1. はじめに
Azure を構築する上で、ICMP 通信の許可が分かり難いため、本記事でまとめることにしました。
実際に構築いただくと分かるのですが、「NSG や Firewall で許可・拒否すればいいんじゃないの?」といった話だけではなく、そもそも Azure 基盤側で構成によって ICMP の透過が異なりますのでご注意ください。(ハマった人より)
2. Azure 環境の大原則
大原則として、Azure では Azure Load Balancer を経由する通信で ICMP プロトコルを許可していません。 テスト用途では Port Ping を使うようにガイドが行われています。実際にAzure VM との ICMP 通信が通る・通らない動きの背景には、サービス上 Azure Load Balancer が経路に存在することを理解すれば分かりやすいです。
3. 構成パターンサマリー
結果から記載すると以下のような形になります。
| No | ケース | ICMP Inbound IPv4 |
ICMP Outbound IPv4 |
|---|---|---|---|
| 1 | Azure VM にパブリック IP が付与されているケース | 〇 | 〇 |
| 2 | Azure VM にパブリック IP が付与されていない Azure 基盤で提供されているデフォルト経路にて外部へ通信する |
- | × |
| 3 | Azure VM は Azure Firewall を通じて外部へ接続する | × DNATなどを想定 |
× |
なお、前提事項として ICMP を通す設定が行われているものとします。
- Azure VM の NSG (Network Security Group) では ICMP を許可している
- OS 上の Firewall 機能は ICMP が許可されている (Windows Firewall, Linux Firewalld など)
3.1 Azure VM にパブリック IP が付与されるケース (ILPIP)
- PIP (Public IP Address) を Azure VM に付与するケースです。
- インスタンスレベル パブリックIP (ILPIP)と呼ばれたりします。
- このケースでは仮想マシンに対してパブリック IP がマッピングされて内外の通信が行われるため、NSG や HostFirewall の ICMP を許可してあげれば ICMP が通過します。
3.2 Azure VM にパブリック IP が付与しない、アウトバウンドは標準のAzure アウトバウンド環境のケース
- Azure VM を作る際にパブリック IP を付与しないケースです。
- 外部からの通信許可を与えたくない、接続は Express Route 経由、もしくは Azure Bastion からの接続などのケースが考えられます。
- Internet への通信は Azure 基盤環境を通じてアウトバウンド許可が行われます。
- このケースでは ICMP Outbound (Ping) は通りません。Azure 基盤側の仕様になります。
3.3 Azure Firewall / NVA を用いて Internet に接続するケース
- Enterprise の構成で、Hub & Spoke の Azure リファレンスアーキテクチャーを用いる代表的なケースです。
- Azure からの外部接続はセキュリティ上 Azure Firewall / NVA を通じて行います。
- ルート定義をサブネットに設定することで、0.0.0.0/0 を Azure Firewall に向けるなど
- このケースでは、ICMP Outbound (Ping) は通りません。
- ご存じの通り、Azure Firewall / NVA は内部で冗長化されており、通信の負荷分散に Azure Load Balancer が経路上存在するのが理由となります。
4. まとめ
クラウド環境からの死活監視や正常性確認に ICMP Polling / Ping チェックなどを実行されている方は多いと思うのですが、いざ実行した際に ICMP 応答が返ってこない・・・(でも Web サービスは出来ている・・)といった事象は、Azure 基盤側の仕様が理由になっていることもあるのでご注意ください。
*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。