はじめに
参考書籍や目次はこちら
前記事 仮想ネットワークの作成はこちら
目的
ネットワークセキュリティグループの作成
VMを作成した際に、想定していない接続をさせないため。またVMをネットワーク外から管理するため。
準備するもの
特になし。
手順 ネットワークセキュリティグループ(NSG)の作成
① Azure Portalメニューからネットワークセキュリティグループ(NSG)を検索し、クリック。
② ネットワークセキュリティグループ(NSG)新規作成する。
新規作成からネットワークセキュリティグループ(NSG)を新規作成する。
③ 設定項目を入力する。
以下の項目を入力していく。
| 項目名 | 入力値 |
|---|---|
| サブスクリプション | (デフォルト)無料サブスクリプション |
| リソースグループ | (前記事で作成したリソースグループ名) |
| 仮想マシン名 | (任意のNSG名) |
| 地域 | (日本で作るなら)西日本 |
| 可用性オプション | (デフォルト) |
| イメージ | (任意のNSG名) |
| Azure Spotインスタンス | (デフォルト) |
前記事の命名規則に則るのなら、(任意の英語文字列)+'-'+'(西日本リージョン)w'+'-'+'vm'
例えば、'test'というvmを作る予定の場合、'test-w-vm'とする。
④ 各項目を設定し終えたら、「確認および作成」ボタンをクリックして、仮想ネットワークをデプロイする。
⑤ NSGのデプロイが完了したら、リソースに移動する。
⑥ 受信セキュリティ規則を作成する。
今回作成するのはUbuntuベースのWebサーバーであるため、Azure外からのHttp,Httpsプロトコル及び、SSH通信を許可する設定にする。
メニューから、受信セキュリティ規則を選択し、追加をクリックする。
以下のルールを追加する。
まずは、Http, Httpsの許可。
| 項目名 | 入力値 |
|---|---|
| ソース | Any |
| ソースポート範囲 | * |
| 宛先 | Any |
| サービス | Custom |
| 宛先ポート範囲 | 80,443 |
| プロトコル | TCP |
| アクション | 許可 |
| 優先度 | 100(お好きにどうぞ) |
| 名前 | AllowHttpAndHttps(分かりやすいルール名) |
| 説明 | AllowHttpAndHttps |
次にSSH通信の許可。
| 項目名 | 入力値 |
|---|---|
| ソース | Any |
| ソースポート範囲 | * |
| 宛先 | Any |
| サービス | SSH |
| 宛先ポート範囲 | 22(自動入力) |
| プロトコル | TCP(自動入力) |
| アクション | 許可 |
| 優先度 | 200(お好きにどうぞ) |
| 名前 | AllowSSH(分かりやすいルール名) |
| 説明 | AllowSSH |
ここの設定は、ホームルータの設定をしたことあるなら、似ているかもしれない。
⑦ サブネットへのNSGの関連漬け
[前記事]で作成した仮想ネットワークのサブネットにネットワークセキュリティグループを紐付ける。
メニューからサブネットを選択して、関連付けボタンをクリック。
プルダウンメニューから、前記事で作成した仮想ネットワークを選択し、再度出てきたサブネットプルダウンから、Defaultのサブネットを選択して、OKをクリックする。
ちなみにNSGはVMに直接紐付けることも可能。
ただ、道楽用途の最小構成であれば、仮想ネットワーク内のサブネットに紐付けておけば、サブネットに紐付けたVM全てに同じル-ルが適用されるので、セキュリティの設定漏れのリスクが少ない気がする。
紐付けが完了したら、この記事の内容は完了。