Azure Virtual Network Manager の一般的なユース ケース

仮想ネットワークの接続の管理や、ネットワーク トラフィックのセキュリティ保護など、Azure Virtual Network Manager のユース ケースについて説明します。

重要

Azure Virtual Network Manager は、Virtual Network Manager とハブ アンド スポークの接続構成で一般提供されています。 メッシュ接続の構成は、パブリック プレビューのままです。

セキュリティ管理者ルールを使用したセキュリティ構成は、次のリージョンで一般提供されています。

• 英国南部
• 米国東部
• 東日本
• 北ヨーロッパ
• 東アジア
• オーストラリア東部
• 米国中西部

他のすべてのリージョンでは、パブリック プレビューのままです。

このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。

このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳細については、Microsoft Azure プレビューの追加の使用条件を参照してください。

トポロジと接続の作成

接続構成を使用すると、ネットワークのニーズに応じてさまざまなネットワーク トポロジを作成できます。 接続構成を作成するには、新規または既存の仮想ネットワークをネットワーク グループに追加し、ニーズに合ったトポロジを作成します。 接続構成には、メッシュ、ハブ アンド スポーク、およびスポーク仮想ネットワーク間が直接接続されているハブ アンド スポークの、3 つのトポロジ オプションがあります。

メッシュ トポロジ (プレビュー)

メッシュ型トポロジをデプロイすると、すべての仮想ネットワークが相互に直接接続されます。 通信するためにネットワーク上の他のホップを経由する必要がありません。 メッシュ型トポロジは、すべての仮想ネットワークを互いに直接通信させる必要がある場合に有効です。

ハブとスポークのトポロジ

スポーク仮想ネットワークで共有されているハブ仮想ネットワークに中央インフラストラクチャ サービスをデプロイする場合は、ハブ アンド スポークのトポロジをお勧めします。 このトポロジは、これらの共通コンポーネントをすべてのスポーク仮想ネットワークに配置するよりも効率的な場合があります。

直接接続を使用したハブ アンド スポークのトポロジ

このトポロジは、上記の 2 つのトポロジを組み合わせたものです。 ハブに共通の中央インフラストラクチャがあり、すべてのスポーク間で直接通信を行いたい場合に推奨されます。 直接接続使用すると、ハブを経由するときの余分なネットワーク ホップによって発生する待機時間を短縮できます。

仮想ネットワーク トポロジの維持

AVNM では、インフラストラクチャに変更が加えられた場合、接続構成で定義した望ましいトポロジが自動的に維持されます。 たとえば、トポロジに新しいスポークを追加した場合、スポークとその仮想ネットワークへの接続を作成するために必要な変更は AVNM で処理することができます。

セキュリティ

Azure Virtual Network Manager では、セキュリティ管理規則を作成することで、組織内の仮想ネットワーク全体にセキュリティ ポリシーを適用します。 セキュリティ管理規則は、ネットワーク セキュリティ グループで定義された規則よりも優先され、次の図に示すように、トラフィックを分析する際には最初に適用されます。

一般的な使用例をいくつか示します。

• すべての既存の VNet と新しく作成した VNet に適用して実施する必要がある標準ルールを作成します。
• 変更できないセキュリティ規則を作成し、会社または組織レベルの規則を適用します。
• ユーザーが危険度の高いポートを開かないよう、セキュリティ保護を実施します。
• 管理者が NSG の構成ミスや導入忘れによるセキュリティ上の脅威を防止できるよう、企業または組織内の全員に既定の規則を設定します。
• 管理者がセキュリティ管理規則を使ってセキュリティ境界を作成し、NSG が会社のポリシーに違反しないよう、仮想ネットワークの所有者が NSG を設定できるようにします。
• 重要なサービスとの間のトラフィックを強制的に許可し、他のユーザーが必要なトラフィック (サービスの監視やプログラムの更新など) を誤ってブロックしないようにします。

ユース ケースの概要については、Azure Virtual Network Manager による仮想ネットワークの保護 - Microsoft Tech Community に関するページを参照してください。

次のステップ

• Azure portal を使用して Azure Virtual Network Manager インスタンスを作成します。
• Terraform を使用して Azure Virtual Network Manager インスタンスをデプロイします。
• Azure Virtual Network Manager のネットワーク グループについて詳しく学習します。
• 接続構成でできることについて学習します。
• セキュリティ管理者の構成の詳細について学習します。