はじめに
Network Watcherのネットワーク診断ツールにはNSG診断を行うものがあります。これはIPフロー検証と似たような判定を行いますがさらに深く詳細を確認することが出来ます。これを紹介します。
診断できるNSGは、仮想マシン、ネットワークインターフェイス、VMSSネットワークインターフェイス、アプリケーションゲートウェイです。
これらのNSGを診断することが可能です。
診断
診断は対象となるリソースを指定します。
プロトコルも指定します。
方向は、NSGの受信、送信の規則を指定します。
下記の例ではVM2からVM1への通信についてのNSGを確認しています。
結果を確認すると、通信は許可されていることが分かります。これをさらに、どの規則にマッチした結果なのかを表示することが出来ます。結果に出たNSGをクリックします。
NSGでは「IN_PORT_80」のルールにマッチして通信が許可されていることが分かります。
拒否の場合にも同様に確認することでマッチした規則が分かります。
次に、送信でも確認してみます。
送信ポートの規則でルールがマッチして拒否されていることが分かります。
まとめ
NSG診断はIPフロー検証を拡張したようなものになっています。
どの、NSGにマッチないたのか知りたいだけなら、IPフロー検証で問題ないでしょう。ただし、どの規則にマッチしたのかを確認するためにNSG診断を行うことが望ましいでしょう。
使い分けは必要ですが、NSG診断で完了するような気がします。好みで分かれるとは思いますが、NSG診断については資料があまりないので紹介してみました。