Horizon Cloud の [Marketplace からの仮想マシンのインポート] ウィザードによって作成されたネットワークセキュリティグループ (NSG)

NSG を使用して、仮想マシンの NIC にアクセスできるネットワークトラフィックのタイプを制御することは、Microsoft Azure のベストプラクティスです。デフォルトでは、特定の Horizon Cloud ポッドに対して Horizon Universal Console の [Marketplace からの仮想マシンのインポート] ウィザードを初めて実行すると、仮想マシンと同じリソースグループに NSG が作成され、作成された仮想マシンの NIC がその NSG に接続されます。ウィザードの次回の実行では、最初の実行でパブリック IP アドレスを作成することを選択したかどうかに応じて、システムは後続の仮想マシンを同じ NSG に接続するか、2 番目の NSG を作成します。これらの NSG のルールによって、ウィザードで作成されたインポートされた仮想マシンに許可されるトラフィックが決まります。

Microsoft Azure ドキュメントで説明するように、Microsoft Azure では、ネットワークセキュリティグループ (NSG) は Azure Virtual Network (VNet) に接続されたリソースへのネットワークトラフィックを管理します。NSG は、そのネットワークトラフィックを許可または拒否するセキュリティルールを定義します。NSG によるネットワークトラフィックのフィルタ方法の詳細については、Microsoft Azure のドキュメントで「Filter network traffic with network security groups」のトピックを参照してください。Microsoft Azure は、各 NSG が作成されると自動的にいくつかのデフォルトのルールを作成します。作成されるすべての NSG で、Microsoft Azure はいくつかのインバウンドルールとアウトバウンドルールを 65000 以上の優先度で作成します。このような Microsoft Azure のデフォルトのルールは、ユーザーまたはシステムが Microsoft Azure で NSG を作成すると、Microsoft Azure によって自動的に作成されるので、このドキュメントのトピックでは説明されません。これらのルールは Horizon Cloud によって作成されるものではありません。これらのデフォルトのルールの詳細については、Microsoft Azure ドキュメントのデフォルトのセキュリティルールトピックを参照してください。

システムの [Marketplace からの仮想マシンのインポート] ワークフローが実行されると、インポートされた仮想マシンが作成されたのと同じリソースグループにこれらの NSG が作成されます。ウィザードが仮想マシンを作成するポッドのリソースグループに使用される名前付けパターンを確認するには、第 1 世代テナント - Microsoft Azure にデプロイされたポッド用に作成されたリソースグループを参照してください。

[パブリック IP アドレスを有効にする] がオンの場合

ウィザードの [パブリック IP アドレスを有効にする] トグルをオンにして作成された仮想マシンの場合、システムはそれらの仮想マシンを HCS-Imported-VM-NSG という名前の NSG に接続します。Microsoft Azure によってすべての NSG で作成されるデフォルトのルールに加えて、この NSG には RDP ポートを使用する受信トラフィックを許可する受信ルールがあります。[パブリック IP アドレスを有効にする] オプションの目的は、パブリックインターネット経由で仮想マシンにログインする機能を提供し、仮想マシンをカスタマイズできるようにすることです。このため、この受信ルールにより、RDP を使用してインターネット経由で仮想マシンにログインできます。

表 1. HCS-Imported-VM-NSG の受信セキュリティルール
優先順位	名前	ポート	プロトコル	ソース	送信先	アクション
300	AllowRDP	3389	TCP	任意	任意	許可

[パブリック IP アドレスを有効にする] がオフの場合

ウィザードの [パブリック IP アドレスを有効にする] トグルをオフにして作成された仮想マシンの場合、システムはそれらの仮想マシンを HCS-Imported-VM-NSG-Basic という名前の NSG に接続します。この NSG には、NSG の作成時に Microsoft Azure によって作成されたデフォルトのルールのみが含まれます。このような Microsoft Azure のデフォルトのルールは、Microsoft Azure によって自動的に作成されるため、このドキュメントトピックでは説明しません。これらのデフォルトのルールの詳細については、Microsoft Azure ドキュメントのデフォルトのセキュリティルールトピックを参照してください。