この記事では、ネットワーク グループを Azure Virtual Network Manager (AVNM) のセキュリティ管理者ルールと併せて使用する方法について説明します。 ネットワーク グループを使用することで、環境、リージョン、サービスの種類など、共通の属性を持つ仮想ネットワークとサブネットの論理グループを作成できます。 さらに、セキュリティ管理者ルールの同期元または同期先としてネットワーク グループを指定して、グループ化されたネットワーク リソース間でトラフィックを適用できます。 この機能により、個々のクラスレス ドメイン間ルーティング (CIDR) 範囲またはリソース ID を手作業で指定する手順が不要になるため、ワークロードと環境全体のトラフィックをセキュリティで保護するプロセスを効率化できます。
重要
Azure Virtual Network Manager でソースと宛先としてネットワーク グループを使用するセキュリティ管理者規則の作成は、パブリック プレビュー段階です。 パブリック プレビューは、Microsoft Azure プレビューの使用条件に関する補足に同意することを条件として利用できます。 一部の機能はサポート対象ではなく、機能が制限されることがあります。 このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。
セキュリティ管理者ルールと併せてネットワーク グループを使用するのはなぜですか。
セキュリティ管理者ルールと併せてネットワーク グループを使用すると、セキュリティ管理者ルールのトラフィックの同期元と同期先を定義できます。 この機能は、ネットワーク グループの CIDR 範囲を仮想ネットワーク マネージャー インスタンスに集約することで、ワークロードと環境全体のトラフィックをセキュリティで保護するプロセスを効率化します。 仮想ネットワーク マネージャーへの集約では、個々の CIDR 範囲またはリソース ID を指定する手動の手順が不要になります。
たとえば、2 つの別個のネットワーク グループで表される運用環境と非運用環境の間では、トラフィックが拒否されるようにする必要があります。 [拒否] のアクションの種類のセキュリティ管理者ルールを作成します。 規則コレクションのターゲットとして 1 つのネットワーク グループを指定すると、これらの仮想ネットワークは構成済みの規則を受け取ります。 次に、拒否するトラフィックの方向を選択し、対応する送信元/送信先として他のネットワーク グループを使用します。 個々の CIDR 範囲やリソース ID を指定する必要はなく、グループ化されたネットワーク リソース間のトラフィックを適用できます。
ネットワーク グループを使用してセキュリティ管理者ルールをデプロイするにはどうすればよいですか。
Azure portal でネットワーク グループを使用してセキュリティ管理規則をデプロイできます。 セキュリティ管理規則を作成するには、セキュリティ管理構成を作成し、ネットワーク グループをソース/宛先として使用するセキュリティ管理規則を追加します。 これは、構成のネットワーク グループのアドレス空間の集計オプション設定に対して [手動] を使用するように選択することで行われます。 選択されると、仮想ネットワーク マネージャー インスタンスで、構成のセキュリティ管理規則のソース/宛先として参照されるネットワーク グループの CIDR 範囲が集計されます。
最後に、セキュリティ管理構成をデプロイします。規則がネットワーク グループ リソースに適用されます。 "手動" 集計オプションを使用すると、ネットワーク グループ内の CIDR 範囲は、セキュリティ管理構成をデプロイする場合にのみ集計されます。 これにより、スケジュールに従って CIDR 範囲をコミットできます。
ネットワーク グループ内のリソースを変更した場合や、ネットワーク グループの CIDR 範囲が変わった場合は、変更後にセキュリティ構成を再デプロイする必要があります。 デプロイ後、新しい CIDR 範囲は、ネットワーク全体にわたってすべての新規および既存のネットワーク グループ リソースに適用されます。
サポートされているリージョン
パブリック プレビュー期間中、セキュリティ管理規則を持つネットワーク グループは、Azure Virtual Network Manager が利用可能なすべてのリージョンでサポートされます。
セキュリティ管理者ルールと併せてネットワーク グループを使用する際の制限事項
セキュリティ管理者ルールと併せてネットワーク グループを使用する場合は、次の制限が適用されます。
ネットワーク グループ内の CIDR の手動での集約のみがサポートされます。 ルール内の CIDR 範囲は、お客様のコミットによってのみ変更されます。 つまり、規則内の CIDR 範囲は、お客様がコミットするまで変更されません。
セキュリティ管理者ルールで参照されている任意の 1 つのネットワーク グループで、100 個のネットワーク リソース (仮想ネットワークまたはサブネット) がサポートされます。
ネットワーク グループ メンバーの CIDR 範囲は、Ipv4 CIDR または Ipv6 CIDR のいずれかになりますが、同じグループ内のこれら両方にすることはできません。 Ipv4 と Ipv6 の範囲が同じグループにあると、仮想ネットワーク マネージャーは IPv4 範囲のみを使用します。
ロールベースのアクセス制御の所有権は、
Microsoft.Network/networkManagers/securityAdminConfigurations/rulecollections/rules/writeアクセス許可からのみ推論されます。ネットワーク グループのメンバーの種類は同じである必要があります。 仮想ネットワークとサブネットはサポートされていますが、別個のネットワーク グループに含める必要があります。
セキュリティ管理者ルールで同期元または同期先として使用されるネットワーク グループの強制削除は、現在サポートされていません。 使用するとエラーが発生します。