Virtual Network の Service tag には UDR の宛先サブネットが含まれる

azure
Published: 2019-05-30

単なるメモなのでさらっと。

サマリ

  • Network Security Group の Virtual Network という Service tag には、UDR で設定したアドレスプレフィックスが自動的に追加される
  • UDR と NSG の設定によっては、意図しない通信が許可される可能性があるので注意
  • NSG は1つのルールに複数のアドレスを追加できるようになったので、Virtual Network に頼らずサブネットで明示的に許可した方がよさそう
  • ファイアウォール製品のように、自分で独自の Service tag を作れる機能が待ち遠しい

ドキュメントの更新箇所

該当のコミットはこちら

これまでの記載

VirtualNetwork (Resource Manager) (クラシックの場合は VIRTUAL_NETWORK):このタグには、仮想ネットワーク アドレス空間 (仮想ネットワークに対して定義されているすべての CIDR 範囲)、すべての接続されたオンプレミスのアドレス空間、ピアリングされた仮想ネットワークまたは仮想ネットワーク ゲートウェイに接続された仮想ネットワークが含まれます。

変更後の記載

分かりやすいように変更箇所を強調します。

VirtualNetwork (Resource Manager) (クラシックの場合は VIRTUAL_NETWORK):このタグには、仮想ネットワーク アドレス空間 (仮想ネットワークに対して定義されているすべての CIDR 範囲)、すべての接続されたオンプレミスのアドレス空間、ピアリングされた仮想ネットワークまたは仮想ネットワーク ゲートウェイに接続された仮想ネットワーク、ユーザーが定義したルートに使用されるアドレス プレフィックスが含まれます。

動作確認

UDR にオンプレのアドレスだけを書いた場合

ルーティングの状態

UDR の状態(特定 Prefix のみ)

NSG の Virtual Network の状態

Virtual Network の状態(特定 Prefix のみ)

UDR にデフォルトルートを書いた場合

ルーティングの状態

UDR の状態(デフォルトルート)

NSG の Virtual Network の状態

Virtual Network の状態(デフォルトルート)