Azure Virtual Network とは

  • [アーティクル]

Azure Virtual Network (VNet) は、Azure 内のプライベート ネットワークの基本的な構成要素です。 VNet により、Azure Virtual Machines (VM) などのさまざまな種類の Azure リソースが、他の Azure リソース、インターネット、およびオンプレミスのネットワークと安全に通信することができます。 VNet は、自社のデータ センターで運用する従来のネットワークと似ていますが、スケール、可用性、分離性など、Azure のインフラストラクチャのさらなる利点を提供します。

Azure 仮想ネットワークを使用する理由

Azure 仮想ネットワークにより、Azure リソースは、他の Azure リソース、インターネット、オンプレミス ネットワークと安全に通信できます。 仮想ネットワークを使用して実現できる主なシナリオには、Azure リソースとインターネットの通信、Azure リソース間の通信、オンプレミス リソースとの通信、ネットワーク トラフィックのフィルタリング、ネットワーク トラフィックのルーティング、Azure サービスとの統合などがあります。

インターネットとの通信

VNet 内のすべてのリソースにおいて、既定でインターネットへの送信方向の通信が可能です。 リソースへの受信通信は、リソースにパブリック IP アドレスまたはパブリック ロード バランサーを割り当てることによって可能になります。 パブリック IP またはパブリック ロード バランサーを使用して、送信接続を管理することもできます。 Azure での送信接続の詳細については、送信接続パブリック IP アドレスロード バランサーに関する各ページを参照してください。

注意

内部 Standard Load Balancer のみを使用している場合、送信接続でインスタンスレベルの IP アドレスまたはパブリック ロード バランサーがどのように処理されるかを定義するまで、送信接続は使用できません。

Azure リソース間の通信

次のいずれかの方法により、Azure のリソースは互いに安全に通信することができます。

  • 仮想ネットワーク経由:仮想ネットワークに、VM や他のいくつかの種類の Azure リソース (Azure App Service Environment、Azure Kubernetes Service (AKS)、Azure Virtual Machine Scale Sets など) をデプロイできます。 仮想ネットワークにデプロイできる Azure リソースの詳細な一覧については、仮想ネットワーク サービスの統合に関するページを参照してください。
  • 仮想ネットワーク サービス エンドポイント経由:直接接続を使用して、仮想ネットワークのプライベート アドレス空間と仮想ネットワークの ID を Azure Storage アカウントや Azure SQL データベースなどの Azure サービス リソースに拡張します。 サービス エンドポイントを使用することで、重要な Azure サービス リソースを仮想ネットワークのみに固定することができます。 詳細については、仮想ネットワーク サービス エンドポイントの概要に関するページを参照してください。
  • VNet ピアリング経由:仮想ネットワークを相互に接続することで、任意の仮想ネットワークのリソースが仮想ネットワーク ピアリングを使用して相互に通信できるようになります。 接続する仮想ネットワークが属している Azure リージョンは、同じであっても異なっていてもかまいません。 詳細については、「仮想ネットワーク ピアリング」を参照してください。

オンプレミス リソースとの通信

オンプレミスのコンピューターおよびネットワークを仮想ネットワークに接続するには、次のオプションをいずれかを使用します。

  • ポイント対サイト仮想プライベート ネットワーク (VPN) :仮想ネットワークとネットワーク内の 1 台のコンピューターの間で確立されます。 仮想ネットワークとの接続を確立する各コンピューターで、接続を構成する必要があります。 この接続の種類は、既存のネットワークへの変更をほとんどまたはまったく必要としないため、Azure を使い始めたばかりのユーザーまたは開発者に適しています。 コンピューターと仮想ネットワーク間の通信は、インターネット上の暗号化されたトンネルを通じて送信されます。 詳細については、ポイント対サイト VPN に関するページを参照してください。
  • サイト間 VPN:オンプレミス VPN デバイスと仮想ネットワークにデプロイされた Azure VPN ゲートウェイの間で確立されます。 この接続の種類を使用すると、承認した任意のオンプレミス リソースが仮想ネットワークにアクセスできます。 オンプレミス VPN デバイスと Azure VPN ゲートウェイ間の通信は、インターネット上の暗号化されたトンネルを通じて送信されます。 詳細については、サイト間 VPN に関するページを参照してください。
  • Azure ExpressRoute: ExpressRoute のパートナーを介して、ネットワークと Azure の間で確立されます。 この接続はプライベート接続です。 トラフィックはインターネットを経由しません。 詳細については、ExpressRoute に関するページを参照してください。

ネットワーク トラフィックのフィルター処理

次のオプションのいずれかまたは両方を使用して、サブネット間のネットワーク トラフィックをフィルター処理できます。

  • ネットワーク セキュリティ グループ: ネットワーク セキュリティ グループとアプリケーション セキュリティ グループには、受信と送信のセキュリティ規則を複数含めることができます。これらの規則を使用すると、送信元と送信先の IP アドレス、ポート、およびプロトコルに基づいて、リソースとの間で送受信されるトラフィックをフィルター処理できます。 詳しくは、「ネットワーク セキュリティ グループ」または「アプリケーション セキュリティ グループ」をご覧ください。
  • ネットワーク仮想アプライアンス:ネットワーク仮想アプライアンスとは、ファイアウォール、WAN 最適化などのネットワーク機能を実行する VM です。 仮想ネットワークにデプロイできる使用可能なネットワーク仮想アプライアンスの一覧については、Azure Marketplace で確認してください。

ネットワーク トラフィックのルーティング

Azure では、既定で、サブネット、接続されている仮想ネットワーク、オンプレミス ネットワーク、およびインターネット間でトラフィックがルーティングされます。 次のオプションのいずれかまたは両方を実装して、Azure によって作成される既定のルートをオーバーライドできます。

  • ルート テーブル:サブネットごとにトラフィックのルーティング先を制御するルートを含む、カスタム ルート テーブルを作成できます。 ルート テーブルの詳細を確認してください。
  • ボーダー ゲートウェイ プロトコル (BGP) のルート:Azure VPN ゲートウェイまたは ExpressRoute 接続を使用して仮想ネットワークをオンプレミス ネットワークに接続する場合、オンプレミス BGP ルートを仮想ネットワークに伝達できます。 Azure VPN ゲートウェイExpressRoute で BGP を使用する方法の詳細を確認してください。

Azure サービスの仮想ネットワーク統合

Azure 仮想ネットワークに Azure サービスを統合すると、仮想ネットワーク内の仮想マシンまたはコンピューティング リソースからサービスにプライベート アクセスできるようになります。 次のオプションを使用して、仮想ネットワークで Azure サービスを統合することができます。

  • サービスの専用インスタンスを仮想ネットワークにデプロイする。 サービスは、仮想ネットワーク内で、また、オンプレミス ネットワークからプライベート アクセスできます。
  • プライベート リンクを使用して、仮想ネットワークとオンプレミス ネットワークからサービスの特定のインスタンスにプライベートでアクセスします。
  • サービス エンドポイントを介して仮想ネットワークをサービスに拡張することによって、パブリック エンドポイントを使用してサービスにアクセスすることもできます。 サービス エンドポイントを使用することで、仮想ネットワークに対してサービス リソースをセキュリティで保護することができます。

Azure VNet の制限

デプロイできる Azure リソースの数について特定の制限があります。 Azure のネットワークの制限のほとんどは、最大値です。 ただし、VNet の制限に関するページに記載されているように、特定のネットワークの上限を引き上げることができます。

仮想ネットワークと可用性ゾーン

仮想ネットワークとサブネットは、リージョン内のすべての可用性ゾーンにまたがっています。 ゾーン リソースに対応するために、可用性ゾーンでそれらを分割する必要はありません。 たとえば、ゾーン VM を構成する場合、VM の可用性ゾーンを選択するときに仮想ネットワークを考慮する必要はありません。 他のゾーン リソースについても同様です。

価格

Azure VNet は無料でご利用いただけます。コストはかかりません。 仮想マシン (VM) やその他の製品などのリソースには、Standard の料金が適用されます。 詳細については、VNet の価格に関するページと Azure の「料金計算ツール」を参照してください。

次のステップ