この記事では、Azure Virtual Network Manager を使用して仮想ネットワークを管理する場合の、現時点での制限事項について説明します。 これらの制限事項を理解することは、環境内に Azure Virtual Network Manager インスタンス (ネットワーク マネージャー) を適切にデプロイするのに役立ちます。 この記事では、ネットワーク マネージャーが接続できる仮想ネットワークの最大数、アドレス空間が重複する接続された仮想ネットワークをネットワーク マネージャーが処理する方法、ポリシー コンプライアンスの評価サイクルなどのトピックについて説明します。
一般的な制限事項
現時点では、 クロステナント 仮想ネットワークは 、ネットワーク グループにのみ手動で追加できます。
15,000 を超える Azure サブスクリプションを持つお客様は、サブスクリプション とリソース グループのスコープでのみ Azure Virtual Network Manager ポリシーを適用できます。 15,000 サブスクリプションの制限を超えて管理グループにポリシーを適用することはできません。 このシナリオでは、それぞれが 15,000 個未満のサブスクリプションを持つ下位レベルの管理グループ スコープで割り当てを作成する必要があります。
Azure Virtual Network Manager カスタム ポリシーの
enforcementMode要素がDisabledに設定されている場合、仮想ネットワークをネットワーク グループに追加することはできません。Azure Virtual Network Manager ポリシーでは、ポリシー コンプライアンスの標準評価サイクルがサポートされていません。 詳しくは、「評価のトリガー」をご覧ください。
Azure Virtual Network Manager インスタンスが存在するサブスクリプションを別のテナントに移動することはサポートされていません。
Azure China リージョンでは、ネットワーク グループ メンバーシップの Azure Policy 定義でリソース グループとサブスクリプションにタグを使用することは現在サポートされていません。
Azure Virtual Network Manager インスタンスを既存のサブスクリプションから別のサブスクリプションに移動することはできません。
接続されたグループの制限事項
仮想ネットワークは、Azure Virtual Network Manager のハブアンドスポーク接続構成を使用して最大 1,000 個の仮想ネットワークとピアリングできます。つまり、最大 1,000 のスポーク仮想ネットワークをハブ仮想ネットワークにピアリングできます。
既定では、接続されたグループあたりのプライベート エンドポイントの最大数は 2,000 です。 この機能を使用すると、 接続されたグループで大規模なプライベート エンドポイントを有効にすることで、この制限を 20,000 に増やすことができます。
既定では、接続グループには、最大で 250 個の仮想ネットワークを含めることができます。 この既定値はソフト制限であり、 このフォームを使用して要求を送信することで、最大 1,000 個の仮想ネットワークを増やすことができます。
既定では、仮想ネットワークは最大 2 つの 接続されたグループに含めることができます。 たとえば、仮想ネットワークは次のようになります。
- 2 つのメッシュ接続構成の一部にすることができます。
- ハブアンドスポーク接続構成で直接接続が有効になっているメッシュ接続構成とスポーク ネットワーク グループの一部にすることができます。
- 同じまたは異なるハブアンドスポーク接続構成で直接接続が有効になっている 2 つのスポーク ネットワーク グループの一部にすることができます。
- この既定値はソフト制限であり、 このフォームを使用して要求を送信することで調整できます。
次の BareMetal インフラストラクチャは、接続されたグループではサポートされていません。
同じ接続グループ内に、IP 空間が重複する仮想ネットワークを持つことができます。 ただし、重複する IP アドレスへの通信は破棄されます。
接続されたグループの仮想ネットワークが、接続されているグループのメンバーと重複する IP アドレス空間を持つ外部仮想ネットワークとピアリングされると、これらの重複するアドレス空間は、接続されたグループ内でアクセスできなくなります。 接続されたグループ内のピアリングされた仮想ネットワークから重複するアドレス空間へのトラフィックは外部仮想ネットワークにルーティングされますが、接続されたグループ内の他の仮想ネットワークから重複するアドレス空間へのトラフィックは破棄されます。
セキュリティ管理者ルールの制限事項
すべての セキュリティ管理者ルール の組み合わせの IP プレフィックスの最大数は 20,000 です。
1 レベルの Azure Virtual Network Manager のセキュリティ管理者ルールの最大数は 100 です。
サービス タグ AzurePlatformDNS、AzurePlatformIMDS、および AzurePlatformLKM は、現在、セキュリティ管理者ルールではサポートされていません。
IP アドレス管理 (IPAM) の制限事項
- 現時点では、仮想ネットワークまたはサブネットから IPAM によって管理されるアドレス空間の削除はサポートされていません。 この制限は、IPAM で管理されるアドレス空間にのみ適用され、他のアドレス空間には適用されません (たとえば、IPv4 が IPAM によって管理されているが IPv6 が管理されていない場合、IPv6 アドレス空間は削除できます)。 また、IPAM プールからの IP アドレス空間の削除はサポートされていません。