Azure Virtual Network Manager のネットワーク グループとは
この記事では、"ネットワーク グループ" と、管理が容易になるよう仮想ネットワークをグループ化するのにそれがどのように役立つかについて説明します。 "静的グループ メンバーシップ" と "動的グループ メンバーシップ"、およびそれぞれの種類のメンバーシップの使用方法についても説明します。
ネットワーク グループ
"ネットワーク グループ" は、任意のリージョンからの一連の仮想ネットワーク リソースを含むグローバル コンテナーです。 そして、ネットワーク グループをターゲットにするために構成が適用され、グループのすべてのメンバーに構成が適用されます。
グループのメンバーシップ
グループ メンバーシップは、1 つのグループが多数の仮想ネットワークを保持し、特定の仮想ネットワークが複数のネットワーク グループに参加できるような、多対多のリレーションシップです。 ネットワーク グループの一部として、仮想ネットワークは、グループに適用されて仮想ネットワーク リージョンにデプロイされるすべての構成を受け取ります。
仮想ネットワークは、複数の方法でネットワーク グループに参加するように設定できます。 グループ メンバーシップは "静的" メンバーシップと "動的" メンバーシップの 2 種類です。
静的メンバーシップ
静的メンバーシップを使用すると、個々の仮想ネットワークを手動で選択することで、仮想ネットワークをグループに明示的に追加できます。 仮想ネットワークの一覧は、Azure Virtual Network Manager のデプロイ時に定義されたスコープ (管理グループまたはサブスクリプション) によって決まります。 この方法は、ネットワーク グループに追加する仮想ネットワークがいくつかある場合に便利です。 静的メンバーシップを使用すると、グループに仮想ネットワークを追加または削除することで、ネットワーク グループの内容を "修正する" こともできます。
動的メンバーシップ
動的メンバーシップを使う、ユーザーが Azure Policy で定義した条件付きステートメントを仮想ネットワークが満たす場合は、大規模に複数の仮想ネットワークを柔軟に選択できます。 このメンバーシップの種類は、多数の仮想ネットワークがあるシナリオや、メンバーシップが明示的なリストではなく条件によって決定される場合に便利です。 ネットワーク グループで Azure Policy が機能するしくみについて学習してください。
メンバーシップの可視性
すべてのグループ メンバーシップは Azure Resource Graph に記録され、ユーザーの用途に使用できます。 各仮想ネットワークは、グラフ内の 1 つのエントリを受け取ります。 このエントリは、仮想ネットワークがメンバーであるすべてのグループと、静的メンバーやさまざまなポリシー リソースなど、そのメンバーシップの要因となるソースを指定します。 適用された構成を表示する方法について学習してください。
ネットワーク グループと Azure Policy
ネットワーク グループを作成するときには、仮想ネットワークのメンバーシップに加えられた変更について Azure Virtual Network Manager に通知されるように Azure ポリシーが作成されます。
Azure Virtual Network Manager 動的グループ ポリシーを作成、編集、または削除するには、次のものが必要です。
- 基になるポリシーに対する Azure ロールベースのアクセス制御の読み取りと書き込みのアクセス許可。
- ネットワーク グループに参加するためのロールベースのアクセス制御のアクセス許可 (従来の管理者認可はサポートされていません)。
Azure Virtual Network Manager の動的グループ ポリシーに必要なアクセス許可について詳しくは、「必要なアクセス許可」を確認してください。
次のステップ
- Azure portal を使用して Azure Virtual Network Manager インスタンスを作成します。
- Azure Virtual Network Manager を使用してハブ アンド スポーク トポロジを作成する方法を学習します。
- セキュリティ管理構成を使ってネットワーク トラフィックをブロックする方法を理解します
- Azure Policy の基本を確認する