仮想ネットワーク サブネットの追加、変更、削除
仮想ネットワーク内のすべての Azure リソースは、仮想ネットワーク内のサブネットにデプロイされます。 この記事では、Azure portal、Azure CLI、または Azure PowerShell を使用して、仮想ネットワーク サブネットを追加、変更、または削除する方法について説明します。
前提条件
- アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
- 既存の Azure 仮想ネットワーク。 仮想ネットワークを作成するには、「クイック スタート: Azure portal を使用した仮想ネットワークの作成」をご覧ください。
- プロシージャを実行するには、Azure アカウントで Azure portal にサインインします。
アクセス許可
サブネットでタスクを実行するには、ネットワークの共同作成者ロール、または次のリストに記載されている適切なアクションを割り当てられているカスタム ロールにアカウントが割り当てられている必要があります。
| アクション | 名前 |
|---|---|
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワークのサブネットを読み取ります。 |
| Microsoft.Network/virtualNetworks/subnets/write | 仮想ネットワークのサブネットを作成または更新します。 |
| Microsoft.Network/virtualNetworks/subnets/delete | 仮想ネットワークのサブネットを削除します。 |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに接続します。 |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | サブネットに対してサービス エンドツーエンドを有効にします。 |
| Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | サブネット上の仮想マシンを取得します。 |
サブネットの追加
- Azure portal で、[仮想ネットワーク] を検索して選択します。
- [仮想ネットワーク] ページで、サブネットを追加する仮想ネットワークを選択します。
- 仮想ネットワーク ページで、左側のナビゲーションから [サブネット] を選択します。
- [サブネット] ページで [+ サブネット] を選択します。
- [サブネットの追加] 画面で、サブネット設定の値を入力または選択します。
- [保存] を選択します。
サブネットの次の設定を構成できます。
| 設定 | 内容 |
|---|---|
| 名前 | 仮想ネットワーク内で一意となる名前を使用してください。 他の Azure サービスとの最大限の互換性を維持するために、名前の最初の文字として英字を使用します。 たとえば、Azure Application Gateway は、数字で始まる名前を持つサブネットにはデプロイできません。 |
| サブネットのアドレス範囲 | この範囲はアドレス空間内で一意である必要があります。仮想ネットワーク内の他のサブネット アドレス範囲と重複することはできません。 アドレス空間は、Classless Inter-Domain Routing (CIDR) 表記で指定する必要があります。 例えば、アドレス空間が 10.0.0.0/16 の仮想ネットワークでは、 10.0.0.0/22 のサブネット アドレス空間を定義できます。 指定できる最小範囲は、/29 です。この場合、サブネットに 8 つの IP アドレスを使用できます。 Azure では、プロトコル準拠のために各サブネットの最初と最後のアドレスが予約され、Azure サービスの使用のためにさらに 3 つのアドレスが予約されます。 そのため、/29 のアドレス範囲が設定されたサブネットを定義すると、そのサブネットで使用できる IP アドレスが 3 つになります。仮想ネットワークを仮想プライベート ネットワーク (VPN) ゲートウェイに接続する場合は、ゲートウェイ サブネットを作成する必要があります。 詳細については、「ゲートウェイのサブネット」を参照してください。 |
| IPv6 アドレス空間を追加します | 既存の IPv6 アドレス空間を追加することで、IPv4 と IPv6 をサポートするデュアル スタックの仮想ネットワークを作成できます。 現時点では、IPv6 は Azure のすべてのサービスで完全にサポートされているわけではありません。 詳細については、Azure Virtual Network の IPv6 の概要に関するページを参照してください |
| プライベート サブネット | サブネットをプライベートに設定すると、サブネット内に作成された仮想マシンに既定の送信アクセスを使用できなくなります。 この機能はプレビュー段階にあります。 |
| NAT Gateway | サブネット上のリソースにネットワーク アドレス変換 (NAT) を提供するために、既存の NAT ゲートウェイをサブネットに関連付けることができます。 NAT ゲートウェイは、仮想ネットワークと同じサブスクリプションと場所に存在する必要があります。 詳細については、「仮想ネットワーク NAT」と「クイックスタート: Azure portal を使用して NAT ゲートウェイを作成する」を参照してください。 |
| ネットワーク セキュリティ グループ | サブネットの受信および送信ネットワーク トラフィックをフィルター処理するために、既存のネットワーク セキュリティ グループ (NSG) をサブネットに関連付けることができます。 NSG は、仮想ネットワークと同じサブスクリプションと場所に存在する必要があります。 詳細については、「ネットワーク セキュリティ グループ」および「Azure portal を使用してネットワーク セキュリティ グループでネットワーク トラフィックをフィルター処理する」を参照してください。 |
| ルート テーブル | 他のネットワークへのネットワーク トラフィック ルーティングを制御するために、必要に応じて、既存のルート テーブルをサブネットに関連付けることができます。 ルート テーブルは、仮想ネットワークと同じサブスクリプションと場所に存在する必要があります。 詳細については、「仮想ネットワーク トラフィックのルーティング」と「チュートリアル: Azure portal を使用してルート テーブルでネットワーク トラフィックをルーティングする」を参照してください。 |
| サービス エンドポイント | 必要に応じて、サブネットに対して 1 つ以上のサービス エンドポイントを有効にすることができます。 ポータル サブネットのセットアップ中にサービスのサービス エンドポイントを有効にするには、[サービス] の下のポップアップ リストから、サービス エンドポイントが必要なサービス (複数可) を選択します。 Azure では、エンドポイントの場所が自動的に構成されます。 サービス エンドポイントを削除するには、サービス エンドポイントを削除するサービスを選択解除します。 詳細については、仮想ネットワーク サービス エンドポイントに関するページを参照してください。 Azure では、既定で、仮想ネットワークのリージョンに対してサービス エンドポイントが構成されます。 リージョン フェールオーバーのシナリオに対応するために、Azure では、Azure Storage に対して Azure のペアになっているリージョンにエンドポイントを自動的に構成します。 サービス エンドポイントを有効にしたら、サービスで作成されたリソースのサブネット アクセスも有効にする必要があります。 たとえば、Microsoft.Storage のサービス エンドポイントを有効にする場合は、ネットワーク アクセスを許可するすべての Azure ストレージ アカウントへのネットワーク アクセスも有効にする必要があります。 サービス エンドポイントが有効になっているサブネットへのネットワーク アクセスを有効にするには、個々のサービスのドキュメントを参照してください。 サブネットに対してサービス エンドポイントが有効にされていることを検証するには、サブネット上の任意のネットワーク インターフェイスの有効なルートを表示します。 エンドポイントを構成するときに、そのサービスのアドレス プレフィックスと次ホップの種類 VirtualNetworkServiceEndpoint からなる "既定" のルートが表示されます。 詳細については、「仮想ネットワーク トラフィックのルーティング」を参照してください。 |
| サブネットの委任 | 必要に応じて、サブネットに対して 1 つ以上の委任を有効にすることができます。 サブネット委任では、サービスのデプロイ時に一意の ID を利用してサブネットにサービス固有のリソースを作成するための明示的なアクセス許可がサービスに与えられます。 ポータル サブネットのセットアップ中にサービスに委任するには、ポップアップ リストから委任先となるサービスを選択します。 |
| プライベート エンドポイントのネットワーク ポリシー | プライベート エンドポイントに送信されるトラフィックを制御するために、ネットワーク セキュリティ グループまたはルート テーブルを使用できます。 ポータル サブネットのセットアップ中に、[プライベート エンドポイント ネットワーク ポリシー] でこれらのオプションのいずれかまたは両方を選択して、サブネットでこれらのコントロールを使用します。 有効にすると、ネットワーク ポリシーがサブネット上のすべてのプライベート エンドポイントに適用されます。 詳細については、「プライベート エンドポイントのネットワーク ポリシーを管理する」を参照してください。 |
サブネット設定の変更
- Azure portal で、[仮想ネットワーク] を検索して選択します。
- [仮想ネットワーク] ページで、サブネット設定を変更する仮想ネットワークを選択します。
- 仮想ネットワークのページで、左側のナビゲーションから [サブネット] を選択します。
- [サブネット] ページで、設定を変更するサブネットを選択します。
- サブネット画面でサブネットの設定を変更し、[保存] を選択します。
サブネットの作成後に、次のサブネット設定を変更できます。
| 設定 | 説明 |
|---|---|
| サブネットのアドレス範囲 | サブネット内にリソースがデプロイされていない場合は、アドレス範囲を変更できます。 サブネット内にリソースが存在する場合は、まず、そのリソースを別のサブネットに移動するか、サブネットから削除する必要があります。 リソースを移動または削除する手順は、リソースによって異なります。 サブネット内のリソースを移動または削除する方法については、リソースの種類に応じたドキュメントをご覧ください。 |
| IPv6 アドレス空間の追加、NAT ゲートウェイ、ネットワーク セキュリティ グループ、ルーティング テーブル | サブネットを作成した後、IPv6、NAT ゲートウェイ、NSG、またはルート テーブルのサポートを追加できます。 |
| サービス エンドポイント | 既存のサブネットに対してサービス エンドポイントを有効にするには、サブネット上のリソース上で重要なタスクが実行されていないことを確認してください。 サービス エンドポイントは、サブネット内のすべてのネットワーク インターフェイスでルートを切り替えます。 サービス エンドポイントは、0.0.0.0/0 アドレス プレフィックスと次ホップの種類 Internet からなる既定のルートの使用から、サービスのアドレス プレフィックスと次ホップの種類 VirtualNetworkServiceEndpoint からなる新しいルートの使用まで変更を行います。切り替えの間、開いている TCP 接続は終了されることがあります。 サービス エンドポイントは、すべてのネットワーク インターフェイスについて、サービスに対するトラフィックが新しいルートで更新されるまで有効にされません。 詳細については、「仮想ネットワーク トラフィックのルーティング」を参照してください。 |
| サブネットの委任 | サブネットの委任を変更して、0 または複数の委任を有効にすることができます。 あるサービスのあるリソースがサブネットで既にデプロイされている場合、サービスのすべてのリソースが削除されるまで、サブネット委任を追加したり削除したりすることはできません。 ポータルで別のサービスに委任するには、ポップアップ リストから委任先となるサービスを選択します。 |
| プライベート エンドポイントのネットワーク ポリシー | プライベート エンドポイント ネットワーク ポリシーは、サブネットの作成後に変更できます。 |
サブネットの削除
サブネット内にリソースがない場合にのみ、サブネットを削除できます。 サブネット内にリソースがある場合は、サブネットを削除する前に、そのリソースを削除する必要があります。 リソースを削除する方法は、リソースによって異なります。 リソースを削除する方法については、各リソースの種類に関するドキュメントを参照してください。
- Azure portal で、[仮想ネットワーク] を検索して選択します。
- [仮想ネットワーク] ページで、サブネットを削除する仮想ネットワークを選択します。
- 仮想ネットワークのページで、左側のナビゲーションから [サブネット] を選択します。
- [サブネット] ページで、設定を変更するサブネットを選択します。
- [削除] を選択し、確認のダイアログ ボックスで [はい] を選択します。