仮想ネットワークに専用の Azure サービスをデプロイする

仮想ネットワークに専用の Azure サービスをデプロイすると、プライベート IP アドレスを利用してサービス リソースに非公開で通信できます。

仮想ネットワークにデプロイされたサービス

仮想ネットワーク内にサービスをデプロイすると、次のことができるようになります。

  • 仮想ネットワーク内のリソースは、プライベート IP アドレスを利用し、非公開で互いと通信できます。 たとえば、仮想ネットワーク内で、HDInsight と仮想マシンで実行されている SQL Server の間でデータを直接転送できます。
  • オンプレミスのリソースは、サイト間 VPN (VPN Gateway) または ExpressRoute とプライベート IP アドレスを利用し、仮想ネットワーク内のリソースにアクセスできます。
  • 仮想ネットワーク内のリソースがプライベート IP アドレスで互いに通信できるように仮想ネットワークをピアリングできます。
  • 仮想ネットワーク内のサービス インスタンスは通常、Azure サービスによって完全に管理されます。 リソースの正常性の監視、負荷に応じたスケーリングなどが行われます。
  • サービス インスタンスは、仮想ネットワークのサブネットにデプロイされます。 サブネットのインバウンド ネットワーク アクセスとアウトバウンド ネットワーク アクセスは、サービスで提供されるガイダンスに基づき、ネットワーク セキュリティ グループ経由で開放する必要があります。
  • また、いくつかのサービスには、デプロイ先のサブネットに関して制限が課され、ポリシーの適用、ルート、同じサブネット内の VM とサービス リソースの組み合わせに制限があります。 具体的な制限は、時間の経過と共に変わる可能性があるため、サービスごとにそれらをチェックしてください。 そのようなサービスの例として、Azure NetApp Files、Dedicated HSM、Azure Container Instances、App Service があります。
  • 場合によっては、サブネットが特定のサービスをホストできる明示的な識別子として、委任されたサブネットがサービスで必要になることがあります。 委任されたサブネットにサービス固有のリソースを作成するための明示的なアクセス許可を、サービスは委任により取得します。
  • 委任されたサブネットを含む仮想ネットワークでの REST API 応答の例を参照してください。 委任サブネット モデルを使用するサービスを網羅した一覧は、Available Delegations API で取得できます。

仮想ネットワークにデプロイできるサービス

カテゴリ サービス 専用1 サブネット
Compute 仮想マシン:Linux または Windows
仮想マシン スケール セット
クラウド サービス:仮想ネットワーク (クラシック) のみ
Azure Batch
いいえ
いいえ
いいえ
いいえ2
ネットワーク Application Gateway - WAF
VPN Gateway
ExpressRoute ゲートウェイ
Azure Firewall
Azure Bastion
ネットワーク仮想アプライアンス
はい
はい
はい
はい
はい
いいえ
Data RedisCache
Azure SQL Managed Instance
はい
はい
Analytics Azure HDInsight
Azure Databricks
いいえ2
いいえ2
ID Azure Active Directory Domain Services いいえ
Containers Azure Kubernetes Service (AKS)
Azure Container Instances (ACI)
Azure Container Service エンジンと Azure Virtual Network CNI プラグイン
Azure Functions
いいえ2
はい
いいえ
はい
Web API Management
Web Apps
App Service 環境
Azure Logic Apps
はい
はい
はい
はい
ホストされている Azure の専用 HSM
Azure NetApp Files
はい
はい
Azure Spring Apps Azure 仮想ネットワークにデプロイする (VNet インジェクション)
はい
仮想デスクトップ インフラストラクチャ Azure Lab Services
はい

1 "専用" とは、そのサブネットにデプロイできるのがサービス固有のリソースのみであり、ユーザーの VM/VMSS と一緒にデプロイすることはできないことを意味します。
2 これらのサービスは専用サブネット内に作成することをお勧めしますが、サービスによって定められた必須の要件ではありません。