Azure Virtual Network とは

Azure Virtual Network は、Azure のプライベート ネットワークの基本的な構成要素を提供するサービスです。 サービス (仮想ネットワーク) のインスタンスを使用すると、さまざまな種類の Azure リソースが、互い、インターネット、およびオンプレミス ネットワークと安全に通信できます。 これらの Azure リソースには、仮想マシン (VM) が含まれます。

仮想ネットワークは、独自のデータセンターで運用する従来のネットワークに似ています。 ただし、スケール、可用性、分離など、Azure インフラストラクチャの追加の利点があります。

Azure 仮想ネットワークを使用する理由

仮想ネットワークで実現できる主なシナリオは次のとおりです。

• インターネットとの Azure リソースの通信。
• Azure リソース間の通信。
• オンプレミス リソースとの通信。
• ネットワーク トラフィックのフィルター処理。
• ネットワーク トラフィックのルーティング。
• Azure サービスとの統合。

インターネットとの通信

仮想ネットワーク内のすべてのリソースは、既定でインターネットと送信通信できます。 また、パブリック IP アドレス、NAT ゲートウェイ、またはパブリック ロード バランサー を使用して、送信接続を管理することもできます。 パブリック IP アドレスまたはパブリック ロード バランサーを割り当てることによって、リソースへのインバウンド通信を可能にできます。

内部標準ロード バランサーのみを使用している場合、送信接続は、インスタンスレベルのパブリック IP アドレスまたはパブリック ロード バランサーを使用する方法を定義するまで使用できません。

Azure リソース間の通信

Azure リソースは、次のいずれかの方法で相互に安全に通信します。

• 仮想ネットワーク: VM やその他の種類の Azure リソースを仮想ネットワークにデプロイできます。 リソースの例としては、App Service Environment、Azure Kubernetes Service (AKS)、Azure Virtual Machine Scale Sets などがあります。 仮想ネットワークにデプロイできる Azure リソースの完全な一覧を表示するには、「専用の Azure サービスを仮想ネットワークにデプロイする」を参照してください。
• 仮想ネットワーク サービス エンドポイント: 直接接続を介して、仮想ネットワークのプライベート アドレス空間と仮想ネットワークの ID を Azure サービス リソースに拡張できます。 リソースの例としては、Azure Storage アカウントや Azure SQL Database などがあります。 サービス エンドポイントを使用すると、重要な Azure サービス リソースを仮想ネットワークのみにセキュリティで保護できます。 詳細については、「仮想ネットワーク サービス エンドポイント 」を参照してください。
• 仮想ネットワーク ピアリング: 仮想ピアリングを使用して、仮想ネットワークを相互に接続できます。 その後、いずれかの仮想ネットワーク内のリソースが相互に通信できるようになります。 接続する仮想ネットワークは、同じ Azure リージョンまたは異なる Azure リージョンに存在できます。 詳細については、「仮想ネットワーク ピアリングの 」を参照してください。

オンプレミス のリソースと通信する

次のいずれかのオプションを使用して、オンプレミスのコンピューターとネットワークを仮想ネットワークに接続できます。

• ポイント対サイト仮想プライベート ネットワーク (VPN): 仮想ネットワークとネットワーク内の 1 台のコンピューターの間で確立されます。 仮想ネットワークとの接続を確立する各コンピューターは、その接続を構成する必要があります。 この接続の種類は、Azure の使用を開始したばかりの場合や、既存のネットワークにほとんどまたはまったく変更を加える必要がないため、開発者向けの場合に便利です。 コンピューターと仮想ネットワーク間の通信は、インターネット経由で暗号化されたトンネルを介して送信されます。 詳細については、「ポイント対サイト VPNについて」を参照してください。
• サイト間 VPN: オンプレミスの VPN デバイスと、仮想ネットワークにデプロイされている Azure VPN ゲートウェイの間で確立されます。 この接続の種類により、仮想ネットワークへのアクセスを承認するすべてのオンプレミス リソースが有効になります。 オンプレミスの VPN デバイスと Azure VPN ゲートウェイの間の通信は、インターネット経由で暗号化されたトンネルを介して送信されます。 詳細については、「サイト間 VPN」を参照してください。
• Azure ExpressRoute: ExpressRoute パートナーを介して、ネットワークと Azure の間で確立されます。 この接続はプライベートです。 トラフィックはインターネットを経由しません。 詳細については、「Azure ExpressRoute とは」を参照してください。.

ネットワーク トラフィックをフィルター処理する

次のオプションのいずれかまたは両方を使用して、サブネット間のネットワーク トラフィックをフィルター処理できます。

• ネットワーク セキュリティ グループ: ネットワーク セキュリティ グループとアプリケーション セキュリティ グループには、複数の受信および送信セキュリティ規則を含めることができます。 これらの規則を使用すると、送信元と送信先の IP アドレス、ポート、プロトコルによってリソースとの間のトラフィックをフィルター処理できます。 詳細については、「ネットワーク セキュリティ グループ」と「アプリケーション セキュリティ グループ」を参照してください。
• ネットワーク仮想アプライアンス: ネットワーク仮想アプライアンスは、ファイアウォールや WAN の最適化などのネットワーク機能を実行する VM です。 仮想ネットワークにデプロイできる使用可能なネットワーク仮想アプライアンスの一覧を表示するには、Azure Marketplace に移動します。

ネットワーク トラフィックのルーティング

Azure では、既定では、サブネット、接続された仮想ネットワーク、オンプレミス ネットワーク、インターネットの間でトラフィックがルーティングされます。 次のオプションのいずれかまたは両方を実装して、Azure によって作成される既定のルートをオーバーライドできます。

• ルート テーブル: 各サブネット トラフィックのルーティング先を制御するカスタム ルート テーブル を作成できます。
• ボーダー ゲートウェイ プロトコル (BGP) ルート: Azure VPN ゲートウェイ または ExpressRoute 接続を使用して、仮想ネットワークをオンプレミス ネットワークに接続する場合は、オンプレミスの BGP ルートを仮想ネットワークに伝達できます。

Azure サービスとの統合

Azure サービスと Azure 仮想ネットワークを統合すると、仮想ネットワーク内の仮想マシンまたはコンピューティング リソースからサービスへのプライベート アクセスが可能になります。 この統合には、次のオプションを使用できます。

• サービス の専用インスタンス 仮想ネットワークにデプロイします。 その後、サービスは、仮想ネットワーク内およびオンプレミス ネットワークからプライベートにアクセスできます。
• Azure Private Link を使用して、仮想ネットワークとオンプレミス ネットワークからサービスの特定のインスタンスにプライベートにアクセスします。
• サービス エンドポイントを介してサービスに仮想ネットワークを拡張することで、パブリック エンドポイント経由でサービスにアクセス。 サービス エンドポイントを使用すると、サービス リソースを仮想ネットワークに対してセキュリティで保護できます。

制限

デプロイできる Azure リソースの数には制限があります。 ほとんどの Azure ネットワーク制限は最大値です。 ただし、特定のネットワーク制限を 増やせます。 詳細については、「ネットワークの制限」を参照してください。

仮想ネットワークと可用性ゾーン

仮想ネットワークとサブネットは、リージョン内のすべての可用性ゾーンにまたがっています。 ゾーン 内のリソースに対応するために、可用性ゾーンで分割する必要はありません。 たとえば、ゾーン VM を構成する場合、VM の可用性ゾーンを選択するときに仮想ネットワークを考慮する必要はありません。 他のゾーン リソースについても同様です。

価格設定

Azure Virtual Network の使用には料金はかかりません。 コストは無料です。 VM やその他の製品などのリソースには、標準料金が適用されます。 詳細については、Virtual Network の価格 と Azure 料金計算ツールのに関するページを参照してください。