手順については、以下の説明を参照してください。
説明
VNET2 上のホストが VNET1 と VNET3 の両方のホストにアクセスでき、VNET1 と VNET3 上のホストが VNET2 を介して通信できないようにするための手順と説明を次に示します。
* Azure 内の異なる仮想ネットワークを接続するには、仮想ネットワーク ピアリングを使用する必要があります。仮想ネットワーク ピアリングを使用すると、ゲートウェイやインターネットを使用せずに、仮想ネットワーク間で低遅延、高帯域幅の接続を作成できます1。
* 仮想ネットワーク ピアリングを作成するには、Azure ポータルに移動して仮想ネットワークを選択する必要があります。次に、[設定] の [ピアリング] を選択し、[+ 追加2] を選択します。
* [ピアリングの追加] ページで、次の情報を入力または選択します。
* 名前: ソース仮想ネットワークから宛先仮想ネットワークへのピアリングの一意の名前を入力します。
* 仮想ネットワーク展開モデル: リソース マネージャーを選択します。
* サブスクリプション: 宛先仮想ネットワークを含むサブスクリプションを選択します。
* 仮想ネットワーク: リストから宛先仮想ネットワークを選択するか、そのリソース ID を入力します。
* [宛先仮想ネットワーク] から [ソース仮想ネットワーク] へのピアリングの名前: 宛先仮想ネットワークからソース仮想ネットワークへのピアリングの一意の名前を入力します。
* 仮想ネットワーク アクセス設定を構成する: 両方の仮想ネットワーク内のリソースが相互に通信できるようにするには、[有効] を選択します。
* 転送されたトラフィックを許可する: ピアリングされた仮想ネットワークの外部から発信されたトラフィックが、いずれの仮想ネットワーク経由でも転送されないようにするには、[無効] を選択します。
* ゲートウェイ トランジットを許可する: ピアリングされた仮想ネットワークのいずれかが他の仮想ネットワークのゲートウェイを使用できないようにするには、[無効] を選択します。
* リモート ゲートウェイを使用する: ピアリングされた仮想ネットワークのいずれかが、他の仮想ネットワーク内のゲートウェイを別のネットワークへのトランジット ポイントとして使用できないようにするには、[無効] を選択します。
* ピアリング2を作成するには、「追加」を選択します。
* 前の手順を繰り返して、VNET2 と VNET1 の間、および VNET2 と VNET3 の間にピアリングを作成します。これにより、VNET2 上のホストは VNET1 と VNET3 の両方のホストにアクセスできるようになります。
* VNET1 と VNET3 上のホストが VNET2 を介して通信するのを防ぐには、ネットワーク セキュリティ グループ (NSG) を使用してサブネット間のトラフィックをフィルター処理する必要があります。NSG は、送信元または宛先の IP アドレス、ポート、またはプロトコル 3 に基づいて受信トラフィックまたは送信トラフィックを許可または拒否するルールです。
* NSG を作成するには、Azure ポータルに移動して [リソースの作成] を選択する必要があります。ネットワーク セキュリティ グループを検索し、[ネットワーク セキュリティ グループ] を選択します。次に、[作成] を選択します。
* [ネットワーク セキュリティ グループの作成] ページで、次の情報を入力または選択します。
* サブスクリプション: サブスクリプション名を選択します。
* リソース グループ: リソース グループ名を選択します。
* 名前: NSG の一意の名前を入力します。
* リージョン: 仮想ネットワークと同じリージョンを選択します。
* [確認 + 作成] を選択し、[作成] を選択して NSG4 を作成します。
* NSG にルールを追加するには、Azure ポータルのネットワーク セキュリティ グループ サービスに移動し、NSG を選択する必要があります。次に、[設定] で [受信セキュリティ ルール] または [送信セキュリティ ルール] を選択し、[+ 追加] を選択します。
* [受信セキュリティ ルールの追加] ページまたは [送信セキュリティ ルールの追加] ページで、次の情報を入力または選択します。
* ソースまたは宛先: CIDR ブロックを選択します。
* ソースCIDRブロックまたは宛先CIDRブロック: フィルタリングするソースまたは宛先サブネットのIPアドレス範囲を入力します。たとえば、VNET1サブネット1の場合は10.0.1.0/24、
VNET2 サブネット 1 の場合は 10.0.2.0/24、VNET3 サブネット 1 の場合は 10.0.3.0/24。
* プロトコル: ルールを任意のプロトコルに適用するには、「任意」を選択します。
* アクション: 送信元サブネットまたは宛先サブネットとの間のトラフィックをブロックするには、[拒否] を選択します。
* 優先度: このルールの評価順序を示す 100 ～ 4096 の数字を入力します。
数字が小さいほど、優先順位が高くなります。
* 名前: ルールの一意の名前を入力します。
* ルール4を作成するには、「追加」を選択します。
* 前の手順を繰り返して、VNET1とVNET3サブネット間のトラフィックを拒否するNSGの受信ルールと送信ルールを作成します。たとえば、VNET1とVNET3サブネット間のトラフィックを拒否する受信ルールを作成できます。
10.0.1.0/24 (VNET1 サブネット 1) から 10.0.3.0/24 (VNET3 サブネット 1) へのトラフィックを拒否する送信ルール
* 10.0.3.0/24 (VNET3 サブネット 1) から 10.0.1.0/24 (VNET1 サブネット 1) へ。
* NSG をサブネットに関連付けるには、Azure ポータルの仮想ネットワーク サービスに移動し、仮想ネットワークを選択する必要があります。次に、[設定] の [サブネット] を選択し、NSG5 に関連付けるサブネットを選択します。
* [サブネットの編集] ページの [ネットワーク セキュリティ グループ] で、ドロップダウン リストから NSG を選択します。次に、[保存] を選択します。
* 前の手順を繰り返して、相互に分離する VNET1 と VNET3 のサブネットに NSG を関連付けます。