Azure Virtual Network は、クラウド内のネットワークを論理的に表現したものです。 仮想ネットワークを使用して、独自のプライベート IP アドレス空間を定義し、ネットワークをサブネットにセグメント化できます。 仮想ネットワークは、Azure Virtual Machines やロード バランサーなどのコンピューティング リソースをホストするための信頼境界として機能します。
Azure を使用する場合、 信頼性は共有責任です。 Microsoft では、回復性と回復性をサポートするさまざまな機能を提供しています。 使用するすべてのサービスでこれらの機能がどのように機能するかを理解し、ビジネス目標とアップタイムの目標を達成するために必要な機能を選択する必要があります。
この記事では、一時的な障害、可用性ゾーンの停止、リージョンの停止など、さまざまな障害や問題に対する仮想ネットワークの回復性を確保する方法について説明します。 また、バックアップを使用して他の種類の問題から復旧する方法についても説明し、Virtual Network サービス レベル アグリーメント (SLA) に関するいくつかの重要な情報を強調します。
信頼性のための運用環境のデプロイに関する推奨事項
ソリューションの信頼性要件をサポートするために仮想ネットワークをデプロイする方法と、信頼性がアーキテクチャの他の側面に与える影響の詳細については、「 Azure Well-Architected Framework での Azure Virtual Network のアーキテクチャのベスト プラクティス」を参照してください。
信頼性アーキテクチャの概要
仮想ネットワークは、Azure のいくつかのコア ネットワーク コンポーネントの 1 つです。 仮想ネットワークを作成するときは、ネットワーク構成をまとめて定義するリソースのセットを作成します。 これらのリソースには、次のネットワーク コンポーネントが含まれます。
ネットワークの一部間の通信を制限する NSG とアプリケーション セキュリティ グループ
トラフィックフローを制御するユーザー定義ルート
ネットワーク内でトラフィックを分散するロード バランサー
インターネットとの間の接続を提供するパブリック IP アドレス
Azure 仮想マシン (VM) へのネットワーク接続を提供するネットワーク インターフェイス カード
Azure サービスと仮想ネットワークの外部のリソースへのプライベート接続を提供するプライベート エンドポイント
仮想ネットワークを使用すると、ホストするリソース間のプライベート IP 通信を直接行うことができます。 ハイブリッド クラウド シナリオを有効にし、データセンターを Azure に安全に拡張するには、Azure VPN Gateway または Azure ExpressRoute を介して仮想ネットワークをオンプレミス ネットワークにリンクします。
ExpressRoute ゲートウェイ、VPN ゲートウェイ、ファイアウォールなどの アプライアンスをデプロイすることもできます。 アプライアンスは、オンプレミス環境への接続やトラフィック フローに対する高度な制御の提供など、ネットワーク要件をサポートするサービスを提供します。
最後に、アプリケーションやデータベースを実行する VM や、仮想ネットワーク統合を提供する他の Azure サービスなど、独自のコンポーネントをデプロイします。
Azure でのネットワークの詳細については、「 ネットワーク アーキテクチャの設計」を参照してください。
一時的な障害に対する回復性
一時的な障害は、コンポーネントにおける短い断続的な障害です。 これらはクラウドのような分散環境で頻繁に発生し、運用の通常の範囲であり、 一時的な障害は、短時間の経過後に自分自身を修正します。 アプリケーションが一時的な障害に対処できることが重要です。これは通常、影響を受けた要求を再試行することで対処します。
クラウドでホストされるすべてのアプリケーションは、クラウドでホストされている API、データベース、およびその他のコンポーネントと通信する際に、Azure の一時的な障害処理のガイダンスに従う必要があります。 詳細については、「一時的な障害を処理するための推奨事項」を参照してください。
一時的な障害は、通常、仮想ネットワークには影響しません。 ただし、一時的な障害は、仮想ネットワーク内にデプロイされたリソースに影響する可能性があります。 一時的な障害処理の動作を理解するために使用する 各リソースの信頼性ガイド を確認します。
可用性ゾーンの障害に対する回復性
可用性ゾーン は、Azure リージョン内のデータセンターの物理的に分離されたグループです。 1 つのゾーンで障害が発生した際には、サービスを残りのゾーンのいずれかにフェールオーバーできます。
仮想ネットワークとそのサブネットは、デプロイされているリージョン内のすべての可用性ゾーンにまたがっています。 このサポートを有効にするために何も構成する必要はありません。
ゾーン リソースに対応するために、仮想ネットワークまたはサブネットを可用性ゾーンで分割する必要はありません。 たとえば、ゾーン VM を構成する場合、VM の可用性ゾーンを選択するときに仮想ネットワークを考慮する必要はありません。 他のゾーン リソースについても同様です。
リージョンのサポート
ゾーン冗長仮想ネットワークは、 可用性ゾーンをサポートする任意のリージョンにデプロイできます。
費用
Azure 仮想ネットワークのゾーン冗長に対する追加コストは発生しません。
可用性ゾーンのサポートを設定する
ゾーン冗長は、可用性ゾーンをサポートするリージョンに仮想ネットワークがデプロイされるときに自動的に構成されます。
ゾーン障害時の動作
Virtual Network は、ゾーン障害に対する回復性を備えて設計されています。 ゾーンが使用できなくなった場合、Virtual Network は仮想ネットワーク要求を残りのゾーンに自動的に再ルーティングします。 このプロセスはシームレスであり、ユーザーの操作は必要ありません。
ただし、可用性ゾーンの喪失中に各リソースの動作セットが異なる可能性があるため、仮想ネットワーク内のリソースは個別に考慮する必要があります。 可用性ゾーンのサポートと、ゾーンが使用できない場合の動作を理解するために使用する 各リソースの信頼性ガイド を確認します。
ゾーンの回復
ゾーンが復旧すると、Microsoft はフェールバック プロセスを開始して、回復されたゾーンで仮想ネットワークが引き続き動作するようにします。 フェールバック プロセスは自動であり、ユーザーによる操作は必要ありません。
ただし、仮想ネットワーク内にデプロイするすべてのリソースのフェールバック動作を確認する必要があります。 詳細については、 各リソースの信頼性ガイドを参照してください。
ゾーンエラーのテスト
Virtual Network プラットフォームは、可用性ゾーン間の仮想ネットワークのトラフィック ルーティング、フェールオーバー、フェールバックを管理します。 この機能はフル マネージドであるため、可用性ゾーンの障害プロセスを検証する必要はありません。
リージョン全体の障害に対する回復性
Virtual Network は、単一リージョンのサービスです。 リージョンが使用できなくなった場合、仮想ネットワークも使用できなくなります。
回復性のためのカスタム マルチリージョン ソリューション
複数のリージョンに仮想ネットワークを作成できます。 これらのネットワークを ピアリング して接続することもできます。
複数のリージョンに仮想ネットワークやその他のリソースを作成することで、リージョンの停止に対する回復性を確保できます。 ただし、次の要因を考慮する必要があります。
トラフィック ルーティング: 仮想ネットワークでインターネットに接続するサービスをホストする場合は、受信トラフィックをリージョンとコンポーネント間でルーティングする方法を決定する必要があります。 Azure Traffic Manager や Azure Front Door などのサービスを使用すると、指定したルールに基づいてインターネット トラフィックをルーティングできます。
フェールオーバー: Azure リージョンが使用できない場合は、通常、正常なリージョンでトラフィックを処理してフェールオーバーする必要があります。 Traffic Manager と Azure Front Door は、インターネット アプリケーションのフェールオーバー機能を提供します。
管理: 各仮想ネットワークは個別のリソースであり、他の仮想ネットワークとは別に構成および管理する必要があります。
IP アドレス空間: 複数の仮想ネットワークを作成するときに IP アドレスを割り当てる方法を決定します。 異なるリージョンで同じプライベート IP アドレス空間を使用して、複数の仮想ネットワークを作成できます。 ただし、ルーティングの問題が発生するため、同じアドレス空間を持つ 2 つの仮想ネットワークをオンプレミス ネットワークにピアリングしたり、接続したりすることはできません。 マルチネットワーク設計を作成する場合は、IP アドレスの計画が重要な考慮事項です。
仮想ネットワークでは、多くのリソースを実行する必要はありません。 Azure API を呼び出して、同じアドレス空間を持つ仮想ネットワークを別のリージョンに作成できます。 ただし、影響を受けるリージョンに存在する環境と同様の環境を再作成するには、VM とその他のリソースを再デプロイする必要があります。 ハイブリッド展開などのオンプレミス接続がある場合は、新しい VPN Gateway インスタンスをデプロイし、オンプレミス ネットワークに接続する必要があります。
Web アプリケーションのマルチリージョン ネットワーク アーキテクチャの詳細については、「 Traffic Manager、Azure Firewall、Azure Application Gateway を使用した複数リージョンの負荷分散」を参照してください。
バックアップと復元
仮想ネットワークには、バックアップが必要なデータは格納されません。 ただし、仮想ネットワークを再作成する必要がある場合は、Bicep、Azure Resource Manager テンプレート、または Terraform を使用して、仮想ネットワークの構成のスナップショットを取得できます。 詳細については、「 Azure 仮想ネットワークの作成」を参照してください。
サービス水準合意書
Azure サービスのサービス レベル アグリーメント (SLA) には、各サービスの期待される可用性と、その可用性の期待を達成するためにソリューションが満たす必要がある条件について記載されています。 詳細については、 オンライン サービスの SLA を参照してください。
提供されるサービスの性質上、仮想ネットワークに対して定義されたサービス レベル アグリーメントはありません。