エンドポイント ACL に設定した拒否ルールによって、仮想マシン間の通信が行えなくなる

現象
以下のようなシナリオを想定します。

  • Azure 仮想ネットワーク上に、複数の仮想マシンが配置されています。
  • 仮想マシンの一台で、インターネット側からの全ての接続要求を拒否するエンドポイント ACL を作成します。例えば、SSH や リモートデスクトップ用のエンドポイントに、0.0.0.0/0 を発信元とする通信に対する拒否エントリーを作成します。


この設定を行うと、エンドポイント ACL の設定を行った仮想マシンに対して、同一仮想ネットワーク上の他の仮想マシンからの接続が行えなくなります。例えば、SSH や リモートデスクトップによる接続が行えなくなります。 
原因
仮想マシンのエンドポイントは、インターネット側からのアクセスを制御するために設定しますが、エンドポイント ACL の内容は、エンドポイントの内部で評価がなされます。そのため、0.0.0.0/0 に対する拒否ルールが設定されている場合に、対応する内部ポートに対する同一の仮想ネットワークからの通信も拒否されることになります。
解決方法
仮想ネットワーク環境での 通信の制御には、エンドポイント ACL ではなく、ネットワーク セキュリティ グループ (NSG) をご使用ください。 なお、エンドポイント ACL と ネットワーク セキュリティ グループ (NSG) には互換性がありません。
回避策
ネットワーク セキュリティ グループ (NSG) の設定が即座には難しい場合、0.0.0.0/0 に対する拒否ルールよりも高い優先順位で、通信を許可したい仮想ネットワークのネットワークアドレスに対する許可ルールを設定します。 
状況
この動作は仕様です。 
詳細
エンドポイント ACL と、ネットワーク セキュリティ グループについては、以下の各技術情報もご参照ください。 

ネットワーク アクセス制御リスト (ACL) について

ネットワーク セキュリティ グループについて


関連情報
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:3072688 - 最終更新日: 09/29/2016 12:46:00 - リビジョン: 4.0

Microsoft Azure Virtual Machine running Windows

  • KB3072688
フィードバック