クイックスタート: Azure Virtual Network Manager でメッシュ ネットワーク トポロジを作成する - Azure portal

Azure portal を使用して、すべての仮想ネットワークの接続を管理することで、Azure Virtual Network Manager の使用を開始します。

このクイックスタートでは、3 つの仮想ネットワークをデプロイし、Azure Virtual Network Manager を使用してメッシュ ネットワーク トポロジを作成します。 次に、接続構成が適用されたことを確認します。

重要

Azure Virtual Network Manager は、Virtual Network Manager とハブ アンド スポークの接続構成で一般提供されています。 メッシュ接続の構成は、パブリック プレビューのままです。

セキュリティ管理者ルールを使用したセキュリティ構成は、次のリージョンで一般提供されています。

• オーストラリア中部
• オーストラリア中部 2
• オーストラリア東部
• オーストラリア南東部
• ブラジル南部
• ブラジル南東部
• カナダ中部
• カナダ東部
• 東アジア
• ヨーロッパ北部
• フランス中部
• フランス南部
• ドイツ北部
• ドイツ中西部
• インド中部
• インド南部
• インド西部
• イスラエル中部
• イタリア北部
• 東日本
• 西日本
• JIO インド西部
• 韓国中部
• 韓国南部
• ノルウェー東部
• ノルウェー西部
• ポーランド中部
• カタール中部
• 南アフリカ北部
• 南アフリカ西部
• スウェーデン中部
• スウェーデン南部
• スイス北部
• スイス西部
• アラブ首長国連邦中部
• アラブ首長国連邦北部
• 英国南部
• 英国西部
• 米国中部
• 米国東部
• 英国北部
• 米国西部
• 米国西部 2
• 米国西部 3
• 米国中西部

他のすべてのリージョンでは、パブリック プレビューのままです。

このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。

前提条件

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
• 動的ネットワーク グループを変更するには、アクセス権の付与が Azure RBAC ロールの割り当てのみを使用して行われている必要があります。 従来の管理者/レガシ承認はサポートされていません。

Virtual Network Manager インスタンスを作成する

必要なスコープとアクセスが定義された Virtual Network Manager インスタンスをデプロイします。 Virtual Network Manager インスタンスは、Azure portal、Azure PowerShell、または Azure CLI を使用して作成できます。 この記事では、Azure portal を使用して Virtual Network Manager インスタンスを作成する方法を示します。

1. Azure portal にサインインします。

2. [+ リソースの作成] を選択し、 [ネットワーク マネージャー] を検索します。 次に、[ネットワーク マネージャー] > [作成] を選択して、Virtual Network Manager の設定を開始します。

3. [基本] タブで、次の情報を入力または選択して、[確認と作成] を選択します。

   

   設定	値
   サブスクリプション	Virtual Network Manager をデプロイするサブスクリプションを選択します。
   リソース グループ	[新規作成] を選択し、「rg-learn-eastus-001」と入力します。
   名前	「vnm-learn-eastus-001」と入力します。
   リージョン	「eastus」または任意のリージョンを入力します。 Virtual Network Manager は、任意のリージョンの仮想ネットワークを管理できます。 選択されたリージョンが、Virtual Network Manager インスタンスが配置される場所です。
   説明	(省略可能) この Azure Virtual Network Manager インスタンスと、それが管理するタスクの説明を指定します。
   スコープ	[スコープの選択] を選択してから、サブスクリプションを選択します。 [選択したスコープに追加] > [選択] を選択します。 スコープ情報は、Virtual Network Manager が管理できるリソースを定義します。 サブスクリプションと管理グループを選択できます。
   機能	ドロップダウン リストから [接続性] と [Security Admin] (セキュリティ管理) を選択します。 接続性は、スコープ内の仮想ネットワーク間に完全なメッシュまたはハブとスポークのネットワーク トポロジを作成できるようにします。 セキュリティ管理は、グローバル ネットワーク セキュリティ規則を作成できるようにします。

4. 構成の検証に合格したら、[作成] を選択します。

仮想ネットワークを作成する

ポータルを使用して 3 つの仮想ネットワークを作成します。 各仮想ネットワークには、動的メンバーシップに使用される networkType タグがあります。 メッシュ構成に既存の仮想ネットワークがある場合は、表に一覧されているタグを仮想ネットワークに追加してから、次のセクションに進んでください。

1. [ホーム] 画面で [+ Create a resource] (+ リソースの作成) を選択し、[仮想ネットワーク] を検索します。 次に [作成] を選択して、仮想ネットワークの構成を開始します。

2. [基本] タブで、次の情報を入力または選択します。

   

   設定	値
   サブスクリプション	この仮想ネットワークをデプロイするサブスクリプションを選択します。
   リソース グループ	rg-learn-eastus-001 を選択します。
   仮想ネットワーク名	「vnet-learn-prod-eastus-001」と入力します。
   リージョン	[(米国) 米国東部] を選択します。

3. [次へ] または [IP アドレス] タブを選択し、次のネットワーク アドレス空間を構成してから、[確認と作成] を選択します。

   

   設定	値
   IPv4 アドレス空間	10.0.0.0/16
   サブネット名	default
   サブネットのアドレス空間	10.0.0.0/24

4. 構成の検証に合格したら、[作成] を選択して仮想ネットワークをデプロイします。

5. 上記の手順を繰り返して、次の情報を含む仮想ネットワークをさらに作成します。

   設定	値
   サブスクリプション	手順 2 で選択したものと同じサブスクリプションを選択します。
   リソース グループ	rg-learn-eastus-001 を選択します。
   名前	追加の各仮想ネットワークに「vnet-learn-prod-eastus-002」と「vnet-learn-test-eastus-003」を入力します。
   リージョン	[(米国) 米国東部] を選択します。
   vnet-learn-prod-eastus-002 の IP アドレス	IPv4 アドレス空間: 10.1.0.0/16 サブネット名: 既定値 サブネット アドレス空間: 10.1.0.0/24
   vnet-learn-test-eastus-003 の IP アドレス	IPv4 アドレス空間: 10.2.0.0/16 サブネット名: 既定値 サブネット アドレス空間: 10.2.0.0/24

ネットワーク グループを作成する

Virtual Network Manager は、ネットワーク グループに仮想ネットワークを配置することで、仮想ネットワークのグループに構成を適用します。 ネットワーク グループを作成するには、次のようにします。

1. リソース グループ rg-learn-eastus-001 を参照し、Virtual Network Manager インスタンス vnm-learn-eastus-001 を選択します。

2. [設定] で [ネットワーク グループ] を選択します。 [作成] を選択します。

   

3. [ネットワーク グループを作成する] ペインで、「ng-learn-prod-eastus-001」と入力し、[作成] を選択します。

   

4. 新しいネットワーク グループが [ネットワーク グループ] ペインに表示されるようになったことを確認します。

   

接続構成のメンバーシップを定義する

ネットワーク グループを作成したら、仮想ネットワークをメンバーとして追加します。 メッシュ メンバーシップ構成の次のオプションの 1 つを選択します。

手動メンバーシップ

メンバーシップを手動で追加する

このタスクでは、メッシュ構成用の 2 つの仮想ネットワークをネットワーク グループに手動で追加します。

1. ネットワーク グループのリストから、ng-learn-prod-eastus-001 を選択します。 [ng-learn-prod-eastus-001] ペインの [メンバーを手動で追加する] で、[仮想ネットワークの追加] を選択します。

   

2. [メンバーを手動で追加する] ペインで、vnet-learn-prod-eastus-001 と vnet-learn-prod-eastus-002 を選択し、[追加] を選択します。

   

3. [ネットワーク グループ] ペインの [設定] で、[グループ メンバー] を選択します。 手動で選択したグループのメンバーシップを確認します。

   

Azure Policy

動的メンバーシップのポリシー定義を作成する

Azure Policy を使用して、仮想ネットワークの名前に prod が含まれている場合に、ネットワーク グループに 2 つの仮想ネットワークを動的に追加する条件を定義します。

1. ネットワーク グループのリストから、ng-learn-prod-eastus-001 を選択します。 [メンバーを動的に追加するポリシーの作成]で、[Azure Policy の作成] を選択します。

   

2. [Azure Policy の作成] ペインで、次の情報を選択または入力してから、[Preview Resources] (リソースのプレビュー) を選択します。

   

   設定	値
   ポリシー名	「azpol-learn-prod-eastus-001」と入力します。
   スコープ	[スコープの選択] を選択してから、現在のサブスクリプションを選択します。
   パラメーター	ドロップダウン リストから [名前] を選択します。
   [オペレーター]	ドロップダウン リストから [値を含む] を選択します。
   Condition	「-prod」と入力します。

3. [Effective Virtual Networks] (有効な仮想ネットワーク) ペインには、Azure Policy で定義した条件に基づいてネットワーク グループに追加される仮想ネットワークが表示されます。 準備ができたら、 [閉じる] を選択します。

   

4. [保存] を選択して、グループ メンバーシップをデプロイします。 ポリシーが有効になり、ネットワーク グループに追加されるまでに最大で 1 分かかることがあります。

5. [設定] の [ネットワーク グループ] ペインで、[グループ メンバー] を選択し、Azure Policy で定義した条件に基づいてグループのメンバーシップを表示します。 [送信元] に azpol-learn-prod-eastus-001 - subscriptions/subscription_id がリストされていることを確認します。

   

構成を作成する

ネットワーク グループを作成し、正しい仮想ネットワークを設定したので、メッシュ ネットワーク トポロジ構成を作成します。 <subscription_id> をサブスクリプションで置き換えます。

1. [設定] で [構成] を選択します。 [作成] を選択します。

2. ドロップダウン メニューから [接続構成] を選択して、接続構成の作成を開始します。

   

3. [基本] タブで、次の情報を入力してから、[次へ :トポロジ] を選択します。

   

   設定	値
   名前	「cc-learn-prod-eastus-001」と入力します。
   説明	(省略可能) この接続構成に関する説明を入力します。

4. [トポロジ] タブで、[メッシュ] トポロジが選択されていなければ選択し、[リージョン間のメッシュ接続を有効にする] チェックボックスはオフのままにします。 すべての仮想ネットワークが同じリージョン内にあるので、リージョン間接続はこの設定には必要ありません。 準備ができたら、[追加] > [Add network group] (ネットワーク グループの追加) を選択します。

   

5. [ネットワーク グループ] で、ng-learn-prod-eastus-001 を選択します。 [選択] を選択して、ネットワーク グループを構成に追加します。

   

6. [視覚化] タブを選択して、構成のトポロジを表示します。 このタブには、構成に追加したネットワーク グループのビジュアル表示が示されます。

   

7. [次へ: 確認および作成] > [作成] の順に選択して構成を作成します。

   

8. デプロイが完了したら、[更新] を選択します。 [構成] ペインに新しい接続構成が表示されます。

   

接続構成をデプロイする

環境に構成を適用するには、デプロイによって構成をコミットする必要があります。 仮想ネットワークがデプロイされている米国東部リージョンに構成をデプロイします。

1. [設定] で [デプロイ] を選択します。 次に、[構成のデプロイ] を選択します。

   

2. 次の設定を選択してから、[次へ] を選択します。

   

   設定	値
   構成	[目標の状態に接続構成を含める] を選択します。
   接続の構成	cc-learn-prod-eastus-001 を選択します。
   ターゲット リージョン	デプロイ リージョンとして [米国東部] を選択します。

3. [デプロイ] を選んで、デプロイを完了します。

   

4. 選択したリージョンのリストにデプロイが表示されていることを確認します。 構成のデプロイが完了するまでに、数分かかる場合があります。

   

構成のデプロイを確認する

各仮想ネットワークの [ネットワーク マネージャー] セクションを使用して、構成をデプロイしたことを確認します。

1. vnet-learn-prod-eastus-001 仮想ネットワークに移動します。

2. [設定] で [ネットワーク マネージャー] を選択します。

3. [接続構成] タブで、cc-learn-prod-eastus-001 がリストに表示されていることを確認します。

   

4. vnet-learn-prod-eastus-002 で上記の手順を繰り返します。

リソースをクリーンアップする

Azure Virtual Network Manager が不要になった場合、すべての構成、デプロイ、ネットワーク グループを削除した後で削除できます。

1. リージョンからすべての構成を削除するには、Virtual Network Manager から [構成のデプロイ] を選択します。 次の設定を選択してから、[次へ] を選択します。

   

   設定	値
   構成	[目標の状態に接続構成を含める] を選択します。
   接続の構成	[なし - 既存の接続構成を削除] を選択します。
   ターゲット リージョン	デプロイ先のリージョンとして [米国東部] を選択します。

2. [デプロイ] を選択してデプロイの削除を完了します。

3. 構成を削除するには、Virtual Network Manager の左側のペインに進みます。 [設定] で [構成] を選択します。 削除する構成の横にあるチェック ボックスをオンにし、リソース ペインの上部にある [削除] を選択します。

4. [構成を削除する] ペインで、次のオプションを選択して [削除] を選択します。

   

   設定	値
   削除オプション	[リソースとすべての依存リソースを強制的に削除する] を選択します。
   削除の確定	構成の名前を入力します。 この例では、cc-learn-prod-eastus-001 です。

5. ネットワーク グループを削除するには、Virtual Network Manager の左側のペインに進みます。 [設定] で [ネットワーク グループ] を選択します。 削除するネットワーク グループの横にあるチェック ボックスをオンにし、リソース ペインの上部にある [削除] を選択します。

6. [ネットワーク グループの削除] ペインで、次のオプションを選択して [削除] を選択します。

   

   設定	値
   削除オプション	[リソースとすべての依存リソースを強制的に削除する] を選択します。
   削除の確定	ネットワーク グループの名前を入力します。 この例では、ng-learn-prod-eastus-001 です。

7. [はい] を選択してネットワーク グループの削除を確認します。

8. すべてのネットワーク グループを削除した後、Virtual Network Manager の左側のペインに進みます。 [Overview](概要) 、 [Delete](削除) を順にクリックします。

9. [ネットワーク マネージャーの削除] ペインで、次のオプションを選択して [削除] を選択します。

   

   設定	値
   削除オプション	[リソースとすべての依存リソースを強制的に削除する] を選択します。
   削除の確定	Virtual Network Manager インスタンスの名前を入力します。 この例では、vnm-learn-eastus-001 です。

10. [はい] を選択して、削除を確認します。

11. リソース グループと仮想ネットワークを削除するには、rg-learn-eastus-001 を見つけて、[リソース グループの削除] を選択します。 テキスト ボックスに「rg-learn-eastus-001」と入力して削除を確認し、[削除] を選択します。

次のステップ

Azure Virtual Network Manager インスタンスを作成したら、セキュリティ管理者の構成を使用してネットワーク トラフィックをブロックする方法について確認します。

Azure Virtual Network Manager を使用してネットワーク トラフィックをブロックする