従来のネットワーク エンジニアとして、インフラストラクチャを構築するためのルーター、スイッチ、ケーブル、ファイアウォールなどの物理資産を処理してきました。 論理レイヤーでは、仮想 LAN (VLAN)、スパニング ツリー プロトコル (STP)、ルーティング プロトコル (RIP、OSPF、BGP) を構成しました。 管理ツールと CLI を使用してネットワークを管理しました。 クラウドでのネットワークは、ネットワーク エンドポイントが論理的であり、ルーティング プロトコルの使用が最小限である場合は異なります。 Azure Resource Manager API、Azure CLI、PowerShell を使用して、Azure で資産を構成および管理します。 Azure ネットワークの基本的なテナントを理解することで、クラウドでネットワーク体験を開始します。
仮想ネットワーク
ネットワークを下から上に設計する場合は、いくつかの基本情報を収集します。 この情報には、ホストの数、ネットワーク デバイス、サブネットの数、サブネット間のルーティング、VLAN などの分離ドメインがあります。 この情報は、ネットワークデバイスとセキュリティデバイスのサイズ設定に役立ち、アプリケーションとサービスをサポートするアーキテクチャを作成するのに役立ちます。
Azure にアプリケーションとサービスをデプロイする予定の場合は、まず、仮想ネットワークと呼ばれる論理境界を Azure に作成します。 この仮想ネットワークは、物理ネットワーク境界と同じになります。 仮想ネットワークであるため、物理ギアは必要ありませんが、IP アドレス、IP サブネット、ルーティング、ポリシーなどの論理エンティティを計画する必要があります。
Azure で仮想ネットワークを作成すると、IP 範囲 (10.0.0.0/16) が事前に構成されます。 この範囲は固定されていません。独自の IP 範囲を定義できます。 IPv4 アドレス範囲と IPv6 アドレス範囲の両方を定義できます。 仮想ネットワークに定義されている IP 範囲は、インターネットにアドバタイズされません。 IP 範囲から複数のサブネットを作成できます。 これらのサブネットは、仮想ネットワーク インターフェイス (vNIC) に IP アドレスを割り当てるために使用されます。 各サブネットの最初の 4 つの IP アドレスは予約されており、IP 割り当てには使用できません。 パブリック クラウドには VLAN の概念はありません。 ただし、定義されたサブネットに基づいて、仮想ネットワーク内に分離を作成できます。
すべての仮想ネットワーク アドレス空間を含む 1 つの大きなサブネットを作成することも、複数のサブネットを作成することもできます。 ただし、仮想ネットワーク ゲートウェイを使用している場合、Azure では"ゲートウェイ サブネット" という名前のサブネットを作成する必要があります。 Azure では、このサブネットを使用して仮想ネットワーク ゲートウェイに IP アドレスを割り当てます。
IP 割り当て
ホストに IP アドレスを割り当てると、実際には IP をネットワーク インターフェイス カード (NIC) に割り当てます。 Azure の NIC には、次の 2 種類の IP アドレスを割り当てることができます。
- パブリック IP アドレス - インターネットおよび仮想ネットワークに接続されていない他の Azure リソースと受信および送信 (ネットワーク アドレス変換 (NAT) なし) を通信するために使用されます。 NIC へのパブリック IP アドレスの割り当てはオプションです。 パブリック IP アドレスは、Microsoft の IP アドレス空間に属します。
- プライベート IP アドレス - 仮想ネットワーク、オンプレミス ネットワーク、およびインターネット (NAT を使用) 内の通信に使用されます。 仮想ネットワークで定義した IP アドレス空間は、パブリック IP アドレス空間を構成した場合でもプライベートと見なされます。 Microsoft は、この領域をインターネットにアドバタイズしません。 少なくとも 1 つのプライベート IP アドレスを VM に割り当てる必要があります。
物理ホストまたはデバイスと同様に、リソースに IP アドレスを割り当てるには、動的または静的の 2 つの方法があります。 Azure では、既定の割り当て方法は動的であり、仮想マシン (VM) の作成時または停止した VM の起動時に IP アドレスが割り当てられます。 IP アドレスは、VM を停止または削除すると解放されます。 VM の IP アドレスが変わらないようにするため、割り当て方法を明示的に "静的" に設定できます。 この場合、IP アドレスが即座に割り当てられます。 これは、VM を削除するか、その割り当て方法を動的に変更した場合にのみ解放されます。
プライベート IP アドレスは、仮想ネットワーク内で定義したサブネットから割り当てられます。 VM の場合は、IP 割り当てのサブネットを選択します。 VM に複数の NIC が含まれている場合は、NIC ごとに異なるサブネットを選択できます。
経路選択
仮想ネットワークを作成すると、Azure によってネットワークのルーティング テーブルが作成されます。 このルーティング テーブルには、次の種類のルートが含まれています。
- システムルート
- サブネットの既定のルート
- 他の仮想ネットワークからのルート
- BGP のルート
- サービス エンドポイント ルート
- ユーザー定義ルート (UDR)
サブネットを定義せずに初めて仮想ネットワークを作成すると、Azure によってルーティング テーブルにルーティング エントリが作成されます。 これらのルートはシステム ルートと呼ばれます。 システム ルートはこの場所で定義されます。 これらのルートは変更できません。 ただし、UDR を構成することで、システム ルートをオーバーライドできます。
仮想ネットワーク内に 1 つまたは複数のサブネットを作成すると、Azure によってルーティング テーブルに既定のエントリが作成され、仮想ネットワーク内のこれらのサブネット間の通信が可能になります。 これらのルートは、Azure のユーザー定義ルート (UDR) である静的ルートを使用して変更できます。
2 つの仮想ネットワーク間に仮想ネットワーク ピアリングを作成すると、ピアリングが作成される各仮想ネットワークのアドレス空間内のアドレス範囲ごとにルートが追加されます。
オンプレミスのネットワーク ゲートウェイが、境界ゲートウェイ プロトコル (BGP) ルートを Azure 仮想ネットワーク ゲートウェイと交換する場合、オンプレミス ネットワーク ゲートウェイから伝達されるルートごとにルートが追加されます。 これらのルートは、ルーティング テーブルに BGP ルートとして表示されます。
サービスへのサービス エンドポイントを有効にすると、特定のサービスのパブリック IP アドレスが Azure によってルート テーブルに追加されます。 サービス エンドポイントは、仮想ネットワーク内の個々のサブネットに対して有効になります。 サービス エンドポイントを有効にすると、ルートは、このサービスに属するサブネットのルート テーブルにのみ追加されます。 アドレスが変更されると、Azure によってルート テーブルのアドレスが自動的に管理されます。
ユーザー定義ルートは、カスタム ルートとも呼ばれます。 Azure で UDR を作成して、Azure の既定のシステム ルートをオーバーライドするか、サブネットのルート テーブルにルートを追加します。 Azure では、ルート テーブルを作成し、ルート テーブルを仮想ネットワーク サブネットに関連付けます。
ルーティング テーブルに競合するエントリがある場合、Azure は、従来のルーターと同様に最長のプレフィックス一致に基づいて次ホップを選択します。 ただし、同じアドレス プレフィックスを持つ複数の次ホップ エントリがある場合、Azure はルートを次の順序で選択します。
- ユーザー定義ルート (UDR)
- BGP のルート
- システム経路
安全
ネットワーク セキュリティ グループを使用して、仮想ネットワーク内のリソースとの間のネットワーク トラフィックをフィルター処理できます。 Azure Firewall や他のベンダーのファイアウォールなどのネットワーク仮想アプライアンス (NVA) を使用することもできます。 サブネットからのトラフィックを Azure がルーティングする方法を制御できます。 また、仮想ネットワーク内のリソースを使用できる組織内のユーザーを制限することもできます。
ネットワーク セキュリティ グループ (NSG) には、サブネット、NIC、またはその両方へのネットワーク トラフィックを許可または拒否するアクセス制御リスト (ACL) 規則の一覧が含まれています。 NSG は、サブネットかサブネットに接続された個々の NIC に関連付けることができます。 NSG がサブネットに関連付けられている場合、ACL ルールはそのサブネット内のすべての VM に適用されます。 さらに、NSG を NIC に直接関連付けることで、個々の NIC へのトラフィックを制限できます。
NSG には受信と送信の 2 つのルール セットがあります。 ルールの優先順位は、各セット内で一意である必要があります。 各ルールには、プロトコル、発信元ポート範囲および宛先ポート範囲、アドレス プレフィックス、トラフィックの方向、優先順位、アクセスの種類というプロパティがあります。 すべての NSG に既定のルール一式が含まれています。 既定のルールは削除できませんが、最も低い優先度が割り当てられているため、作成したルールによってオーバーライドできます。
検証
仮想ネットワーク内のルート
自分で作成したルート、Azure の既定のルート、およびボーダー ゲートウェイ プロトコル (BGP) を使用して Azure VPN ゲートウェイ経由でオンプレミスのネットワークから伝達されたルート (仮想ネットワークがオンプレミスのネットワークに接続されている場合) の組み合わせは、サブネット内のすべてのネットワーク インターフェイスに対して有効なルートです。 ポータル、PowerShell、または CLI を使用して NIC に移動すると、これらの有効なルートを確認できます。 NIC の有効なルートの詳細については、 Get-AzEffectiveRouteTable を参照してください。
ネットワーク セキュリティ グループ
ネットワーク インターフェイスに適用される有効なセキュリティ規則は、ネットワーク インターフェイスに関連付けられている NSG に存在する規則と、ネットワーク インターフェイスが存在するサブネットの集計です。 ポータル、PowerShell、または CLI を使用して NIC に移動することで、VM のネットワーク インターフェイスに適用されている NSG から有効なすべてのセキュリティ規則を表示できます。
次のステップ
仮想ネットワークについて説明します。
仮想ネットワーク のルーティングについて説明します。
ネットワーク セキュリティ グループについて説明します。