仮想ネットワークを計画する

  • [アーティクル]

実験的に仮想ネットワークを作成することは簡単ですが、おそらく、組織の運用ニーズに対応するために、時間の経過とともに複数の仮想ネットワークをデプロイすることになります。 ある程度の計画を立てることで、より効率的に仮想ネットワークをデプロイし、必要なリソースを接続することができます。 この記事の情報は、既に仮想ネットワークに精通し、それらの使用経験がある場合に最も役に立ちます。 仮想ネットワークに慣れていない場合は、仮想ネットワークの概要に関する記事を読むことをお勧めします。

名前を付ける

Azure のすべてのリソースには名前があります。 名前はスコープ内で一意でなければならず、スコープはリソースの種類によって異なる場合があります。 たとえば、仮想ネットワークの名前は、リソース グループ内では一意である必要がありますが、サブスクリプション内または Azure リージョン内では重複していてもかまいません。 リソースの名前を付けるときに一貫して使用できる名前付け規則を定義することは、複数のネットワーク リソースの管理が長期間に及ぶときは有効なことです。 推奨事項については、「名前付け規則」を参照してください。

リージョン

すべての Azure リソースは、Azure リージョンと Azure サブスクリプションの内部に作成されます。 リソースを作成できるのは、リソースと同じリージョンおよびサブスクリプションに存在する仮想ネットワーク内だけです。 ただし、異なるサブスクリプションおよびリージョンに存在する仮想ネットワークに接続することはできます。 詳しくは、「接続」をご覧ください。 リソースをデプロイするリージョンを決めるときは、リソースの使用者の物理的な居場所を考慮します。

  • リソースの使用者は、通常、リソースに対するネットワーク待機時間が最短になることを望みます。 特定の場所と Azure リージョンの間の相対的な待機時間を確認する方法については、相対待機時間の確認に関するページをご覧ください。
  • データの保存場所、管轄、コンプライアンス、回復性に関する要件はありますか? ある場合は、要件に合ったリージョンを選ぶことが大事です。 詳しくは、「Azure の地域」をご覧ください。
  • デプロイするリソースに対して同じ Azure リージョン内にある Azure の可用性ゾーン全体での回復性は必要ですか? 同じ仮想ネットワーク内の複数の異なる可用性ゾーンに、仮想マシン (VM) などのリソースをデプロイできます。 ただし、可用性ゾーンをサポートしていない Azure リージョンもあります。 可用性ゾーンとそれをサポートするリージョンについて詳しくは、可用性ゾーンに関するページをご覧ください。

サブスクリプション

制限の範囲内であれば、各サブスクリプション内に必要なだけいくつでも仮想ネットワークをデプロイできます。 たとえば、部門ごとに異なるサブスクリプションを使用している組織もあります。 サブスクリプションに関する詳細と考慮事項については、サブスクリプションのガバナンスに関するページをご覧ください。

セグメント化

サブスクリプションごとおよびリージョンごとに、複数の仮想ネットワークを作成できます。 各仮想ネットワーク内には複数のサブネットを作成することができます。 必要な仮想ネットワークとサブネットの数を決めるときは、以下のことを考慮すると役に立ちます。

仮想ネットワーク

仮想ネットワークは、仮想的で分離された、Azure のパブリック ネットワークの一部です。 各仮想ネットワークは、特定のサブスクリプション専用です。 サブスクリプションに作成する仮想ネットワークが 1 つでよいか、または複数必要かを決めるときは、次のことを考慮します。

  • 組織にはトラフィックを異なる仮想ネットワークに分離するセキュリティ要件がありますか? 仮想ネットワークを接続するかどうかを選択できます。 仮想ネットワークを接続する場合は、ファイアウォールなどのネットワーク仮想アプライアンスを実装して、仮想ネットワーク間のトラフィックのフローを制御できます。 詳しくは、「セキュリティ」および「接続」をご覧ください。
  • 組織には、仮想ネットワークを異なるサブスクリプションまたはリージョンに分離する要件がありますか?
  • ネットワーク インターフェイスを介して、VM と他のリソースの通信ができます。 各ネットワーク インターフェイスには、1 つ以上のプライベート IP アドレスが割り当てられています。 仮想ネットワークでは、ネットワーク インターフェイスとプライベート IP アドレスがいくつ必要ですか? 1 つの仮想ネットワークに設定できるネットワーク インターフェイスとプライベート IP アドレスの数には制限があります。
  • 仮想ネットワークを別の仮想ネットワークまたはオンプレミス ネットワークに接続しますか? 仮想ネットワークを相互に、またはオンプレミスのネットワークに接続することはできますが、それ以外には接続できません。 詳しくは、「接続」をご覧ください。 別の仮想ネットワークまたはオンプレミスのネットワークに接続する各仮想ネットワークは、一意のアドレス空間を持っている必要があります。 各仮想ネットワークのアドレス空間には、1 つまたは複数のパブリック アドレス範囲またはプライベート アドレス範囲が割り当てられます。 アドレス範囲は、クラスレス ドメイン間ルーティング (CIDR) 形式 (10.0.0.0/16 など) で指定されます。 詳しくは、仮想ネットワークのアドレス範囲に関するページをご覧ください。
  • 組織には、異なる仮想ネットワークのリソースに対する管理要件がありますか? ある場合は、異なる仮想ネットワークにリソースを分離することによって、組織内のユーザーに対するアクセス許可の割り当てを簡素化したり、異なる仮想ネットワークに異なるポリシーを割り当てたりすることができます。
  • Azure サービス リソースを仮想ネットワークにデプロイすると、独自の仮想ネットワークが作成されます。 Azure サービスが独自の仮想ネットワークを作成するかどうかを確認するには、「仮想ネットワークにデプロイできるサービス」をご覧ください。

サブネット

仮想ネットワークは、制限の範囲内で複数のサブネットにセグメント化できます。 サブスクリプションに作成するサブネットが 1 つでよいか、または複数必要かを決めるときは、次のことを考慮します。

  • 各サブネットには、仮想ネットワークのアドレス空間内に、CIDR 形式で指定された一意のアドレス範囲が必要です。 このアドレス範囲は、仮想ネットワーク内の他のサブネットと重複することはできません。
  • 仮想ネットワークに Azure サービス リソースをデプロイする場合、独自のサブネットがリソースによって必要とされる、または作成される可能性があるので、そのための十分な未割り当て領域が必要です。 Azure サービスが独自のサブネットを作成するかどうかを確認するには、「仮想ネットワークにデプロイできるサービス」をご覧ください。 たとえば、Azure VPN Gateway を使ってオンプレミスのネットワークに仮想ネットワークを接続する場合、仮想ネットワークにはゲートウェイに専用のサブネットが必要です。 詳しくは、「ゲートウェイ サブネット」をご覧ください。
  • 既定では、ネットワーク トラフィックは仮想ネットワーク内のすべてのサブネット間でルーティングされます。 Azure の既定のルーティングをオーバーライドして、たとえば、Azure のサブネット間のルーティングを禁止したり、ネットワーク仮想アプライアンスを通してサブネット間でトラフィックをルーティングしたりできます。 同じ仮想ネットワーク内のリソース間のトラフィックを、ネットワーク仮想アプライアンス (NVA) を通してフローさせる必要がある場合は、異なるサブネットにリソースをデプロイします。 詳しくは、「セキュリティ」をご覧ください。
  • Azure ストレージ アカウントや Azure SQL Database などの Azure リソースへのアクセスを、仮想ネットワーク サービス エンドポイントのある特定のサブネットに制限することができます。 さらに、インターネットからのリソースへのアクセスを拒否することができます。 複数のサブネットを作成し、一部のサブネットではサービス エンドポイントを有効にして、それ以外では無効にすることができます。 詳しくは、サービス エンドポイントおよびサービス エンドポイントを有効にできる Azure リソースに関するページをご覧ください。
  • 仮想ネットワーク内の各サブネットには、0 個または 1 個のネットワーク セキュリティ グループを関連付けることができます。 各サブネットに関連付けるネットワーク セキュリティ グループは、同じでも、異なっていてもかまいません。 各ネットワーク セキュリティ グループには規則が含まれ、送信元と送信先の間でやり取りされるトラフィックを許可または拒否できます。 ネットワーク セキュリティ グループの詳細を確認する。

セキュリティ

仮想ネットワーク内のリソースが送受信するネットワーク トラフィックを、ネットワーク セキュリティ グループおよびネットワーク仮想アプライアンスを使ってフィルター処理できます。 サブネットからのトラフィックを Azure がルーティングする方法を制御できます。 また、仮想ネットワーク内のリソースを使用できる組織内のユーザーを制限することもできます。

トラフィックのフィルター処理

  • ネットワーク セキュリティ グループと、ネットワーク トラフィックをフィルター処理する NVA のどちらか一方または両方を使って、仮想ネットワーク内のリソース間のネットワーク トラフィックをフィルター処理することができます。 ファイアウォールなどの NVA をデプロイしてネットワーク トラフィックをフィルター処理するには、Azure Marketplace をご覧ください。 NVA を使うときは、サブネットから NVA にトラフィックをルーティングするためのカスタム ルートも作成します。 詳しくは、「トラフィックのルーティング」をご覧ください。
  • ネットワーク セキュリティ グループには、リソースが送受信するトラフィックを許可または拒否する、複数の既定のセキュリティ規則が含まれます。 ネットワーク セキュリティ グループは、ネットワーク インターフェイスと、ネットワーク インターフェイスが含まれるサブネットの、どちらか一方または両方に関連付けることができます。 セキュリティ規則の管理を簡単にするため、可能な場合は常に、サブネット内の個々のネットワーク インターフェイスではなく、個別のサブネットにネットワーク セキュリティ グループを関連付けることをお勧めします。
  • サブネット内の VM ごとに異なるセキュリティ規則を適用する必要がある場合は、VM 内のネットワーク インターフェイスを、1 つまたは複数のアプリケーション セキュリティ グループに関連付けることができます。 セキュリティ規則では、送信元と送信先のどちらか一方または両方のアプリケーション セキュリティ グループを指定できます。 その規則は、アプリケーション セキュリティ グループのメンバーであるネットワーク インターフェイスにのみ適用されます。 詳しくは、ネットワーク セキュリティ グループおよびアプリケーション セキュリティ グループに関するページをご覧ください。
  • ネットワークセキュリティグループがサブネットレベルで関連付けられている場合、サブネットの外部からのトラフィックだけでなく、サブネット内のすべての NIC に適用されます。 これは、サブネットに含まれる VM 間のトラフィックも影響を受ける可能性があることを意味します。
  • Azure では、各ネットワーク セキュリティ グループ内に複数のセキュリティ規則が既定で作成されます。 既定の規則の 1 つでは、仮想ネットワーク内のすべてのリソース間で、すべてのトラフィックのフローが許可されます。 この動作をオーバーライドするには、ネットワーク セキュリティ グループと、NVA にトラフィックをルーティングするためのカスタム ルーティングの、どちらか一方または両方を使います。 Azure の既定のセキュリティ規則のすべてと、ネットワーク セキュリティ グループの規則がリソースに適用される方法を、よく理解することをお勧めします。

NVA を使用して Azure とインターネットの間に境界ネットワーク (DMZ とも呼ばれます) を実装するためのサンプル設計を表示できます。

トラフィックのルーティング

Azure では、サブネットからの送信トラフィックに対して複数のルートが既定で作成されます。 ルート テーブルを作成してサブネットに関連付けることにより、Azure の既定のルーティングをオーバーライドできます。 Azure の既定のルーティングをオーバーライドする一般的な理由としては、次のようなものがあります。

  • サブネット間のトラフィックに NVA を経由させる必要がある場合。 詳しくは、トラフィックを強制的に NVA 経由にするようルート テーブルを構成する方法に関するページをご覧ください。
  • インターネットにバインドされたすべてのトラフィックを、強制的に Azure VPN Gateway を介して NVA 経由 (つまりオンプレミス) にする必要がある場合。 検査とログのためにインターネット トラフィックを強制的にオンプレミスにすることを、強制トンネリングと呼ぶことがよくあります。 詳しくは、強制トンネリングの構成方法に関するページをご覧ください。

カスタム ルーティングを実装する必要がある場合は、Azure でのルーティングについてよく理解しておくことをお勧めします。

接続

仮想ネットワークは、仮想ネットワーク ピアリングを使って他の仮想ネットワークに、または Azure VPN Gateway を使ってオンプレミスのネットワークに接続できます。

ピアリング

仮想ネットワーク ピアリングで接続される仮想ネットワークが存在するサポートされる Azure リージョンは、同じであっても、異なっていてもかまいません。 仮想ネットワークは、同じまたは異なる Azure サブスクリプション (異なる Microsoft Entra テナントに属するサブスクリプションでも) に存在できます。 ピアを作成する前に、ピアリングのすべての要件と制約をよく理解しておくことをお勧めします。 同じリージョン内でピアリングされる仮想ネットワーク内のリソース間の帯域幅は、リソースが同じ仮想ネットワーク内にある場合と同じです。

VPN Gateway

Azure VPN Gateway を利用すると、サイト間 VPN を使って、または Azure ExpressRoute による専用接続を使って、オンプレミスのネットワークに仮想ネットワークを接続できます。

ピアリングと VPN Gateway を組み合わせて、ハブとスポークのネットワークを作成できます。この場合、たとえば、スポークの仮想ネットワークはハブの仮想ネットワークに接続し、ハブはオンプレミスのネットワークに接続します。

名前解決

ある仮想ネットワーク内のリソースは、Azure の組み込み DNS を使って、ピアリングされた仮想ネットワーク内のリソースの名前を解決することはできません。 ピアリングされた仮想ネットワーク内の名前を解決するには、独自の DNS サーバーをデプロイするか、Azure DNS プライベート ドメインを使います。 仮想ネットワーク内のリソースとオンプレミス ネットワークのリソースの間で名前を解決するには、独自の DNS サーバーをデプロイする必要もありします。

アクセス許可

Azure では、リソースに対して、Azure ロール ベースのアクセス制御 (Azure RBAC) を利用します。 アクセス許可は、管理グループ、サブスクリプション、リソース グループ、および個々のリソースという階層内のスコープに割り当てられます。 階層について詳しくは、リソースの整理に関するページをご覧ください。 Azure 仮想ネットワークと、ピアリング、ネットワーク セキュリティ グループ、サービス エンドポイント、ルート テーブルなどの関連するすべての機能を使用するには、組織のメンバーを組み込みの所有者共同作業者、またはネットワーク共同作業者ロールに割り当ててから、ロールを適切なスコープに割り当てることができます。 仮想ネットワークの機能のサブセットに対して特定のアクセス許可を割り当てる場合は、カスタム ロールを作成し、仮想ネットワークサブネットとサービス エンドポイントネットワーク インターフェイスピアリングネットワークおよびアプリケーション セキュリティ グループ、またはルート テーブルに必要な特定のアクセス許可を、ロールに割り当てます。

ポリシー

Azure Policy を使って、ポリシーの定義の作成、割り当て、管理を行うことができます。 ポリシー定義は、リソースにさまざまな規則を適用し、組織の標準とサービス レベル アグリーメントへのリソースの準拠が維持されるようにします。 Azure Policy によって、リソースの評価が実行され、ユーザーのポリシー定義に準拠していないリソースがスキャンされます。 たとえば、特定のリソース グループまたはリージョン内でのみ仮想ネットワークの作成を許可するようなポリシーを定義して適用することができます。 または、すべてのサブネットにネットワーク セキュリティ グループが関連付けられていることを要求するポリシーを作成できます。 ポリシーは、リソースを作成および更新するときに評価されます。

ポリシーは、管理グループ、サブスクリプション、およびリソース グループという階層に適用されます。 詳しくは、Azure Policy に関するページを参照するか、仮想ネットワークの Azure Policy 定義をデプロイしてください。

次のステップ

仮想ネットワークサブネットおよびサービス エンドポイントネットワーク インターフェイスピアリングネットワークおよびアプリケーション セキュリティ グループルート テーブルのすべてのタスク、設定、およびオプションについて説明します。