Azure ネットワーク セキュリティ グループ (NSG) は、サブネット単位、ネットワーク インターフェース単位で設定が可能ですが、今回、受信セキュリティ規則、送信セキュリティ規則の適用ルールについて確認した結果を紹介したいと思います。
今回、以下の3パターンについて確認してみました。
- パターン1:同一仮想ネットワーク内の異なるサブネット間のNSG適用ルール
- パターン2:同一仮想ネットワーク内の同一サブネット間のNSG適用ルール
- パターン3:異なる仮想ネットワーク間の異なるサブネット間のNSG適用ルール (仮想ネットワーク ピアリング)
パターン1:同一仮想ネットワーク内の異なるサブネット間のNSG適用ルール
+ NSG適用順
1) NSG (VM1 ネットワーク インターフェース)の送信ルール
2) NSG (VNET1 サブネット1)の送信ルール
3) NSG (VNET1 サブネット2)の受信ルール
4) NSG (VM2 ネットワーク インターフェース)の受信ルール
パターン2:同一仮想ネットワーク内の同一サブネット間のNSG適用ルール
+ NSG適用順
1) NSG (VM3 ネットワーク インターフェース)の送信ルール
2) NSG (VNET2 サブネット3)の受信ルール
3) NSG (VM4 ネットワーク インターフェース)の受信ルール
パターン3:異なる仮想ネットワーク間の異なるサブネット間のNSG適用ルール (仮想ネットワーク ピアリング)
+ NSG適用順
1) NSG (VM1 ネットワーク インターフェース)の送信ルール
2) NSG (VNET1 サブネット1)の送信ルール
3) NSG (VNET2 サブネット2)の受信ルール
4) NSG (VM2 ネットワーク インターフェース)の受信ルール
基本的には出ていく通信には送信ルール、入ってくる通信には受信ルールが適用され、同一サブネット間の通信については、サブネットに関連付けたNSGで受信ルールが適用されるというルールを理解していれば問題なさそうです。
今後は、アプリケーション セキュリティ グループ (ASG) についても確認してみようと思います。
