Azure Virtual Network Manager に関する FAQ
全般
重要
Azure Virtual Network Manager は、Virtual Network Manager、ハブアンドスポーク接続構成、およびセキュリティ管理規則を使用したセキュリティ構成に関して一般提供されています。 メッシュ接続の構成は、パブリック プレビューのままです。
このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。
どの Azure リージョンで Azure Virtual Network Manager がサポートされていますか?
現在のリージョンのサポートについては、「リージョン別の利用可能な製品」を参照してください。
Note
フランス中部を除く、Availability Zones を持つすべてのリージョン。
Azure Virtual Network Manager を使用する場合の一般的なユース ケースにはどのようなものがありますか?
お使いの環境とその機能の要件を満たすために、さまざまなネットワーク グループを作成できます。 たとえば、運用環境とテスト環境のネットワーク グループを作成して、その接続とセキュリティ規則を大規模に管理できます。 セキュリティ規則については、それぞれ運用ネットワーク グループとテスト ネットワーク グループを対象とする 2 つのセキュリティ管理者規則コレクションを含むセキュリティ管理者構成を作成します。 デプロイされると、この構成により、運用環境のネットワーク リソースに対して 1 つのセキュリティ規則のセットが適用され、1 つのセットがテスト環境に適用されます。
接続構成を適用して、組織のサブスクリプション全体で多数の仮想ネットワークのメッシュまたはハブおよびスポーク ネットワーク トポロジを作成できます。
リスクの高いトラフィックを拒否できる: 企業の管理者は、トラフィックを通常許可する NSG ルールをオーバーライドする特定のプロトコルまたはソースをブロックできます。
常にトラフィックを許可する: トラフィックを拒否するように構成された NSG ルールがある場合でも、特定のセキュリティ スキャナーが、すべてのリソースへの受信接続を常に保持できるようにする必要があります。
Azure Virtual Network Manager を使用する場合のコストはどのくらいですか?
Azure Virtual Network Manager の料金は、アクティブなネットワーク マネージャー構成がデプロイされた仮想ネットワークを含むサブスクリプション数に基づいています。 また、仮想ネットワーク ピアリングの料金は、デプロイされた接続構成 (メッシュまたはハブ アンド スポークのいずれか) で管理される仮想ネットワークのトラフィック量に適用されます。
お住まいの地域の現在の価格は、[Azure Virtual Network Manager の価格] ページで確認できます。
技術
仮想ネットワークが複数の Azure Virtual Network Manager に属することはできますか?
はい。仮想ネットワークは複数の Azure Virtual Network Manager に属することができます。
グローバル メッシュ ネットワーク トポロジとは何ですか?
グローバル メッシュを使用すると、異なるリージョン間の仮想ネットワークが相互に通信できます。 その効果は、グローバル仮想ネットワーク ピアリングの動作に似ています。
作成できるネットワーク グループの数に制限はありますか?
作成できるネットワーク グループの数に制限はありません。
適用されているすべての構成のデプロイを削除するにはどうすればよいですか?
構成が適用されているすべてのリージョンに None 構成をデプロイする必要があります。
自分で管理していない別のサブスクリプションから仮想ネットワークを追加できますか?
はい。それらの仮想ネットワークにアクセスするための適切なアクセス許可が必要です。
動的グループ メンバーシップとは何ですか?
詳細については、動的メンバーシップに関するページを参照してください。
動的メンバーシップと静的メンバーシップでは、構成のデプロイがどのように異なりますか?
詳細については、メンバーシップの種類に対するデプロイに関するページを参照してください。
Azure Virtual Network Manager コンポーネントを削除するにはどうすればよいですか?
詳細については、コンポーネント チェックリストの削除に関するページを参照してください。
Azure Virtual Network Manager には顧客データが格納されますか?
不正解です。 Azure Virtual Network Manager には、顧客データは格納されません。
Azure Virtual Network Manager インスタンスを移動できますか?
不正解です。 リソースの移動は現在サポートされていません。 移動する必要がある場合は、既存の 仮想ネットワーク マネージャー インスタンスを削除し、ARM テンプレートを使用して別の場所に別の AVNM インスタンスを作成することを検討することができます。
トラブルシューティングのために適用済みの構成を確認するにはどうすればよいですか?
仮想ネットワークの [Network Manager] で、Azure Virtual Network Manager の設定を表示できます。 適用されている接続とセキュリティ管理者の両方の構成を確認できます。 詳細については、適用済みの構成の表示に関するページを参照してください。
仮想ネットワーク マネージャー インスタンスのあるリージョンで、すべてのゾーンがダウンするとどうなりますか?
地域的な停電が発生した場合、現在管理されている仮想ネットワーク リソースに適用されているすべての構成はそのまま維持されます。 停電中は、新しい構成を作成することも、既存の構成を変更することもできません。 停電が解消されれば、仮想ネットワーク リソースの管理は以前と同じように継続できます。
Azure Virtual Network Manager によって管理される仮想ネットワークは、管理対象外の仮想ネットワークとピアリングできますか?
はい、Azure Virtual Network Manager は、ピアリングを使用した既存のハブ アンド スポーク トポロジのデプロイと完全に互換性があります。 つまり、スポークとハブの間の既存のピア接続を削除する必要はありません。 移行は、お客様のネットワークにダウンタイムが生じることなく行われます。
既存のハブ アンド スポーク トポロジを Azure Virtual Network Manager に移行できますか?
はい。既存の VNet は AVNM のハブ アンド スポーク トポロジに簡単に移行でき、ダウンタイムは必要ありません。 お客様は目的のトポロジのハブ アンド スポーク トポロジ接続構成を作成できます。 この構成がデプロイされると、必要なピアリングが仮想ネットワーク マネージャーによって自動的に作成されます。 ユーザーが設定した既存のピアリングはそのまま残り、ダウンタイムは発生しません。
仮想ネットワーク間の接続の確立に関して、接続グループは仮想ネットワーク ピアリングとどのような違いがありますか?
Azure では、仮想ネットワーク (VNet) 間の接続を確立する方法として、仮想ネットワーク ピアリングと接続グループの 2 つがあります。 仮想ネットワーク ピアリングは、ピアリングされた各仮想ネットワークの間に 1 対 1 のマッピングを作成することで機能しますが、接続グループは、そのようなマッピングなしで接続を確立する新しい構造を使います。 接続グループでは、すべての仮想ネットワークが個々のピアリング関係なしで接続されています。 たとえば、VNetA、VNetB、VNetC が同じ接続グループに属している場合、個々のピアリング関係を必要とせずに、各仮想ネットワーク間を接続できます。
セキュリティ管理規則に例外を作成できますか?
通常、セキュリティ管理規則は、仮想ネットワーク間のトラフィックをブロックするために定義されます。 ただし、特定の仮想ネットワークとそのリソースでは、管理またはその他のプロセスのためにトラフィックを許可する必要がある場合があります。 このようなシナリオでは、必要に応じて例外を作成することができます。 これらのタイプのシナリオで、例外を使用して、リスクの高いポートをブロックする方法について説明します。
リージョンに複数のセキュリティ管理者構成をデプロイするにはどうすればよいですか?
1 つのリージョンにデプロイできるセキュリティ管理者構成は 1 つだけです。 ただし、1 つのリージョンに複数の接続構成が存在する可能性があります。 リージョンに複数のセキュリティ管理者構成をデプロイするには、代わりにセキュリティ構成に複数の規則コレクションを作成できます。
セキュリティ管理規則は Azure プライベート エンドポイントに適用されますか?
現在、セキュリティ管理規則は、Azure Virtual Network Manager で管理される仮想ネットワークの範囲内にある Azure プライベート エンドポイントには適用されません。
アウトバウンド規則
| Port | プロトコル | ソース | Destination (公開先) | アクション |
|---|---|---|---|---|
| 443、12000 | TCP | VirtualNetwork | AzureCloud | 許可 |
| Any | Any | VirtualNetwork | VirtualNetwork | 許可 |
Azure Virtual WAN ハブをネットワーク グループに含めることはできますか?
いいえ。現時点では、Azure Virtual WAN ハブをネットワーク グループに含めることはできません。
Azure Virtual WAN を仮想ネットワーク マネージャーのハブ アンド スポーク トポロジ構成でハブとして使用できますか?
いいえ。現時点では、Azure Virtual WAN ハブはハブ アンド スポーク トポロジのハブとして使用することはできません。
期待した構成が Virtual Network に取得されていません。 どのようにトラブルシューティングすればよいですか。
仮想ネットワークのリージョンに構成をデプロイしましたか?
Azure Virtual Network Manager の構成は、デプロイされるまで有効になりません。 適切な構成で、仮想ネットワーク リージョンへのデプロイを行ってください。
仮想ネットワークはスコープ内にありますか?
ネットワーク マネージャーには、スコープ内の仮想ネットワークに構成を適用するのに必要なアクセスしか委任されません。 リソースがネットワーク グループ内にあってもスコープ外の場合、構成は受け取られません。
Azure SQL Managed Instances を含む仮想ネットワークにセキュリティ規則を適用していますか?
Azure SQL Managed Instance には、いくつかのネットワーク要件があります。 これらは、セキュリティ管理規則と競合する目的を持つ、優先度の高いネットワーク インテント ポリシーを通じて適用されます。 既定では、これらのインテント ポリシーのいずれかを含む VNet では、管理ルールの適用がスキップされます。 [Allow] 規則は競合のリスクがないため、[Allow Only] 規則を適用することもできます。 Allow ルールのみを使用する場合は、securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices で AllowRulesOnly を設定できます。
セキュリティ構成規則をブロックしているサービスを含む仮想ネットワークまたはサブネットに、セキュリティ規則を適用していますか?
Azure SQL Managed Instance、Azure Databricks、Azure Application Gateway などの特定のサービスでは、適切に機能するために特定のネットワーク要件が必要です。 既定では、これらのサービスを含む VNet とサブネットでは、セキュリティ管理規則の適用はスキップされます。 "許可" 規則には競合のリスクがないため、securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET クラスでセキュリティ構成の AllowRulesOnly フィールドを設定することにより、"のみを許可" 規則を適用できます。
制限
Azure Virtual Network Manager のサービス制限とは何ですか?
最新の制限事項については、「Azure Virtual Network Manager の制限事項」を参照してください。
次のステップ
Azure portal を使用して Azure Virtual Network Manager インスタンスを作成します。