AZ700-CORE#67
あなたは Azure VM 間の通信が突然失敗するようになりました。NSG ルールが原因かどうかをまず確認する Network Watcher の機能はどれですか?
解説
【正解: A】の理由
IP Flow Verify は、指定した 5-tuple (送信元 IP/Port、宛先 IP/Port、プロトコル) が NSG ルールで「許可」または「拒否」されるかを瞬時に判定するツールです。VM 単位で動作し、許可された/拒否された具体的なルール名を返すため、NSG 起因の通信失敗を即座に切り分けできます。トラブルシュートの最初の一手として最適です。
【NSG 関連診断ツール 比較】
| ツール | 用途 | 実行時間 |
|---|---|---|
| IP Flow Verify | 特定 5-tuple の NSG 判定 (許可/拒否 + ルール名) | 即時 (数秒) |
| NSG Diagnostics | NSG セット内のルール衝突 + 重複検出 | 数秒 |
| NSG Flow Logs | すべての NSG 通過パケットの記録 (Storage に保存) | 継続的 |
| Effective Security Rules | VM/NIC に適用される実効ルール一覧 | 即時 |
【IP Flow Verify の使い方】
- Azure Portal → Network Watcher → IP Flow Verify
- 対象 VM、NIC を選択
- Direction: Inbound / Outbound
- 5-tuple 指定: Local IP、Local Port、Remote IP、Remote Port、Protocol (TCP/UDP)
- 結果: Access Allowed / Denied + マッチした NSG ルール名
【典型シナリオ】
- VM がアウトバウンドで特定 URL に到達できない → Outbound + Remote IP:443 で判定
- VM が SSH (22) を受け付けない → Inbound + Local Port 22 で判定
- VM Scale Set の特定インスタンスのみ通信失敗 → そのインスタンス NIC で判定
【他選択肢が違う理由】
- B. Connection Monitor: 継続的な接続性監視、NSG ルール判定には不向き。原因が NSG か他要因かを切り分ける用途には不適。
- C. Topology: VNet トポロジ可視化、NSG 判定機能なし。
- D. VPN Diagnostic: VPN Gateway のトラブルシュート用で VM 間通信には不適。
【トラブルシュートの 5 段階】
- IP Flow Verify で NSG 起因を確認
- NSG 否定なら Effective Routes で UDR/ピアリング確認
- ルート OK なら Connection Troubleshoot で経路全体確認
- 更に詳細が必要なら Packet Capture で L7 まで確認
- VPN/ER 起因なら VPN Diagnostic で詳細分析
コメント