Bastion, ネットワークセキュリティグループの説明ページ追加 (#1515) (#1516)

* Bastion, ネットワークセキュリティグループの説明ページ追加 (#1515)

* 見出し修正 (#86)

* 見出し修正：Update index.mdx

* Delete src/pages/research_computing/utokyo_azure/faq/addrole.mdx

* 見出し修正：Update index.mdx

* 見出し修正：Update subscription.mdx

* 見出し修正：Update deploy.mdx

* Bastion 利用の場合の ssh 設定について追記：Update index.mdx

* Bastion ページの追加 (#87)

* Create bastion.mdx

* Add files via upload

* Update bastion.mdx

* Update bastion.mdx

* Update bastion.mdx

* Update bastion.mdx

* ネットワークセキュリティグループのページ作成 (#90)

ネットワークセキュリティグループの説明新規作成

* Update index.mdx

* Update bastion.mdx

Author: lodairh

src/pages/research_computing/utokyo_azure/virtualmachine/bastion.mdx

@@ -0,0 +1,54 @@
+---
+title: "仮想マシンにアクセスする"
+breadcrumb:
+  title: 仮想マシンにアクセスする
+  parent: ../
+---
+
+import HelpItem from "@components/utils/HelpItem.astro";
+
+仮想マシンにリモートからアクセスする方法としては UNIX 系 OS であれは ssh，Windows OS であれば RDP(Remote Desktop Protocol) を利用することが一般的ですが，クラウドサービスへのリモートアクセスに直接これらのプロトコルでパブリックアクセスを許可することは，セキュリティ上のリスクが高く原則するべきではありません．
+
+Azure サービスでは Bastion という踏み台サービスがあり，これらプロトコルによる直接のパブリックアクセスを回避し，よりセキュアに接続を行うことができるようになる仕組みがあります．
+
+以下は，Bastion を利用した仮想マシンへのアクセス方法について説明します．
+
+## １．Bastion 概要
+
+Bastion は Azure Portal に構成され、Web ブラウザ上で仮想マシンの操作が可能になるアクセスを提供します．
+- Azure Portal 内に踏み台サーバとして構成され，仮想マシンへのアクセスは Bastion 経由で行う形になります．（下図参照）
+- ssh や RDP によるリモート接続のために，仮想マシンにパブリックアクセス用の IP を設定する必要がなくなるので，これらプロトコルの脆弱性を突いた不正アクセスの懸念が無くなります．
+- 端末から Azure Portal 間は，強固な認証を経たブラウザによる https (TLS) 接続内を通信するので、より安全に仮想マシンへのリモートアクセスが可能になります．
+- Bastion サービスは有料なのでギフトを消費します．1時間でおよそ 0.2 ドルから 0.5 ドル 程度で，5GB/月以上のデータ送受信には別途通信料がかかります．詳細は以下の URL を参照ください．
+  - [Azure Bastion の価格](https://azure.microsoft.com/ja-jp/pricing/details/azure-bastion/)
+
+![](img/01_bastion1.png){:.center.border}
+
+## ２.Bastion の構成
+
+本ページでは，Azure Virtual Machines を Linux OS で構成した直後に，初期アクセスをする手順として進めます．
+ 
+2-1. 仮想マシンリソース（この例では testmachine）の左側一覧にある，`接続` > `Bastion` を選択する．
+
+2-2. 画面右側，主画面に Bastion の作成が表示されるので，`Bastion のデプロイ` をクリックする．
+  - 完了するまで時間がかかる．
+
+![](img/02_bastion2.png){:.medium.center.border}
+
+2-3. しばらくして構成が成功すると，**プロビジョニングの状態**が `Succeeded` となって完了するので，以下の項目に必要な設定を行う．
+  - **プロトコル，ポート**：初期値のままで構いません．
+    - Windows OS の場合は`RDP`を選択．また，データ通信用にパブリックアクセスを許容する場合に，ssh のポート番号を変えたい場合は，サーバ側を変更後にここの設定も変更すること．
+  - **認証の種類**：`ローカルファイルからのSSH秘密キー`
+    - 仮想マシン構成時に新規作成，または選択した ssh 秘密鍵を利用する想定です．
+  - **ユーザー名**：ssh 鍵を新規作成している場合は`azureuser`，既存 ssh 鍵を選択している場合は，鍵作成時のアカウント名を設定してください．
+  - **ローカルファイル**：ssh 秘密鍵が含まれているファイルをここに選択してください．この例では，仮想マシン構成時に新規に`testmachine_key.pem`という鍵を作成，ダウンロードしている想定です．
+  - **詳細設定**：既存の ssh 秘密鍵を選んだ場合は，その鍵のパスフレーズを入力してください．新規作成鍵の場合はそのままで構いません．
+  - **新しいブラウザタブで開く**：いずれでもかまいません．
+
+2-4. 全て入力を終えたら，画面左下にある`接続`をクリック．
+
+![](img/03_bastion3.png){:.medium.center.border}
+
+2-5. 接続に成功したら下図のようにプロンプトが表示され，仮想サーバの操作ができるようになる．
+
+![](img/04_bastion4.png){:.medium.center.border}

src/pages/research_computing/utokyo_azure/virtualmachine/img/01_bastion1.png

@@ -69,7 +69,9 @@ import FirstTimeUsing from "@components/ja/systems/utokyo_azure/FirstTimeUsing.m
 
 #### 受信ポートの規則
 
-ここでは初期設定のままで進めます．既にご希望がある場合は設定を変更してください．
+- ここでは初期設定のままで進めます．既にご希望がある場合は設定を変更してください．
+- 別ページで説明する [Bastion サービス](/research_computing/utokyo_azure/virtualmachine/bastion) を利用してリモートコンソール接続を行う場合は，`なし`を選択してください．
+- ここで選択する受信ポート規則は作成直後の接続用の設定なので，運用中に通信するポート規則は仮想マシン作成後に[ネットワークセキュリティグループ](/research_computing/utokyo_azure/virtualmachine/nsg)機能で設定してください．
 
 ### ディスクパート
 {:#disk}
@@ -88,7 +90,9 @@ import FirstTimeUsing from "@components/ja/systems/utokyo_azure/FirstTimeUsing.m
 ### ネットワーク，管理，監視，詳細，タグの各パート
 {:#eachpart}
 
-ここでは初期設定のままで進めます．既にご希望がある場合は設定を変更してください．
+- ここでは初期設定のままで進めます．既にご希望がある場合は設定を変更してください．
+- リモートからのコンソールアクセスに別ページで説明する [Bastion サービス](/research_computing/utokyo_azure/virtualmachine/bastion) を利用し，かつデータ転送用に外部からの接続を許可する必要が無い場合は，**パブリック受信ポート** は`なし`を設定してください．
+- ここで選択する受信ポートは作成直後の接続用の設定なので，運用中に通信するポート規則は仮想マシン作成後に[ネットワークセキュリティグループ](/research_computing/utokyo_azure/virtualmachine/nsg)機能で設定してください．
 
 <HelpItem lang="ja" type="details">
   <Fragment slot="problem">定期的に仮想マシンをシャットダウンさせたい場合</Fragment>

src/pages/research_computing/utokyo_azure/virtualmachine/img/01_nsg1.png

@@ -0,0 +1,95 @@
+---
+title: "通信を制御する"
+breadcrumb:
+  title: 通信を制御する
+  parent: ../
+---
+
+import HelpItem from "@components/utils/HelpItem.astro";
+
+Microsoft Azure には、ネットワークインターフェースリソースレベルで、Windows OS であればパーソナルファイアウォール、Linux であれば iptables や ufw，firewalld のような通信制御の仕組みがあり，適切に設定することによってよりセキュアに通信することができます。
+
+以下は Microsoft Azure のネットワークセキュリティグループについて説明します．
+
+## １．ネットワークセキュリティグループ（NSG） 概要
+
+ネットワークセキュリティグループは，仮想マシンが通信するために必要なネットワークインターフェースリソース単位で設定し，以下の要素で通信を制御します．
+- IN/OUT 方向それぞれについて，送信元，送信元ポート，宛先，宛先ポート，プロトコルの5要素
+- IPによる制御だけでなく，サービス単位などの要素で指定し，より少ない設定で適切な通信制御を行えます．
+
+![](img/01_nsg1.png){:.center.border}
+
+## ２.ネットワークセキュリティグループの設定
+
+### 初期設定
+ 
+ネットワークセキュリティグループは，仮想マシンを構成した際に`[仮想マシンのリソース名]-nsg`というリソース名で自動作成されます．初期設定では，以下のように設定されています．
+
+受信側セキュリティ規則
+| 優先度 | 名前 | ポート | プロトコル | ソース | 宛先 | アクション |
+| ----- | ----- | ----- | ----- | ----- | ----- | ----- |
+| 65000 | AllowVnetInBound | 任意 | 任意 | VirtualNetwork | VirtualNetwork | allow |
+| 65001 | AllowAzureLoadBalancerInBound | 任意 | 任意 | AzureLoadBalancer | 任意 | allow |
+| 65002 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | deny |
+
+送信側セキュリティ規則
+| 優先度 | 名前 | ポート | プロトコル | ソース | 宛先 | アクション |
+| ----- | ----- | ----- | ----- | ----- | ----- | ----- |
+| 65000 | AllowVnetOutBound | 任意 | 任意 | VirtualNetwork | VirtualNetwork | allow |
+| 65001 | AllowInternetOutBound | 任意 | 任意 | 任意 | Internet | allow |
+| 65002 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | deny |
+
+### 規則の追加
+
+1. ネットワークセキュリティグループリソースの左側に表示される一覧で，`設定` > `受信（または送信）セキュリティ規則`を選択
+2. メイン画面の左上にある`＋追加`をクリック
+3. 設定画面がポップアップするので，設定したい内容を設定する
+
+#### ソース
+- 送信元の種類を選択します．
+  - **any**：いずれの条件にも該当させたい場合に指定します．
+  - **IP addresses**：IPアドレスで指定します．
+  - **My IP Address**：Portal にアクセスしている端末のIPが入力されます．
+  - **Service Tag**：サービスタグで指定します．指定できるサービスタグ一覧は[こちら](https://learn.microsoft.com/ja-jp/azure/virtual-network/service-tags-overview)
+  - **Application security group**：別途設定した、[アプリケーションセキュリティグループ](https://learn.microsoft.com/ja-jp/azure/virtual-network/application-security-groups)を指定できます．
+
+#### ソースポート範囲
+- 選択した`ソース`の種類によってこの項目は変化します．具体的な範囲を設定します．
+
+#### 宛先
+- 送信先の種類を選択します．**My IP Address**が無い以外は`ソース`と同じです．
+
+#### (宛先の詳細)
+- `宛先`に**Any**以外を選んだ場合に項目が追加され，選択した種類に合わせた範囲を設定します．
+
+#### サービス
+- 初期設定は`Custom`で，ここを制御したいサービスプロトコルに変更すると，以下の宛先ポート範囲とプロトコルが自動選択されます．
+
+#### 宛先ポート範囲
+- サービスで`Custom`にした場合は，ここで具体的なポート範囲を指定します．
+
+#### プロトコル
+- サービスで`Custom`にした場合は，ここで具体的なプロトコルを選択します．
+
+#### アクション
+- ここまで設定した規則の内容で、通信を`許可`するか`拒否`するかを選択します．
+
+#### 優先度
+- 設定した規則の優先度を数字で指定します．小さい数字ほど優先度が高くなります．
+- 複数の規則に重複する内容があった場合，より優先度の高い規則が優先されます．
+- 初期設定の規則は削除することができませんが，優先度が最低値で設定されているので，優先度の高い設定でオーバーライドすることができます．
+
+#### 名前
+- 設定した規則にわかりやすい名前を付けてください．
+
+#### 説明
+- 必要に応じて，規則の説明を記載ください．
+
+![](img/02_nsg2.png){:.medium.center.border}
+
+4.最後に`追加`をクリックすると，設定した規則が有効になります．
+
+### 規則の削除
+
+`設定` > `受信（または送信）セキュリティ規則` で，削除したい規則にチェックを入れ，画面上部にある`削除`をクリックするとその規則を削除できます．
+- 初期設定されている規則は削除できません．