Azure 仮想ネットワークの詳細

  • 10 分

オンプレミスのデータセンターを保持する予定ですが、Azure を使用して、Azure でホストされている仮想マシン (VM) を使用してピーク 時のトラフィックをオフロードする必要があります。 データ転送が安全であることを保証しながら、既存の IP アドレス指定スキームとネットワーク アプライアンスを維持する必要があります。

Azure 仮想ネットワークとは

Azure 仮想ネットワーク を使用すると、仮想マシン、Web アプリ、データベースなどの Azure リソースが相互に、インターネット上のユーザー、オンプレミスのクライアント コンピューターと通信できます。 Azure ネットワークは、他の Azure リソースをリンクするリソースのセットと考えることができます。

Azure 仮想ネットワークには、次の主要なネットワーク機能が用意されています。

  • 分離とセグメント化
  • インターネット通信
  • Azure リソース間の通信
  • オンプレミス のリソースと通信する
  • ネットワーク トラフィックのルーティング
  • ネットワーク トラフィックをフィルター処理する
  • 仮想ネットワークの接続

分離とセグメント化

Azure では、複数の分離された仮想ネットワークを作成できます。 仮想ネットワークを設定するときは、パブリック IP アドレス範囲またはプライベート IP アドレス範囲を使用して、プライベート インターネット プロトコル (IP) アドレス空間を定義します。 その後、その IP アドレス空間をサブネットに分割し、定義されたアドレス空間の一部を各名前付きサブネットに割り当てることができます。

名前解決には、Azure に組み込まれている名前解決サービスを使用することも、内部または外部のドメイン ネーム システム (DNS) サーバーを使用するように仮想ネットワークを構成することもできます。

インターネット通信

Azure の VM は、既定でインターネットに接続できます。 パブリック IP アドレスまたはパブリック ロード バランサーを定義することで、インターネットからの受信接続を有効にすることができます。 VM 管理の場合は、Azure CLI、リモート デスクトップ プロトコル (RDP)、または Secure Shell (SSH) を使用して接続できます。

Azure リソース間の通信

Azure リソースが互いに安全に通信できるようにする必要があります。 次の 2 つの方法のいずれかでこれを実現します。

  • 仮想ネットワーク: 仮想ネットワークは、VM だけでなく、App Service Environment、Azure Kubernetes Service、Azure 仮想マシン スケール セットなどの他の Azure リソースにも接続できます。

  • サービス エンドポイント: サービス エンドポイントを使用して、Azure SQL データベースやストレージ アカウントなどの他の種類の Azure リソースに接続できます。 この方法では、複数の Azure リソースを仮想ネットワークにリンクできるため、セキュリティが向上し、リソース間の最適なルーティングが提供されます。

オンプレミス のリソースと通信する

Azure 仮想ネットワークを使用すると、オンプレミス環境と Azure サブスクリプション内でリソースをリンクでき、実際にはローカル環境とクラウド環境の両方にまたがるネットワークを作成できます。 この接続を実現するためのメカニズムが 3 つあります。

  • ポイント対サイト仮想プライベート ネットワーク: このアプローチは、組織外のコンピューターが企業ネットワークに戻す仮想プライベート ネットワーク (VPN) 接続に似ていますが、逆方向に動作している点が異なります。 この場合、クライアント コンピューターは Azure への暗号化された VPN 接続を開始し、そのコンピューターを Azure 仮想ネットワークに接続します。

  • サイト間仮想プライベート ネットワーク: サイト間 VPN は、オンプレミスの VPN デバイスまたはゲートウェイを仮想ネットワーク内の Azure VPN ゲートウェイにリンクします。 実際には、Azure 内のデバイスはローカル ネットワーク上にあるものとして表示できます。 接続は暗号化され、インターネット経由で動作します。

  • Azure ExpressRoute: より高い帯域幅とさらに高いレベルのセキュリティが必要な環境では、Azure ExpressRoute が最適なアプローチです。 Azure ExpressRoute は、インターネット経由で移動しない Azure への専用プライベート接続を提供します。

ネットワーク トラフィックのルーティング

既定では、Azure は、接続されている仮想ネットワーク、オンプレミス ネットワーク、およびインターネット上のサブネット間でトラフィックをルーティングします。 ただし、ルーティングを制御し、これらの設定を次のようにオーバーライドすることができます。

  • ルート テーブル: ルート テーブルを使用すると、トラフィックのルーティング方法に関するルールを定義できます。 サブネット間でパケットがルーティングされる方法を制御する、カスタム ルート テーブルを作成できます。

  • Border Gateway Protocol: Border Gateway Protocol (BGP) は、Azure VPN ゲートウェイまたは ExpressRoute と連携して、オンプレミスの BGP ルートを Azure 仮想ネットワークに伝達します。

ネットワーク トラフィックをフィルター処理する

Azure 仮想ネットワークを使用すると、次の方法を使用してサブネット間のトラフィックをフィルター処理できます。

  • ネットワーク セキュリティ グループ: ネットワーク セキュリティ グループ (NSG) は、複数の受信および送信セキュリティ規則を含むことができる Azure リソースです。 送信元と送信先の IP アドレス、ポート、プロトコルなどの要素に基づいて、トラフィックを許可またはブロックする各規則を定義できます。

  • ネットワーク仮想アプライアンス: ネットワーク仮想アプライアンスは、強化されたネットワーク アプライアンスと比較できる特殊な VM です。 ネットワーク仮想アプライアンスは、ファイアウォールの実行や WAN 最適化の実行など、特定のネットワーク機能を実行します。

仮想ネットワークの接続

仮想ネットワーク ピアリングを使用して、仮想ネットワークをリンクできます。 ピアリングを使用すると、各仮想ネットワーク内のリソースを相互に通信させることができます。 これらの仮想ネットワークは別々のリージョンに配置できるため、Azure 経由でグローバルに相互接続されたネットワークを作成できます。

Azure 仮想ネットワークの設定

Azure 仮想ネットワークは、Azure portal、ローカル コンピューター上の Azure PowerShell、または Azure Cloud Shell から作成して構成できます。

仮想ネットワークを作成する

Azure 仮想ネットワークを作成するときは、多くの基本設定を構成します。 また、複数のサブネット、分散型サービス拒否 (DDoS) 保護、サービス エンドポイントなどの詳細設定を構成することもできます。

[仮想ネットワークの作成] ウィンドウフィールドの例を示す Azure portal のスクリーンショット。

基本的な仮想ネットワークに対して次の設定を構成します。

  • ネットワーク名: ネットワーク名はサブスクリプション内で一意である必要がありますが、グローバルに一意である必要はありません。 名前を覚えやすく、他の仮想ネットワークから識別しやすい名前にします。

  • アドレス空間: 仮想ネットワークを設定するときに、クラスレス Inter-Domain ルーティング (CIDR) 形式で内部アドレス空間を定義します。 このアドレス空間は、サブスクリプション内および接続先の他のネットワーク内で一意である必要があります。

    最初の仮想ネットワークに 10.0.0.0/24 のアドレス空間を選択するとします。 このアドレス空間で定義されているアドレスの範囲は、10.0.0.1 から 10.0.0.254 です。 次に、2 つ目の仮想ネットワークを作成し、10.0.0.0/8 のアドレス空間を選択します。 このアドレス空間のアドレスの範囲は、10.0.0.1 から 10.255.255.254 です。 一部のアドレスは重複しており、2 つの仮想ネットワークには使用できません。

    ただし、10.0.0.0/16 を使用できます。 アドレスは 10.0.0.0.1 から 10.0.255.254、10.1.0.0/16 の範囲で、アドレスは 10.1.0.1 から 10.1.255.254 までです。 アドレスの重複がないため、これらのアドレス空間を仮想ネットワークに割り当てることができます。

    仮想ネットワークの作成後にアドレス空間を追加できます。

  • サブスクリプション: 選択するサブスクリプションが複数ある場合にのみ適用されます。

  • リソース グループ: 他の Azure リソースと同様に、仮想ネットワークがリソース グループに存在する必要があります。 既存のリソース グループを選択するか、新しいリソース グループを作成できます。

  • 場所: 仮想ネットワークを存在させる場所を選択します。

  • サブネット: 各仮想ネットワーク アドレス範囲内で、仮想ネットワークのアドレス空間をパーティション分割する 1 つ以上のサブネットを作成できます。 サブネット間のルーティングは、既定のトラフィック ルートに依存するか、カスタム ルートを定義できます。 または、すべての仮想ネットワークのアドレス範囲を含む 1 つのサブネットを定義することもできます。

    サブネット名は、文字または数字で始まり、文字、数字、またはアンダースコアで終わる必要があり、文字、数字、アンダースコア、ピリオド、またはハイフンのみを含めることができます。

  • 分散型サービス拒否 (DDoS) 保護: Basic または Standard DDoS 保護のいずれかを選択できます。 Standard DDoS Protection はプレミアム サービスです。 Azure DDoS Protection では、DDoS Protection に関する詳細情報が提供されます。

  • サービス エンドポイント: ここでは、サービス エンドポイントを有効にし、有効にする Azure サービス エンドポイントの一覧から選択します。 オプションには、Azure Cosmos DB、Azure Service Bus、Azure Key Vault などがあります。

これらの設定を構成したら、[ 作成] を選択します。

その他の設定を定義する

仮想ネットワークを作成したら、さらに設定を定義できます。 設定は次のとおりです。

  • ネットワーク セキュリティ グループ: ネットワーク セキュリティ グループには、仮想ネットワーク サブネットとネットワーク インターフェイスとの間で送受信できるネットワーク トラフィックの種類をフィルター処理できるセキュリティ規則があります。 ネットワーク セキュリティ グループは個別に作成し、仮想ネットワークに関連付けます。

  • ルート テーブル: Azure では、Azure 仮想ネットワーク内のサブネットごとにルート テーブルが自動的に作成され、システムの既定のルートがテーブルに追加されます。 ただし、カスタム ルート テーブルを追加して、仮想ネットワーク間のトラフィックを変更することはできます。

サービス エンドポイントを修正することもできます。

仮想ネットワーク設定を編集するためのペインの例を示す Azure portal のスクリーンショット。

仮想ネットワークを構成する

仮想ネットワークを作成したら、Azure portal の [ 仮想ネットワーク ] ウィンドウからその他の設定を変更できます。 または、Cloud Shell で PowerShell コマンドまたはコマンドを使用して変更を行うこともできます。

仮想ネットワークを構成するためのペインの例を示す Azure portal のスクリーンショット。

その後、その他のサブペインで設定を確認および変更できます。 設定は次のとおりです。

  • アドレス空間: 初期定義にさらにアドレス空間を追加できます。

  • 接続されているデバイス: 仮想ネットワークを使用してマシンを接続します。

  • サブネット: さらにサブネットを追加します。

  • ピアリング: ピアリングの配置で仮想ネットワークをリンクします。

また、仮想ネットワークを監視およびトラブルシューティングしたり、現在の仮想ネットワークを生成する自動化スクリプトを作成したりすることもできます。

仮想ネットワークは、Azure でエンティティを接続するための強力で構成可能なメカニズムです。 Azure リソースを相互に接続することも、オンプレミスのリソースに接続することもできます。 ネットワーク トラフィックの分離、フィルター処理、ルーティングを行うことができます。Azure を使用すると、必要に応じてセキュリティを強化できます。