Azure データセンターから発生するお客様の VM に対して行われる通信について


Azure をご利用の皆様

6月中旬頃より、お客様の VM に対して、Azure であると見られる IP アドレス (※) から疎通がされるようになったというご報告をいただいております。
弊 Azure サポート チームにて本現象について調査したところ、Azure で開発中の新機能の動作によるものと判明しました。
この場を借りまして、この動作にてご不安なお気持ちとさせてしまいましたユーザー様には、深くお詫びを申し上げます。

(※) Azure データセンターで使われている IP アドレス帯は以下にて公開しています。
Microsoft Azure Datacenter IP Ranges
https://www.microsoft.com/en-us/download/details.aspx?id=41653

 

- 機能の説明

本機能は、Azure の仮想マシンに設定されているエンドポイントの応答性を確認する、生存監視のために行われています。
将来的に、この情報は Azure 管理者様の手で確認が行えるようになり、これまでのような「VM が起動していたか否か」だけでなく、「VM との疎通を行うポートが実際に応答するか否か」という、一歩踏み込んだ形での生存確認が行えるものとなる見込みです。

この機能の実現のため、Azure データセンターの以下の IP アドレスから、オープンしているポートに対してパケットが到達します。

<送信元となる IP アドレスについて>
13.64.128.11
13.64.168.11
13.64.88.11
40.86.112.11
40.86.40.11
13.67.160.11
13.95.160.11
13.78.64.11
40.69.0.11
13.75.0.11

※ ご注意ください ※
本機能は、現在開発中であるため、上記 IP アドレスは、開発途上および、正式リリース時に予告なく変更となる可能性があります。
その際には、公開情報もリリースされる予定ですので、本ポストを更新させていただきます。

 

- 考え方

・本通信は、Azure データセンター内の管理上の目的にて行われているものですので、お客様の VM のセキュリティを脅かすものではございません。また、本機能による通信にて、課金額が増加することもございません。
・本通信に伴い、お客様のポートへの疎通が行われることにより、お客様のアプリケーションが誤動作することはありません。
・上記理由から、本通信が行われても悪影響は無いため、無視いただいても結構です。セキュリティ管理上、外部からの疎通は期待しないという場合、今回の通信は、ネットワーク セキュリティ グループ (NSG) や、Windows ファイアウォールにてブロックをしていただいても問題は生じません。この場合、上記の IP アドレス一覧をご活用ください。
なお、旧来は、Azure のロード バランサーを構成していた場合のみ、プローブという動作にて、お客様の VM の指定のポートに対して死活監視のパケットを送信していました。
ロード バランサーの機能に加え、今回ご紹介した本新機の 2 種 以外では、現状では Azure データセンターから、お客様の VM に通信を発生させることはございません。

 

- 正式リリースに向けて

本機能の正式リリースにあたっては、活用方法や正式な送信元 IP アドレスの一覧紹介した公開情報が整備されます。
また、それに伴い、ネットワーク セキュリティ グループ (NSG) のタグが整備され、簡単に疎通拒否の登録を行うことも可能になる予定です。

新たな情報がありましたら、本ポストにも更新を行わせていただきます。


Comments (4)

  1. Scarlett より:

    Happy to read it.Thanks for such a nice post by teppei .

    1. Teppei Ishii より:

      Scarlett, thank you very much for the comment.
      The list of IP’s may change as this new function is under the development. We will update this post when we see such changes.

  2. 那須 雄介 より:

    かかる通信におけるアクセスをDDoSと認識し、過負荷状態となりサービスが再起動する事故が実際に起きております。この記述にある「本通信に伴い、お客様のポートへの疎通が行われることにより、お客様のアプリケーションが誤動作することはありません」は間違いではありませんが、被害が実際に出ておりますのでそのことはご承知いただけますよう。

    1. Teppei Ishii より:

      那須様、ご不便をおかけした点、深くお詫び申し上げます。
      貴社環境にて、DDoSと認識され、サービスが再起動されてしまったということについて、承知をいたしました。
      外部からの通信について、予告無く発生したということで、今後の改善のため強くフィードバックさせていただきます。

      もし、Azure 技術サポート契約をお持ちでございましたら、当時のパケットやファイアウォール製品のログなど、DDoS と認識されるような動作がありましたら、弊社サポートにお寄せをいただければと存じます。

Skip to main content