NSG を使用して、仮想マシンの NIC にアクセスできるネットワーク トラフィックのタイプを制御することは、Microsoft Azure のベスト プラクティスです。デフォルトでは、特定の Horizon Cloud ポッドに対して Horizon Universal Console の [Marketplace からの仮想マシンのインポート] ウィザードを初めて実行すると、仮想マシンと同じリソース グループに NSG が作成され、作成された仮想マシンの NIC がその NSG に接続されます。ウィザードの次回の実行では、最初の実行でパブリック IP アドレスを作成することを選択したかどうかに応じて、システムは後続の仮想マシンを同じ NSG に接続するか、2 番目の NSG を作成します。これらの NSG のルールによって、ウィザードで作成されたインポートされた仮想マシンに許可されるトラフィックが決まります。

Microsoft Azure ドキュメントで説明するように、Microsoft Azure では、ネットワーク セキュリティ グループ (NSG) は Azure Virtual Network (VNet) に接続されたリソースへのネットワーク トラフィックを管理します。NSG は、そのネットワーク トラフィックを許可または拒否するセキュリティ ルールを定義します。NSG によるネットワーク トラフィックのフィルタ方法の詳細については、Microsoft Azure のドキュメントで「Filter network traffic with network security groups」のトピックを参照してください。Microsoft Azure は、各 NSG が作成されると自動的にいくつかのデフォルトのルールを作成します。作成されるすべての NSG で、Microsoft Azure はいくつかのインバウンド ルールとアウトバウンド ルールを 65000 以上の優先度で作成します。このような Microsoft Azure のデフォルトのルールは、ユーザーまたはシステムが Microsoft Azure で NSG を作成すると、Microsoft Azure によって自動的に作成されるので、このドキュメントのトピックでは説明されません。これらのルールは Horizon Cloud によって作成されるものではありません。これらのデフォルトのルールの詳細については、Microsoft Azure ドキュメントのデフォルトのセキュリティ ルールトピックを参照してください。

システムの [Marketplace からの仮想マシンのインポート] ワークフローが実行されると、インポートされた仮想マシンが作成されたのと同じリソース グループにこれらの NSG が作成されます。ウィザードが仮想マシンを作成するポッドのリソース グループに使用される名前付けパターンを確認するには、Microsoft Azure にデプロイされたポッド用に作成されたリソース グループを参照してください。

[パブリック IP アドレスを有効にする] がオンの場合

ウィザードの [パブリック IP アドレスを有効にする] トグルをオンにして作成された仮想マシンの場合、システムはそれらの仮想マシンを HCS-Imported-VM-NSG という名前の NSG に接続します。Microsoft Azure によってすべての NSG で作成されるデフォルトのルールに加えて、この NSG には RDP ポートを使用する受信トラフィックを許可する受信ルールがあります。[パブリック IP アドレスを有効にする] オプションの目的は、パブリック インターネット経由で仮想マシンにログインする機能を提供し、仮想マシンをカスタマイズできるようにすることです。このため、この受信ルールにより、RDP を使用してインターネット経由で仮想マシンにログインできます。

表 1. HCS-Imported-VM-NSG の受信セキュリティ ルール
優先順位 名前 ポート プロトコル ソース 送信先 アクション
300 AllowRDP 3389 TCP 任意 任意 許可

[パブリック IP アドレスを有効にする] がオフの場合

ウィザードの [パブリック IP アドレスを有効にする] トグルをオフにして作成された仮想マシンの場合、システムはそれらの仮想マシンを HCS-Imported-VM-NSG-Basic という名前の NSG に接続します。この NSG には、NSG の作成時に Microsoft Azure によって作成されたデフォルトのルールのみが含まれます。このような Microsoft Azure のデフォルトのルールは、Microsoft Azure によって自動的に作成されるため、このドキュメント トピックでは説明しません。これらのデフォルトのルールの詳細については、Microsoft Azure ドキュメントのデフォルトのセキュリティ ルールトピックを参照してください。