この記事では、Azure Virtual Network での信頼性のサポートについて説明します。 可用性ゾーン と 複数リージョンのデプロイによるリージョン内の回復性について説明します。
信頼性は、お客様と Microsoft の間で共有される責任です。 このガイドを使用して、特定のビジネス目標とアップタイム目標を満たす信頼性オプションを決定できます。
仮想ネットワークは、クラウド内のネットワークを論理的に表現したものです。 仮想ネットワークを使用して、独自のプライベート IP アドレス空間を定義し、ネットワークをサブネットにセグメント化できます。 仮想ネットワークは、Azure Virtual Machines やロード バランサーなどのコンピューティング リソースをホストするための信頼境界として機能します。 仮想ネットワークを使用すると、ホストするリソース間のプライベート IP 通信を直接行うことができます。 ハイブリッド クラウド シナリオを有効にし、データセンターを Azure に安全に拡張するには、Azure VPN Gateway または Azure ExpressRoute を介して仮想ネットワークをオンプレミス ネットワークにリンクします。
運用環境のデプロイに関する推奨事項
Azure で仮想ネットワークを構築するときは、次のユニバーサル 設計原則に留意して、ソリューションの信頼性を向上することが重要です。
アドレス空間が重複しないようにします。 クラスレス Inter-Domain ルーティング (CIDR) ブロックとして定義されている仮想ネットワーク アドレス空間が、組織の他のネットワーク範囲と重複していないことを確認します。
将来の成長のためにアドレス空間を予約します。 サブネットは、仮想ネットワークのアドレス空間全体を対象としてはなりません。 事前に計画し、将来に備えてアドレス空間の一部を予約します。
ネットワークを統合します。 管理オーバーヘッドを削減するには、複数の小さな仮想ネットワークではなく、いくつかの大規模な仮想ネットワークを使用します。
ネットワークをセキュリティで保護します。 ネットワーク セキュリティ グループ (NSG) をその下のサブネットに割り当てることで、仮想ネットワークをセキュリティで保護します。
信頼性の原則を念頭に置いて Azure 仮想ネットワークを設計する方法の詳細については、「 仮想ネットワークのアーキテクチャのベスト プラクティス」を参照してください。
信頼性アーキテクチャの概要
仮想ネットワークは、Azure のいくつかのコア ネットワーク コンポーネントの 1 つです。 仮想ネットワークを作成するときは、ネットワーク構成をまとめて定義するリソースのセットを作成します。 これらのリソースには、次のネットワーク コンポーネントが含まれます。
ネットワークの一部間の通信を制限する NSG とアプリケーション セキュリティ グループ
トラフィックフローを制御するユーザー定義ルート
ネットワーク内でトラフィックを分散するロード バランサー
インターネットとの間の接続を提供するパブリック IP アドレス
Azure 仮想マシン (VM) へのネットワーク接続を提供するネットワーク インターフェイス カード
Azure サービスと仮想ネットワークの外部のリソースへのプライベート接続を提供するプライベート エンドポイント
ExpressRoute ゲートウェイ、VPN ゲートウェイ、ファイアウォールなどの アプライアンスをデプロイすることもできます。 アプライアンスは、オンプレミス環境への接続やトラフィック フローに対する高度な制御の提供など、ネットワーク要件をサポートするサービスを提供します。
最後に、アプリケーションやデータベースを実行する VM や、仮想ネットワーク統合を提供する他の Azure サービスなど、独自のコンポーネントをデプロイします。
Von Bedeutung
このガイドでは、ネットワーク アーキテクチャの 1 つのコンポーネントである Azure 仮想ネットワークに焦点を当てます。
信頼性の観点から、ソリューション内の各コンポーネントを個別に検討し、それらがどのように連携するかを検討することが重要です。 多くのコア Azure ネットワーク サービスは、既定で高い回復性を提供します。 ただし、他のネットワーク アプライアンス、VM、およびその他のコンポーネントが信頼性のニーズをどのようにサポートできるかを考慮する必要がある場合があります。 サービスが信頼性をサポートする方法の詳細については、 Azure サービスの信頼性ガイドを参照してください。
Azure でのネットワークの詳細については、「 ネットワーク アーキテクチャの設計」を参照してください。
一時的な障害
一時的な障害は、コンポーネントにおける短い断続的な障害です。 これらはクラウドのような分散環境で頻繁に発生し、運用の通常の範囲であり、 一時的な障害は、短時間の経過後に自分自身を修正します。 アプリケーションが、通常は影響を受ける要求を再試行することにより、一時的な障害を処理することが重要です。
クラウドでホストされるすべてのアプリケーションは、クラウドでホストされている API、データベース、およびその他のコンポーネントと通信する際に、Azure の一時的な障害処理のガイダンスに従う必要があります。 詳細については、「一時的な障害を処理するための推奨事項」を参照してください。
一時的な障害は、通常、仮想ネットワークには影響しません。 ただし、一時的な障害は、仮想ネットワーク内にデプロイされたリソースに影響する可能性があります。 一時的な障害処理の動作を理解するために使用する 各リソースの信頼性ガイド を確認します。
可用性ゾーンのサポート
可用性ゾーン は、各 Azure リージョン内のデータセンターの物理的に分離されたグループです。 1 つのゾーンで障害が発生した際には、サービスを残りのゾーンのいずれかにフェールオーバーできます。
仮想ネットワークとそのサブネットは、デプロイされているリージョン内のすべての可用性ゾーンにまたがっています。 このサポートを有効にするために何も構成する必要はありません。
ゾーン リソースに対応するために、仮想ネットワークまたはサブネットを可用性ゾーンで分割する必要はありません。 たとえば、ゾーン VM を構成する場合、VM の可用性ゾーンを選択するときに仮想ネットワークを考慮する必要はありません。 他のゾーン リソースについても同様です。
リージョンのサポート
ゾーン冗長仮想ネットワークは、 可用性ゾーンをサポートする任意のリージョンにデプロイできます。
費用
Azure 仮想ネットワークのゾーン冗長に対する追加コストは発生しません。
可用性ゾーンのサポートを設定する
ゾーン冗長は、可用性ゾーンをサポートするリージョンに仮想ネットワークがデプロイされるときに自動的に構成されます。
ゾーンダウン エクスペリエンス
Azure 仮想ネットワークは、ゾーンの障害に対する回復性を備えて設計されています。 ゾーンが使用できなくなった場合、Virtual Network は仮想ネットワーク要求を残りのゾーンに自動的に再ルーティングします。 このプロセスはシームレスであり、ユーザーの操作は必要ありません。
ただし、可用性ゾーンの喪失中に各リソースの動作セットが異なる可能性があるため、仮想ネットワーク内のリソースは個別に考慮する必要があります。 可用性ゾーンのサポートと、ゾーンが使用できない場合の動作を理解するために使用する 各リソースの信頼性ガイド を確認します。
フェールバック
ゾーンが復旧すると、Microsoft はフェールバック プロセスを開始して、回復されたゾーンで仮想ネットワークが引き続き動作するようにします。 フェールバック プロセスは自動であり、ユーザーによる操作は必要ありません。
ただし、仮想ネットワーク内にデプロイするすべてのリソースのフェールバック動作を確認する必要があります。 詳細については、 各リソースの信頼性ガイドを参照してください。
ゾーン障害を検出するためのテスト
Virtual Network プラットフォームは、可用性ゾーン間の仮想ネットワークのトラフィック ルーティング、フェールオーバー、フェールバックを管理します。 この機能はフル マネージドであるため、可用性ゾーンの障害プロセスを検証する必要はありません。
マルチリージョン サポート
Virtual Network は、単一リージョンのサービスです。 リージョンが使用できなくなった場合、仮想ネットワークも使用できなくなります。
代替のマルチリージョン アプローチ
複数のリージョンに仮想ネットワークを作成できます。 これらのネットワークを ピアリング して接続することもできます。
複数のリージョンに仮想ネットワークやその他のリソースを作成することで、リージョンの停止に対する回復性を確保できます。 ただし、次の要因を考慮する必要があります。
トラフィック ルーティング: 仮想ネットワークでインターネットに接続するサービスをホストする場合は、受信トラフィックをリージョンとコンポーネント間でルーティングする方法を決定する必要があります。 Azure Traffic Manager や Azure Front Door などのサービスを使用すると、指定したルールに基づいてインターネット トラフィックをルーティングできます。
フェールオーバー: Azure リージョンが使用できない場合は、通常、正常なリージョンでトラフィックを処理してフェールオーバーする必要があります。 Traffic Manager と Azure Front Door は、インターネット アプリケーションのフェールオーバー機能を提供します。
管理: 各仮想ネットワークは個別のリソースであり、他の仮想ネットワークとは別に構成および管理する必要があります。
IP アドレス空間: 複数の仮想ネットワークを作成するときに IP アドレスを割り当てる方法を決定します。 異なるリージョンで同じプライベート IP アドレス空間を使用して、複数の仮想ネットワークを作成できます。 ただし、ルーティングの問題が発生するため、同じアドレス空間を持つ 2 つの仮想ネットワークをオンプレミス ネットワークにピアリングしたり、接続したりすることはできません。 マルチネットワーク設計を作成する場合は、IP アドレスの計画が重要な考慮事項です。
仮想ネットワークでは、多くのリソースを実行する必要はありません。 Azure API を呼び出して、同じアドレス空間を持つ仮想ネットワークを別のリージョンに作成できます。 ただし、影響を受けるリージョンに存在する環境と同様の環境を再作成するには、VM とその他のリソースを再デプロイする必要があります。 ハイブリッド展開などのオンプレミス接続がある場合は、新しい VPN Gateway インスタンスをデプロイし、オンプレミス ネットワークに接続する必要があります。
Web アプリケーションのマルチリージョン ネットワーク アーキテクチャの詳細については、「 Traffic Manager、Azure Firewall、Azure Application Gateway を使用した複数リージョンの負荷分散」を参照してください。
バックアップ
Azure 仮想ネットワークには、バックアップが必要なデータは格納されません。 ただし、仮想ネットワークを再作成する必要がある場合は、Bicep、Azure Resource Manager テンプレート、または Terraform を使用して、仮想ネットワークの構成のスナップショットを取得できます。 詳細については、「 Azure 仮想ネットワークの作成」を参照してください。
サービス水準合意書
提供されるサービスの性質上、仮想ネットワークに対して定義されたサービス レベル アグリーメントはありません。