mgmt アプリケーション セキュリティ グループを vm-mgmt-nic ネットワーク インターフェイスに関連付けます。

# Retrieve the network interface name associated with the virtual machine
nic_name=$(az vm show --resource-group test-rg --name vm-mgmt --query 'networkProfile.networkInterfaces[0].id' -o tsv | xargs basename)

# Associate the application security group with the network interface
az network nic ip-config update \
    --name ipconfigvm-mgmt \
    --nic-name $nic_name \
    --resource-group test-rg \
    --application-security-groups asg-mgmt

1. ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。

2. vm-mgmt を選択します。

3. [概要] ページで [接続] ボタンを選択してから [ネイティブ RDP] を選択します。

4. [RDP ファイルのダウンロード] を選択します。

5. ダウンロードした RDP ファイルを開き、 [接続] を選択します。 VM の作成時に指定したユーザー名とパスワードを入力します。

6. [OK] を選択します。

7. 接続処理中に証明書の警告が表示される場合があります。 警告が表示されたら、 [はい] または [続行] を選択して接続処理を続行します。

   この接続は成功します。インターネットからの asg-mgmt アプリケーション セキュリティ グループへの受信トラフィックが、ポート 3389 経由で許可されているためです。

   vm-mgmt のネットワーク インターフェイスは asg-mgmt アプリケーション セキュリティ グループに関連付けられ、接続を許可します。

8. vm-mgmt 上の PowerShell セッションを開きます。次を使用して vm-web に接続します。

   mstsc /v:vm-web
   

   vm-mgmt から vm-web への RDP 接続は成功します。既定では、同じネットワーク内の仮想マシンが任意のポートで相互に通信できるためです。

   インターネットから vm-web 仮想マシンへの RDP 接続を作成することはできません。 asg-web のセキュリティ規則により、インターネットからポート 3389 への受信接続は拒否されます。 既定では、インターネットからのインバウンド トラフィックはすべてのリソースに対して拒否されます。

9. vm-web 仮想マシンに Microsoft IIS をインストールするには、vm-web 仮想マシンの PowerShell セッションから次のコマンドを入力します。

   Install-WindowsFeature -name Web-Server -IncludeManagementTools
   

10. IIS のインストールが完了したら、vm-web 仮想マシンから切断します。vm-mgmt 仮想マシンのリモート デスクトップ接続は保持されます。

11. vm-mgmt VM から切断します。

12. ポータルの検索ボックスで vm-web を検索します。

13. vm-web の [概要] ページで、VM の [パブリック IP アドレス] をメモします。 次の例に示されているアドレスは 203.0.113.103 です。 実際のアドレスは異なります。

    

14. インターネットから vm-web Web サーバーにアクセスできることを確認するには、コンピューターでインターネット ブラウザーを開き、http://<public-ip-address-from-previous-step> にアクセスします。

IIS の既定のページが表示されます。インターネットからの asg-web アプリケーション セキュリティ グループへの受信トラフィックがポート 80 経由で許可されているためです。

vm-web に対してアタッチされたネットワーク インターフェイスは asg-web アプリケーション セキュリティ グループに関連付けられ、接続を許可します。

Get-AzPublicIpAddress を使用して、VM のパブリック IP アドレスを返します。 次の例では、vm-mgmt VM のパブリック IP アドレスを返しています。

$params = @{
    Name = "public-ip-vm-mgmt"
    ResourceGroupName = "test-rg"
}
$publicIP = Get-AzPublicIpAddress @params | Select IpAddress

次のコマンドを使用して、ローカル コンピューターから、vm-mgmt VM とのリモート デスクトップ セッションを作成します。

mstsc /v:$publicIP

VM の作成時に指定したユーザー名とパスワードを入力し (VM の作成時に入力した資格情報を指定するために、[その他]、[別のアカウントを使用する] の選択が必要になる場合があります)、[OK] を選択します。 サインイン処理中に証明書の警告が表示される場合があります。 [はい] を選択して、接続処理を続行します。

接続は成功します。 ポート 3389 でインターネットから asg-mgmt アプリケーション セキュリティ グループへの受信が許可されています。 vm-mgmt VM にアタッチされているネットワーク インターフェイスが、このグループ内にあります。

PowerShell から次のコマンドを使用して、vm-mgmt VM から vm-web VM へのリモート デスクトップ接続を作成します。

mstsc /v:vm-web

各ネットワーク セキュリティ グループ内の既定のセキュリティ規則では、仮想ネットワーク内のすべての IP アドレス間で、すべてのポートを介したトラフィックが許可されるため、この接続は成功します。 asg-web のセキュリティ規則は、インターネットからのポート 3389 を介した受信を許可しないため、インターネットから vm-web VM へのリモート デスクトップ接続を作成することはできません。

PowerShell から次のコマンドを使用して、Microsoft IIS を vm-web VM にインストールします。

Install-WindowsFeature -name Web-Server -IncludeManagementTools

IIS のインストールが完了したら、vm-web VM から切断します。vm-mgmt VM のリモート デスクトップ接続は保持されます。 IIS のようこそ画面を表示するには、インターネット ブラウザーを開き、http://vm-web. にアクセスします。

vm-mgmt VM から切断します。

コンピューターで PowerShell から次のコマンドを入力し、vm-web サーバーのパブリック IP アドレスを取得します。

$params = @{
    Name = "public-ip-vm-web"
    ResourceGroupName = "test-rg"
}
Get-AzPublicIpAddress @params | Select IpAddress

Azure の外部から vm-web Web サーバーにアクセスできることを確認するには、コンピューターでインターネット ブラウザーを開き、http://<public-ip-address-from-previous-step> にアクセスします。 接続は成功します。 ポート 80 でインターネットから asg-web アプリケーション セキュリティ グループへの受信が許可されています。 vm-web VM にアタッチされているネットワーク インターフェイスが、このグループ内にあります。

任意の SSH クライアントを使用して、前に作成した VM に接続します。 たとえば、Linux 用 Windows サブシステムなどのコマンド ライン インターフェイスから次のコマンドを使って、vm-mgmt VM との SSH セッションを作成できます。 Microsoft Entra ID 資格情報を使って仮想マシンにサインインすることも、VM の作成に使用した SSH キーを使うこともできます。 次の例では、SSH キーを使って管理 VM にサインインした後、管理 VM からパスワードを使って Web VM にサインインします。

Linux VM に SSH 接続し、Microsoft Entra ID でサインインする方法の詳細については、「Microsoft Entra ID と OpenSSH を使用して Azure の Linux 仮想マシンにサインインする」を参照してください。

SSH を実行するために VM の IP アドレスを格納する

次のコマンドを実行し、VM の IP アドレスを環境変数として格納します。

export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-mgmt --query publicIps --output tsv)

ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS

vm-mgmt VM にアタッチされているネットワーク インターフェイスが、インターネットからのポート 22 での受信を許可する asg-mgmt アプリケーション セキュリティ グループ内にあるため、接続は成功します。

次のコマンドを使って、vm-mgmt VM から vm-web VM に SSH 接続します。

ssh -o StrictHostKeyChecking=no azureuser@vm-web

各ネットワーク セキュリティ グループ内の既定のセキュリティ規則では、仮想ネットワーク内のすべての IP アドレス間で、すべてのポートを介したトラフィックが許可されるため、この接続は成功します。 asg-web のセキュリティ規則では、インターネットからのポート 22 での受信が許可されていないため、インターネットから vm-web VM に SSH 接続することはできません。

次のコマンドを使って、vm-web VM に nginx Web サーバーをインストールします。

# Update package source
sudo apt-get -y update

# Install NGINX
sudo apt-get -y install nginx

既定のセキュリティ規則ではインターネットへの送信トラフィックがすべて許可されるため、vm-web VM はインターネットに送信して nginx を取得できます。 vm-web SSH セッションを終了すると、vm-mgmt VM の username@vm-mgmt:~$ プロンプトに戻ります。 vm-web VM から nginx のようこそ画面を取得するには、次のコマンドを入力します。

curl vm-web

vm-mgmt VM からサインアウトします。 Azure の外部から vm-web Web サーバーにアクセスできることを確認するには、自分のコンピューターから curl <publicIpAddress> と入力します。 vm-web VM にアタッチされているネットワーク インターフェイスが含まれる asg-web アプリケーション セキュリティ グループでは、インターネットからのポート 80 での受信が許可されているため、接続は成功します。

作成したリソースの使用が終了したら、リソース グループとそのすべてのリソースを削除して構いません。

1. Azure portal で、「リソース グループ」を検索して選択します。

2. [リソース グループ] ページで、test-rg リソース グループを選択します。

3. [test-rg] ページで、[リソース グループの削除] を選択します。

4. [削除を確認するために、リソース グループの名前を入力してください] に「test-rg」と入力して、[削除] を選びます。

必要なくなったら、Remove-AzResourceGroup を使用して、リソース グループとその中のすべてのリソースを削除できます。

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

不要になったら、az group delete を使用して、リソース グループとそのグループに含まれているすべてのリソースを削除します。

az group delete \
    --name test-rg \
    --yes \
    --no-wait