☎️

NSGのリンク集

2023/11/09に公開

はじめに

NSG(Network Security Group)に関して調べる機会が多いので、メモも兼ねてこちらに記載していきます。
今後も追記予定です。

Service Tagの一覧

AzureUpdateDelivery
Windows Update へのアクセス用。
注: 更新プログラムを正常にダウンロードするには、AzureFrontDoor.FirstParty サービス タグも有効にして、次のように定義されたプロトコルとポートを使用して送信セキュリティ規則を構成する必要があります。
AzureUpdateDelivery: TCP、ポート 443
AzureFrontDoor.FirstParty: TCP、ポート 80

https://learn.microsoft.com/ja-jp/azure/virtual-network/service-tags-overview#available-service-tags

Bastion

設定例

https://jpaztech.github.io/blog/network/bastion-nsg/

Bastionサブネットの制約

サブネットの名前は AzureBastionSubnet にしてください。
サブネットのサイズは /26 以上 (/25、/24 など) にしてください。

https://learn.microsoft.com/ja-jp/azure/bastion/configuration-settings#subnet

Container Apps

必要な規則

https://learn.microsoft.com/ja-jp/azure/container-apps/firewall-integration?tabs=workload-profiles

168.63.129.16のDNSを利用するときは、許可する必要がある
https://learn.microsoft.com/ja-jp/azure/container-apps/networking?tabs=azure-cli#dns
https://learn.microsoft.com/ja-jp/azure/virtual-network/what-is-ip-address-168-63-129-16#scope-of-ip-address-1686312916

Container Appsのネットワーク概要

https://learn.microsoft.com/ja-jp/azure/container-apps/networking?tabs=azure-cli

NSGではありませんが、ingressの設定についてはこちら
https://learn.microsoft.com/ja-jp/azure/container-apps/ingress-how-to?pivots=azure-portal#ingress-settings

API Management

外部の場合に必要な規則

https://learn.microsoft.com/ja-jp/azure/api-management/api-management-using-with-vnet?tabs=stv2#configure-nsg-rules

内部の場合に必要な規則

https://learn.microsoft.com/ja-jp/azure/api-management/api-management-using-with-internal-vnet?tabs=stv2#configure-nsg-rules

ポリシーフラグメントを使う場合
https://learn.microsoft.com/ja-jp/azure/api-management/policy-fragments
https://learn.microsoft.com/ja-jp/azure/api-management/front-door-api-management

Private Endpoint

Network Policyを有効化する

Private EndpointでNSGが使えるようになってる。。!(; ・`д・´)
https://learn.microsoft.com/ja-jp/azure/private-link/disable-private-endpoint-network-policy?tabs=network-policy-portal

VPN Gateway

VPN GatewayではNSGが使えない

ゲートウェイ サブネットを正常に動作させるには、"GatewaySubnet" という名前を付ける必要があります。
/29 (Basic SKU にのみ適用) の小さいゲートウェイ サブネットを作成することもできますが、他のすべての SKU には、サイズ /27 以上 (/27、/26、/25 など) のゲートウェイ サブネットが必要です。

ゲートウェイ サブネットを使用する場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。

https://learn.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpn-gateway-settings#gwsub

その他

Windowsのライセンス認証

なお、Azure の NSG では、データセンター上に存在する隠しルールにて通信が許容されるようになっているため、NSG が問題となることはありません。

先輩教えていただきありがとうございますm(_ _)m
https://jpaztech1.z11.web.core.windows.net/Azure上のWindowsServer仮想マシンのライセンス認証.html

Discussion