VNET/サブネットの作成時に問題が発生しています。私は ASE も利用しており、そのためにはクラシック VNET しか使用できません。
Azure には 2 種類の VNET が用意されています。作成方法 (Azure ポータル、xplat-cli、古いポータル、powershell 経由) に応じて、この VNET は "クラシック" (青色の "<...>" アイコンで示される) または "リソース マネージャー" (緑のアイコン「<...>」)。
私の知る限り、NSG をクラシック VNET に割り当てることはできないようです。ASE に NSG を配置できないということですか (ASE はクラシック VNET の上にしか作成できないため)? これは正しくないようです..
Resource Manager デプロイ モデルを使用して作成された VNET およびネットワーク セキュリティ グループの場合
New-AzureRmResourceGroup -Name TestResourceGroup -Location centralus
$frontendSubnet = New-AzureRmVirtualNetworkSubnetConfig -Name frontendSubnet -AddressPrefix "10.0.1.0/24"
$virtualNetwork = New-AzureRmVirtualNetwork -Name MyVirtualNetwork -ResourceGroupName TestResourceGroup -Location
centralus -AddressPrefix "10.0.0.0/16" -Subnet $frontendSubnet
$rdpRule = New-AzureRmNetworkSecurityRuleConfig -Name rdp-rule -Description "Allow RDP" -Access Allow -Protocol
Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix *
-DestinationPortRange 3389
$networkSecurityGroup = New-AzureRmNetworkSecurityGroup -ResourceGroupName TestResourceGroup -Location centralus
-Name "NSG-FrontEnd" -SecurityRules $rdpRule
Set-AzureRmVirtualNetworkSubnetConfig -Name frontendSubnet -VirtualNetwork $virtualNetwork -AddressPrefix
"10.0.1.0/24" -NetworkSecurityGroup $networkSecurityGroup
$virtualNetwork | Set-AzureRmVirtualNetwork
この例では、サブネットを 1 つだけ含む 1 つの仮想ネットワークを持つリソース グループを作成します。次に、RDP トラフィックの許可規則を使用してネットワーク セキュリティ グループを作成します。Set-AzureRmVirtualNetworkSubnetConfig コマンドレットを使用して、フロントエンド サブネットのメモリ内表現を変更し、新しく作成されたネットワーク セキュリティ グループを指すようにします。その後、Set-AzureRmVirtualNetwork コマンドレットが呼び出され、変更された状態がサービスに書き戻されます。
Powershell を使用すると仮定するとSet-AzureNetworkSecurityGroupToSubnet、サービス管理モードのコマンドレットは NSG をサブネットに関連付けます。
アップデート:
PS> Switch-AzureMode AzureServiceManagement
PS> (Get-AzureVNetSite -VNetName "Group vnetnsg vnetnsg").Subnets
Name AddressPrefix ExtensionData
---- ------------- -------------
default 10.0.0.0/24
subnet-1 10.0.1.0/24
PS> New-AzureNetworkSecurityGroup -Name "NsgOnSubnet" -Location "West Europe"
Name Location Label
---- -------- -----
NsgOnSubnet West Europe
PS> Set-AzureNetworkSecurityGroupToSubnet -Name NsgOnSubnet -VirtualNetworkName "Group vnetnsg vnetnsg" -SubnetName "subnet-1"
PS> Get-AzureNetworkSecurityGroupAssociation -VirtualNetworkName "Group vnetnsg vnetnsg" -SubnetName "subnet-1"
Name Location Label
---- -------- -----
NsgOnSubnet West Europe
この Microsoft の記事では、クラシック デプロイ方法と ARM デプロイ方法の両方で NSG を適用できる場所について説明しており、VNet 全体を指定することもありません。あなたが持っている最も近いオプションは、同じ機能を提供するはずのサブネットです。複数のサブネットがある場合は、同じ NSG を複数のサブネットに適用する必要がある場合でも。
同じサブネット内の VM 間のトラフィックをブロックする場合は、VM (クラシック) または NIC (ARM) に対して NSG を適用する必要があります。
ここには、NSG をセットアップしてサブネットに適用する方法を示す優れた ARM テンプレートがあります。NIC に対して同じことを行いたい場合は、以下の抜粋を参照してください (NSG が既に作成されていることを前提としています)。
{
"apiVersion": "2015-06-15",
"type": "Microsoft.Network/networkInterfaces",
"name": "nicName",
"location": "[resourceGroup().location]",
"properties": {
"ipConfigurations": [
{
"name": "yourNICName",
"properties": {
"networkSecurityGroup": {
"id": "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('yourNSGName'))]"
},
"privateIPAllocationMethod": "Dynamic",
"subnet": {
"id": "[variables('yourSubnetRef')]"
}
}
}
]
}
},