💨

[Azure] NSG 診断とIPフロー検証の違いについて

2022/12/26に公開約1,000字

しらべるまえ

どちらも、通信をキャプチャして、設定内容に問題がないか・トラブルシューティングに利用できる…といった雑なイメージ。

しらべてみた(実際に操作してみた)

気になるポイント:通信先(元)となるマシンやサービスは存在しておくことが条件?

NSG 診断とIPフロー検証の違い(実機確認)

  • NSGフロー診断
    結論から言うと、送受信において相手方となるマシンは必要ない。あくまで、テスト対象に不要されているNSGから通信が出るまで・入ってくるまでの出入り口を調べているだけなのだろう。
    実際の設定で重要なのは、リソースを正しく選択すること。それ以外は任意でも良い。宛先IPなども踏まえて細かくNSG制限している場合は使う項目になるのだろう。

チェック結果をクリックすると、具体的にどのルールで評価されたのか確認することができる。
恐らく優先度踏まえて、他のルールでどのように評価されて、最終的に許可・拒否なのかまで判断」することができるのだろう。ただ単純にルールを追加したい場合だけでなく、その順番まで評価したいときには有効なツールだと感じた。

  • IPフロー診断
    こちらも特に送受信の相手方となるマシンは不要である。NSGのどのルールで掛かったかまで教えてくれるっぽい。

NSG 診断とIPフロー検証の違い(机上確認)

https://level69.net/archives/29666
とか
https://level69.net/archives/29653
とか。
「NSG 診断」で検索してもほぼ情報がないんだな…。

NSGのルールが2~3個の場合や、サービスタグが存在する場合など、複雑な時にはテストで使われるツールなのだろう。
また、NSGルールに特化(?)して詳しく知りたい場合はNSG 診断になると思う。そこまで細かく気にする必要がなければ、どちらでもNSGの許可・拒否は確認できるので問題ないと考える。

Discussion

ログインするとコメントできます