Azure Virtual Network とは

  • [アーティクル]

Microsoft Azure Virtual Network は、Azure 内のプライベート ネットワークの基本的な構成要素を提供するサービスです。 サービスのインスタンス (仮想ネットワーク) を使用すると、さまざまな種類の Azure リソースが互いに、インターネット、オンプレミス ネットワークと安全に通信できるようになります。 これらの Azure リソースには、仮想マシン (VM) が含まれます。

仮想ネットワークは、ご自身のデータセンターで運用している従来のネットワークに似ています。 ただし、スケール、可用性、分離など、Azure インフラストラクチャによってもたらされる他のメリットがあります。

Azure 仮想ネットワークを使用する理由

仮想ネットワークで実現できる主なシナリオは次のとおりです。

  • Azure リソースのインターネットとの通信。

  • Azure リソース間の通信。

  • オンプレミス リソースとの通信。

  • ネットワーク トラフィックのフィルター処理。

  • ネットワーク トラフィックのルーティング

  • Azure サービスとの統合。

インターネットとの通信

仮想ネットワーク内のすべてのリソースにおいて、既定で、インターネットへの送信方向の通信が可能です。 パブリック IP アドレスNAT Gateway、またはパブリック ロード バランサーを使用して、送信接続を管理することもできます。 リソースとの受信通信は、リソースにパブリック IP アドレスまたはパブリック ロード バランサーを割り当てることによって可能になります。

内部 Standard Load Balancer のみを使用している場合、送信接続でインスタンスレベルのパブリック IP アドレスまたはパブリック ロード バランサーがどのように処理されるかを定義するまで、送信接続は使用できません。

Azure リソース間の通信

次のいずれかの方法により、Azure のリソースは互いに安全に通信することができます。

  • 仮想ネットワーク: 仮想ネットワークに、VM や他の種類の Azure リソースをデプロイできます。 リソースの例としては、App Service Environment、Azure Kubernetes Service (AKS)、Azure Virtual Machine Scale Sets などがあります。 仮想ネットワークにデプロイできる Azure リソースの詳細な一覧については、「仮想ネットワークに専用の Azure サービスをデプロイする」を参照してください。

  • 仮想ネットワーク サービス エンドポイント: 直接接続によって、仮想ネットワークのプライベート アドレス空間と仮想ネットワークの ID が Azure サービスまで拡張できます。 リソースの例としては、Azure Storage アカウントや Azure SQL Database などがあります。 サービス エンドポイントを使用することで、重要な Azure サービス リソースを仮想ネットワークのみに固定することができます。 詳細については、「仮想ネットワーク サービス エンドポイント」を参照してください。

  • 仮想ネットワーク ピアリング: 仮想ピアリングを使用して、仮想ネットワーク同士を相互に接続できます。 その後、いずれかの仮想ネットワーク内のリソースを相互に通信できるようになります。 接続する仮想ネットワークが属している Azure リージョンは、同じであっても異なっていてもかまいません。 詳細については、「仮想ネットワーク ピアリング」を参照してください。

オンプレミス リソースとの通信

オンプレミスのコンピューターおよびネットワークを仮想ネットワークに接続するには、次のオプションをいずれかを使用します。

  • ポイント対サイトの仮想プライベート ネットワーク (VPN): 仮想ネットワークと、ネットワーク内の 1 台のコンピューターとの間で確立されます。 仮想ネットワークとの接続を確立する各コンピューターで、接続を構成する必要があります。 この接続の種類は、既存のネットワークへの変更をほとんどまたはまったく必要としないため、Azure を使い始めたばかりのユーザーまたは開発者に役立ちます。 コンピューターと仮想ネットワーク間の通信は、インターネット上の暗号化されたトンネルを通じて送信されます。 詳細については、ポイント対サイト VPN に関するページを参照してください。

  • サイト間 VPN: オンプレミス VPN デバイスと仮想ネットワークにデプロイされた Azure VPN Gateway の間で確立されます。 この接続の種類を使用すると、承認した任意のオンプレミス リソースが仮想ネットワークにアクセスできます。 オンプレミス VPN デバイスと Azure VPN ゲートウェイ間の通信は、インターネット上の暗号化されたトンネルを通じて送信されます。 詳細については、サイト間 VPN に関するページを参照してください。

  • Azure ExpressRoute: ExpressRoute パートナーを通じて、ネットワークと Azure の間で確立されます。 この接続はプライベート接続です。 トラフィックはインターネットを経由しません。 詳細については、「Azure ExpressRoute とは」を参照してください

ネットワーク トラフィックのフィルター処理

次のオプションのいずれかまたは両方を使用して、サブネット間のネットワーク トラフィックをフィルター処理できます。

  • ネットワーク セキュリティ グループ: ネットワーク セキュリティ グループとアプリケーション セキュリティ グループには、複数の受信および送信セキュリティ規則を含めることができます。 これらの規則を使用すると、送信元と送信先の IP アドレス、ポート、プロトコルによって、リソースで送受信されるトラフィックをフィルター処理できます。 詳しくは、「ネットワーク セキュリティ グループ」および「アプリケーション セキュリティ グループ」をご覧ください。

  • ネットワーク仮想アプライアンス: ネットワーク仮想アプライアンスとは、ファイアウォール、WAN 最適化などを実行する VM です。 仮想ネットワークにデプロイできる使用可能なネットワーク仮想アプライアンスの一覧については、Azure Marketplace で確認してください。

ネットワーク トラフィックのルーティング

Azure では、既定で、サブネット、接続されている仮想ネットワーク、オンプレミス ネットワーク、およびインターネット間でトラフィックがルーティングされます。 次のオプションのいずれかまたは両方を実装して、Azure によって作成される既定のルートをオーバーライドできます。

  • ルート テーブル: サブネットごとにトラフィックのルーティング先を制御する、カスタム ルート テーブルを作成できます。

  • Border gateway protocol (BGP) のルート:Azure VPN Gateway または ExpressRoute 接続を使用して仮想ネットワークをオンプレミス ネットワークに接続する場合、オンプレミス BGP ルートを仮想ネットワークに伝達できます。

Azure サービスと統合する

Azure 仮想ネットワークに Azure サービスを統合すると、仮想ネットワーク内の仮想マシンまたはコンピューティング リソースからサービスにプライベート アクセスできるようになります。 この統合には次のオプションを使用できます。

  • サービスの専用インスタンスを仮想ネットワークにデプロイする。 サービスは、仮想ネットワーク内で、また、オンプレミス ネットワークからプライベート アクセスできます。

  • Azure Private Link を使用して、仮想ネットワークとオンプレミス ネットワークからサービスの特定のインスタンスにプライベートでアクセスします。

  • サービス エンドポイント経由で仮想ネットワークをサービスに拡張することによって、パブリック エンドポイントを使用してサービスにアクセスする。 サービス エンドポイントを使用することで、仮想ネットワークに対してサービス リソースをセキュリティで保護することができます。

制限

デプロイできる Azure リソースの数には制限があります。 Azure のネットワークの制限のほとんどは、最大値です。 ただし、特定のネットワーク制限を増やすことができます。 詳細については、「ネットワークの制限」を参照してください。

仮想ネットワークと可用性ゾーン

仮想ネットワークとサブネットは、リージョン内のすべての可用性ゾーンにまたがっています。 ゾーン リソースに対応するために、可用性ゾーンでそれらを分割する必要はありません。 たとえば、ゾーン VM を構成する場合、VM の可用性ゾーンを選択するときに仮想ネットワークを考慮する必要はありません。 他のゾーン リソースについても同様です。

価格

Azure Virtual Network は無料でご利用いただけます。 コストはかかりません。 Standard 課金は、VM やその他の製品などのリソースに適用されます。 詳細については、仮想ネットワークの価格に関するページと Azure の「料金計算ツール」を参照してください。

次のステップ