Azure ネットワーク サービスの概要

Azure のネットワーク サービスにはさまざまなネットワーク機能があり、単独で使用することも組み合わせて使用することもできます。 主な機能については、次のリンクを選択してください。

  • 接続サービス: Azure リソースとオンプレミス リソースを接続するには、Azure の次のネットワーク サービスを単独で、または組み合わせて使用します - Virtual Network (VNet)、Virtual WAN、ExpressRoute、VPN Gateway、NAT Gateway、Azure DNS、Peering Service、Azure Virtual Network Manager、Route Server、Azure Bastion。
  • アプリケーション保護サービス: Azure のネットワーク サービス (Load Balancer、Private Link、DDoS 保護、ファイアウォール、ネットワーク セキュリティ グループ、Web Application Firewall、Virtual Network エンドポイント) のいずれかまたは組み合わせを使ってアプリケーションを保護します。
  • アプリケーション配信サービス: Azure ネットワークでアプリケーションを配信するには、Azure の次のネットワーク サービスを単独で、または組み合わせて使用します - Content Delivery Network (CDN)、Azure Front Door Service、Traffic Manager、Application Gateway、Internet Analyzer、Load Balancer。
  • ネットワークの監視: ネットワーク リソースを監視するには、Azure の次のネットワーク サービスを単独で、または組み合わせて使用します - Network Watcher、ExpressRoute Monitor、Azure Monitor、VNet ターミナル アクセス ポイント (TAP)。

接続サービス

このセクションでは、Azure リソース間の接続、オンプレミス ネットワークから Azure リソースへの接続、Azure でのブランチ間接続を実現するサービス (Virtual Network (VNet)、ExpressRoute、VPN Gateway、Virtual WAN、Virtual Network NAT Gateway、Azure DNS、Peering Service、Route Server、Azure Bastion) について説明します。

仮想ネットワーク

Azure Virtual Network (VNet) は、Azure 内のプライベート ネットワークの基本的な構成要素です。 VNet の用途は次のとおりです。

  • Azure リソース間の通信: 仮想ネットワークに、仮想マシンや他のいくつかの種類の Azure リソース (Azure App Service Environment、Azure Kubernetes Service (AKS)、Azure Virtual Machine Scale Sets など) をデプロイできます。 仮想ネットワークにデプロイできる Azure リソースの詳細な一覧については、仮想ネットワーク サービスの統合に関するページを参照してください。
  • 相互通信: 仮想ネットワークを相互に接続することで、どちらの仮想ネットワークのリソースも仮想ネットワーク ピアリングまたは Azure Virtual Network Manager を使用して相互に通信できるようになります。 接続する仮想ネットワークが属している Azure リージョンは、同じであっても異なっていてもかまいません。 詳細については、「仮想ネットワーク ピアリング」と「Azure Virtual Network Manager」を参照してください。
  • インターネットとの通信:VNet 内のすべてのリソースにおいて、既定でインターネットへの送信方向の通信が可能です。 リソースへの受信通信は、リソースにパブリック IP アドレスまたはパブリック ロード バランサーを割り当てることによって可能になります。 パブリック IP アドレスやパブリック ロード バランサーを使用して送信接続を管理することもできます。
  • オンプレミス ネットワークとの通信:オンプレミスのコンピューターとネットワークを仮想ネットワークに接続するには、VPN Gateway または ExpressRoute を使用します。
  • リソース間のトラフィックを暗号化する: 仮想ネットワーク暗号化を使用し、仮想ネットワーク内のリソース間でトラフィックを暗号化できます。

Azure Virtual Network Manager

Azure Virtual Network Manager は、サブスクリプション全体でグローバルに仮想ネットワークをグループ化、構成、デプロイ、管理できる管理サービスです。 Virtual Network Manager では、ネットワーク グループを定義して、仮想ネットワークを識別し、論理的に分割することができます。 次に、必要な接続セキュリティの構成を決定し、ネットワーク グループ内の選択したすべての仮想ネットワークで一度に適用します。

メッシュ仮想ネットワーク トポロジ用に Azure Virtual Network Manager を使用してデプロイされたリソースの図。

ExpressRoute

ExpressRoute を使用すると、接続プロバイダーが提供するプライベート接続経由で、オンプレミスのネットワークを Microsoft クラウドに拡張できます。 この接続はプライベート接続です。 トラフィックはインターネットを経由しません。 ExpressRoute では、Microsoft Azure、Microsoft 365、Dynamics 365 などの Microsoft クラウド サービスへの接続を確立できます。

Azure ExpressRoute

VPN Gateway

VPN Gateway は、オンプレミスの場所から仮想ネットワークへの暗号化されたクロスプレミス接続の作成や、VNet 間の暗号化された接続の作成に役立ちます。 VPN Gateway 接続では、さまざまな構成を利用できます。 主な機能の一部は次のとおりです。

  • サイト間 VPN 接続
  • ポイント対サイト VPN 接続
  • VNET 間 VPN 接続

次の図は、同じ仮想ネットワークへの複数のサイト間 VPN 接続を示しています。 その他の接続図を確認するには、「VPN Gateway の設計」を参照してください。

複数サイト間 Azure VPN Gateway 接続を示す図。

Virtual WAN

Azure Virtual WAN は、ネットワーク、セキュリティ、ルーティングのさまざまな機能をまとめて、1 つの運用インターフェイスを提供するネットワーク サービスです。 Azure VNet への接続は、仮想ネットワーク接続を使用して確立されます。 主な機能の一部は次のとおりです。

  • ブランチ接続 (SD-WAN、VPN CPE などの Azure Virtual WAN パートナー デバイスからの接続性自動化による)
  • サイト間 VPN 接続
  • リモート ユーザーの VPN 接続性 (ポイント対サイト)
  • プライベート接続性 (ExpressRoute)
  • クラウド内接続 (仮想ネットワークの推移的な接続)
  • VPN ExpressRoute の相互接続
  • プライベート接続性のルーティング、Azure Firewall、暗号化

Virtual WAN の図。

Azure DNS

Azure DNS は、Microsoft Azure インフラストラクチャを使用した DNS ホスティングと解決を提供します。 Azure DNS は、次の 3 つのサービスで構成されます。

  • Azure パブリック DNS は DNS ドメイン用のホスティング サービスです。 Azure でドメインをホストすることで、その他の Azure サービスと同じ資格情報、API、ツール、課金情報を使用して DNS レコードを管理できます。
  • Azure プライベート DNS は、仮想ネットワークのための DNS サービスとなります。 カスタムの DNS ソリューションを構成しなくても、Azure プライベート DNS によって、仮想ネットワークにおけるドメイン名の管理と解決が行われます。
  • Azure DNS Private Resolver は、VM ベースの DNS サーバーをデプロイすることなく、オンプレミス環境から Azure DNS プライベート ゾーンに対して (またはその逆方向に) クエリを実行できるサービスです。

Azure DNS を使用すると、パブリック ドメインをホスティングおよび解決し、仮想ネットワーク内の DNS 解決を管理し、Azure とオンプレミス リソースの間で名前解決を可能にすることができます。

Azure Bastion

Azure Bastion は、ブラウザーと Azure portal を使用するか、ローカル コンピューターに既にインストールされているネイティブ SSH または RDP クライアント経由で、仮想マシンに接続できるようにするデプロイ可能なサービスです。 Azure Bastion サービスは、お使いの仮想ネットワーク内で展開する、フル プラットフォーム マネージド PaaS サービスです。 これにより、TLS 経由で Azure portal から直接、仮想マシンに安全かつシームレスに RDP/SSH 接続できます。 Azure Bastion 経由で接続する場合、仮想マシンにパブリック IP アドレス、エージェント、クライアント ソフトウェアはいずれも不要です。

Azure Bastion のアーキテクチャを示す図。

NAT Gateway

Virtual Network NAT (ネットワーク アドレス変換) は、仮想ネットワーク用のアウトバウンドのみのインターネット接続を簡素化します。 これをサブネットに対して構成した場合、指定した静的パブリック IP アドレスがすべてのアウトバウンド接続で使用されます。 ロード バランサーや、仮想マシンに直接アタッチされたパブリック IP アドレスがなくても、アウトバウンド接続が可能となります。 詳細については、「Azure NAT Gateway とは」を参照してください。

Virtual Network NAT Gateway

ルート サーバー

Azure Route Server は、ネットワーク仮想アプライアンス (NVA) と仮想ネットワークの間の動的ルーティングを簡素化します。 これにより、ルート テーブルを手動で構成したり管理したりすることなく、BGP ルーティング プロトコルをサポートする NVA と Azure Virtual Network (VNet) 内の Azure ソフトウェア定義ネットワーク (SDN) 間で Border Gateway Protocol (BGP) ルーティング プロトコルを介して、ルーティング情報を直接交換することができます。

Peering Service

Azure Peering Service を使用すると、Microsoft 365、Dynamics 365、サービスとしてのソフトウェア (SaaS) サービス、Azure、パブリック インターネット経由でアクセス可能な Microsoft サービスなど、Microsoft クラウド サービスへのお客様の接続が強化されます。

アプリケーション保護サービス

このセクションでは、ネットワーク リソースの保護に役立つ Azure のネットワーク サービスについて説明します。DDoS 保護、Private Link、Firewall、Web Application Firewall、ネットワーク セキュリティ グループ、仮想ネットワーク サービス エンドポイントなど、Azure のこれらのネットワーク サービスのいずれかを使ってまたは組み合わせてアプリケーションを保護します。

DDoS Protection

Azure DDoS Protection は、きわめて巧妙な DDoS 攻撃への対抗策となります。 このサービスでは、仮想ネットワークにデプロイされたアプリケーションとリソースに対する DDoS 軽減機能が強化されています。 また、Azure DDoS Protection を利用するお客様は、能動的攻撃を受けたときに、DDoS Rapid Response サポートにアクセスして DDoS の専門家に問い合わせることができます。

Azure DDoS Protection は、次の 2 つの層で構成されます:

  • DDoS ネットワーク保護では、アプリケーションの設計に関するベスト プラクティスと組み合わせることにより、DDoS 攻撃から保護するための強化された DDoS 軽減機能が提供されます。 この機能は、仮想ネットワーク内にあるお客様固有の Azure リソースを保護するために、自動的に調整されます。
  • DDoS IP 保護は、保護された IP モデル単位の課金です。 DDoS IP 保護には、DDoS ネットワーク保護と同じコア エンジニアリング機能が含まれていますが、DDoS Rapid Response サポート、コスト保護、WAF の割引など、付加価値サービスが異なります。

DDoS で保護された PaaS Web アプリケーションの参照アーキテクチャの図。

Azure Private Link を使用すると、お使いの仮想ネットワーク内のプライベート エンドポイント経由で Azure PaaS サービス (Azure Storage、SQL Database など) と Azure でホストされている顧客所有の、またはパートナー サービスにアクセスできます。 仮想ネットワークとサービスの間のトラフィックは、Microsoft のバックボーン ネットワークを通ります。 パブリック インターネットにサービスを公開する必要はありません。 お使いの仮想ネットワークに独自のプライベート リンク サービスを作成して顧客に提供することができます。

プライベート エンドポイントの概要

Azure Firewall

Azure Firewall は、Azure 仮想ネットワーク リソースを保護する、クラウドベースのマネージド ネットワーク セキュリティ サービスです。 Azure Firewall を使用すると、アプリケーションとネットワークの接続ポリシーを、サブスクリプションと仮想ネットワークをまたいで一元的に作成、適用、記録することができます。 Azure Firewall では、外部のファイアウォールが仮想ネットワークからのトラフィックを識別できるよう、仮想ネットワーク リソースに静的パブリック IP アドレスが使用されます。

ファイアウォールの概要

Web アプリケーション ファイアウォール

Azure Web Application Firewall (WAF) は、SQL インジェクションやクロスサイト スクリプティングなどの一般的な Web エクスプロイトや脆弱性から Web アプリケーションを保護します。 Azure WAF は、管理されたルールによって OWASP Top 10 の脆弱性を標準で保護します。 また、お客様はカスタム ルールを構成することもできます。これは、ソース IP 範囲と要求の属性 (ヘッダー、Cookie、フォーム データ フィールド、クエリ文字列パラメーターなど) に基づいて保護を強化するためにお客様が管理するルールです。

お客様は、Application Gateway での Azure WAF をデプロイして、パブリックおよびプライベートのアドレス空間のエンティティをリージョン単位で保護することができます。 また、Front Door での Azure WAF をデプロイして、パブリック エンドポイントをネットワーク エッジで保護することもできます。

Web アプリケーション ファイアウォール

ネットワーク セキュリティ グループ

ネットワーク セキュリティ グループを使用して、Azure 仮想ネットワークの Azure リソース間のネットワーク トラフィックをフィルター処理できます。 詳細については、「ネットワーク セキュリティ グループ」を参照してください。

サービス エンドポイント

仮想ネットワーク (VNet) サービス エンドポイントでは、直接接続によって、仮想ネットワークのプライベート アドレス空間と VNet の ID が Azure サービスまで拡張されます。 エンドポイントを使用することで、重要な Azure サービス リソースへのアクセスを仮想ネットワークのみに限定することができます。 VNet から Azure サービスへのトラフィックは常に、Microsoft Azure のバックボーン ネットワーク上に残ります。

仮想ネットワーク サービス エンドポイント

アプリケーション配信サービス

このセクションでは、アプリケーションの配信を支援する Azure のネットワーク サービス (Content Delivery Network、Azure Front Door Service、Traffic Manager、Load Balancer、Application Gateway) について説明します。

Azure Front Door

Azure Front Door を使用すると、高可用性のために最大限のパフォーマンスと即時グローバル フェールオーバーを最適化することで、Web トラフィックのグローバル ルーティングを定義、管理、監視できます。 Front Door を使用すると、グローバル (複数リージョン) のコンシューマーや企業のアプリケーションを、Azure を使用して世界中のユーザーに発信する、堅牢で高性能なパーソナライズされた最新のアプリケーション、API、およびコンテンツに変換することができます。

Azure Front Door サービスと Web Application Firewall の図。

Traffic Manager

Azure Traffic Manager。 は、世界中の Azure リージョン間でサービスへのトラフィックを最適に配分しつつ、高可用性と応答性を実現する DNS ベースのトラフィック ロード バランサーです。 Traffic Manager では、優先順位、重み付け、パフォーマンス、地理的、複数値、サブネットなどのさまざまなトラフィック ルーティング方法で、トラフィックを分散させることができます。

次の図は、Traffic Manager によるエンドポイントの優先順位に基づいたルーティングを示しています。

Azure Traffic Manager の

Traffic Manager の詳細については、「Traffic Manager について」を参照してください。

Load Balancer

Azure Load Balancer には、すべての UDP と TCP プロトコル向けの高パフォーマンス、低待ち時間のレイヤー 4 負荷分散機能が用意されています。 受信接続と送信接続を管理します。 パブリックな負荷分散エンドポイントと内部的な負荷分散エンドポイントを構成することができます。 TCP を使用して受信接続をバックエンド プールの送信先にマッピングする規則や、サービスの可用性を管理するための HTTP の正常性プローブ オプションを定義することができます。

Azure Load Balancer は Standard、Regional、および Gateway SKU で使用できます。

次の図は、インターネットに接続する多層アプリケーションを示しています。外部ロード バランサーと内部ロード バランサーが利用されています。

Azure Load Balancer の例

Application Gateway

Azure Application Gateway は、アプリケーションに対するトラフィックを管理できる Web トラフィック ロードバランサーです。 アプリケーション デリバリー コントローラー (ADC) をサービスとして提供して、さまざまなレイヤー 7 負荷分散機能をアプリケーションで利用できるようにします。

次の図は、Application Gateway を使った URL パスベースのルーティングを示しています。

Application Gateway の例

Content Delivery Network

Azure Content Delivery Network (CDN) は、世界中の戦略的に配置された物理ノードでコンテンツをキャッシュすることで、ユーザーに高帯域幅のコンテンツを迅速に配信するためのグローバル ソリューションを開発者に提供します。

Azure CDN

ネットワーク監視サービス

このセクションでは、ネットワーク リソースの監視を支援する Azure のネットワーク サービス (Azure Network Watcher、Azure Monitor Network Insights、Azure Monitor、ExpressRoute Monitor) について説明します。

Azure Network Watcher

Azure Network Watcher は、Azure 仮想ネットワーク内のリソースの監視、診断、メトリックの表示、ログの有効化または無効化を行うツールを提供します。 詳細については、Azure Network Watcher に関する記事を参照してください。

Azure Monitor

Azure Monitor では、クラウドおよびオンプレミス環境の利用統計情報を収集、分析し、それに対応する包括的なソリューションを提供することにより、アプリケーションの可用性とパフォーマンスが最大化されます。 このツールは、ご利用のアプリケーションがどのように実行されているかを把握するのに役立ちます。さらに、このツールにより、そのアプリケーションに影響している問題点およびアプリケーションが依存しているリソースを事前に明らかにしておくことができます。 詳細については、Azure Monitor の概要に関する記事を参照してください

ExpressRoute モニター

ExpressRoute 回線のメトリック、リソース ログ、アラートを表示する方法については、「ExpressRoute の監視、メトリック、およびアラート」を参照してください。

ネットワークの分析情報

Azure Monitor for Networks (Network Insights) は、デプロイされたすべてのネットワーク リソースの正常性とメトリックの包括的なビューを構成なしで提供します。

次のステップ