ネットワーク オプションを確認するReview your network options

Azure のネットワーク機能の設計と実装は、クラウド導入作業の重要な部分です。Designing and implementing Azure networking capabilities is a critical part of your cloud adoption efforts. クラウドでホストされたワークロードやサービスを適切にサポートするには、ネットワーク設計に関する意思決定を行う必要があります。You'll need to make networking design decisions to properly support the workloads and services that will be hosted in the cloud. Azure のネットワーク製品とサービスは、さまざまなネットワーク機能をサポートしています。Azure networking products and services support a wide variety of networking capabilities. これらのサービスと選択したネットワーク アーキテクチャをどのように構成するかは、組織のワークロード、ガバナンス、および接続の要件によって異なります。How you structure these services and the networking architectures you choose depends on your organization's workload, governance, and connectivity requirements.

ワークロードのネットワーク要件を特定するIdentify workload networking requirements

ランディング ゾーンの評価と準備の一部として、ランディング ゾーンでサポートする必要があるネットワーク機能を特定する必要があります。As part of your landing zone evaluation and preparation, you need to identify the networking capabilities that your landing zone needs to support. このプロセスには、ワークロードを構成する各アプリケーションやサービスを評価して、それらの接続ネットワーク制御の要件を特定する作業が含まれます。This process involves assessing each of the applications and services that make up your workloads to determine their connectivity network control requirements. これらの要件を特定して文書化した後、ワークロードのニーズに基づいて、許可されたネットワーク リソースおよび構成を制御するためのランディング ゾーンのポリシーを作成できます。After you identify and document the requirements, you can create policies for your landing zone to control the allowed networking resources and configuration based on your workload needs.

ランディング ゾーン環境にデプロイするアプリケーションまたはサービスごとに、使用するネットワーク ツールまたはサービスを決定するために役立つ開始点として次のデシジョン ツリーを使用してください。For each application or service you'll deploy to your landing zone environment, use the following decision tree as a starting point to help you determine the networking tools or services to use:

Azure ネットワーク サービスのデシジョン ツリー 図 1: Azure ネットワーク サービスのデシジョン ツリー。Azure networking services decision tree Figure 1: The Azure networking service decision tree.

主な質問Key questions

Azure ネットワーク サービスのデシジョン ツリーに基づいた意思決定に役立てるために、ワークロードに関する次の質問に答えてください。Answer the following questions about your workloads to help you make decisions based on the Azure networking services decision tree:

  • ワークロードには仮想ネットワークが必要ですか?Will your workloads require a virtual network? マネージド PaaS (サービスとしてのプラットフォーム) のリソースの種類では、必ずしも仮想ネットワークを必要としない基になるプラットフォーム ネットワーク機能を使用します。Managed platform as a service (PaaS) resource types use underlying platform network capabilities that don't always require a virtual network. ワークロードが高度なネットワーク機能を必要とせず、サービスとしてのインフラストラクチャ (IaaS) リソースをデプロイする必要がない場合は、既定の PaaS リソースによって提供されるネイティブなネットワーク機能がワークロード接続とトラフィック管理の要件を満たす可能性があります。If your workloads don't require advanced networking features and you don't need to deploy infrastructure as a service (IaaS) resources, the default native networking capabilities provided by PaaS resources might meet your workload connectivity and traffic management requirements.
  • ワークロードには仮想ネットワークとオンプレミスのデータセンターの間の接続が必要ですか?Will your workloads require connectivity between virtual networks and your on-premises datacenter? Azure には、ハイブリッド ネットワーク機能を確立するためのソリューションとして Azure VPN Gateway と Azure ExpressRoute の 2 つが用意されています。Azure provides two solutions for establishing hybrid networking capabilities: Azure VPN gateway and Azure ExpressRoute. Azure VPN Gateway は、リモート ブランチ オフィスを設定してそこに接続する場合と同様に、サイト間 VPN 経由でオンプレミス ネットワークを Azure に接続します。Azure VPN gateway connects your on-premises networks to Azure through site-to-site VPNs similar to how you might set up and connect to a remote branch office. VPN Gateway は 10 Gbps の最大帯域幅を備えています。VPN gateway has a maximum bandwidth of 10 Gbps. Azure ExpressRoute は、Azure とオンプレミス インフラストラクチャの間のプライベート接続を使用して、より高い信頼性とより短い待機時間を提供します。Azure ExpressRoute offers higher reliability and lower latency by using a private connection between Azure and your on-premises infrastructure. ExpressRoute の帯域幅オプションは 50 Mbps ~ 100 Gbps です。Bandwidth options for ExpressRoute range from 50 Mbps to 100 Gbps.
  • オンプレミスのネットワーク デバイスを使用して送信トラフィックを検査および監査する必要がありますか?Will you need to inspect and audit outgoing traffic by using on-premises network devices? クラウドネイティブなワークロードの場合は、Azure Firewall またはクラウドでホストされたサードパーティのネットワーク仮想アプライアンス (NVA) を使用して、パブリック インターネットとやりとりするトラフィックを検査および監査できます。For cloud-native workloads, you can use Azure Firewall or cloud-hosted, third-party network virtual appliances (NVAs) to inspect and audit traffic moving to or from the public internet. しかし、多くのエンタープライズ IT セキュリティ ポリシーでは、インターネットへの送信トラフィックが組織のオンプレミス環境内の一元管理されたデバイスを通過する必要があります。But many enterprise IT security policies require internet-bound outgoing traffic to pass through centrally managed devices in the organization's on-premises environment. 強制トンネリングは、これらのシナリオをサポートします。Forced tunneling supports these scenarios. すべてのマネージド サービスが強制トンネリングをサポートしているわけではありません。Not all managed services support forced tunneling. Azure App Service 内の App Service EnvironmentAzure API ManagementAzure Kubernetes Service (AKS)Azure SQL Managed InstanceAzure DatabricksAzure HDInsight などのサービスおよび機能は、そのサービスまたは機能が仮想ネットワーク内にデプロイされている場合にこの構成をサポートします。Services and features like App Service Environment in Azure App Service, Azure API management, Azure Kubernetes Service (AKS), Azure SQL Managed Instance, Azure Databricks, and Azure HDInsight support this configuration when the service or feature is deployed inside a virtual network.
  • 複数の仮想ネットワークを接続する必要がありますか?Do you need to connect multiple virtual networks? 仮想ネットワーク ピアリングを使用して、Azure Virtual Network の複数のインスタンスを接続できます。You can use virtual network peering to connect multiple instances of Azure Virtual Network. ピアリングはサブスクリプション間およびリージョン間の接続をサポートできます。Peering can support connections across subscriptions and regions. 複数のサブスクリプション間で共有されるサービスを提供するか、または多数のネットワーク ピアリングを管理する必要があるシナリオの場合は、ハブ アンド スポーク ネットワーク アーキテクチャを導入するか、または Azure Virtual WAN を使用することを検討してください。For scenarios where you provide services that are shared across multiple subscriptions or need to manage a large number of network peerings, consider adopting a hub and spoke networking architecture or using Azure Virtual WAN. 仮想ネットワーク ピアリングは、2 つのピアリングされたネットワーク間の接続のみを提供します。Virtual network peering provides connectivity only between two peered networks. 既定では、複数のピアリングにまたがる推移的な接続は提供されません。By default, it doesn't provide transitive connectivity across multiple peerings.
  • インターネット経由でワークロードにアクセスできますか?Will your workloads be accessible over the internet? Azure には、アプリケーションやサービスへの外部アクセスの管理およびセキュリティ保護に役立つように設計された次のサービスが用意されています。Azure provides services that are designed to help you manage and secure external access to your applications and services:
  • カスタム DNS 管理をサポートする必要がありますか?Will you need to support custom DNS management? Azure DNS は DNS ドメインのホスティング サービスです。Azure DNS is a hosting service for DNS domains. Azure DNS は、Azure インフラストラクチャを使用した名前解決を提供します。Azure DNS provides name resolution by using the Azure infrastructure. ワークロードに、Azure DNS によって提供される機能を超えた名前解決が必要な場合は、追加のソリューションのデプロイが必要になることがあります。If your workloads require name resolution that goes beyond the features that are provided by Azure DNS, you might need to deploy additional solutions. ワークロードに Active Directory サービスも必要な場合は、Azure Active Directory Domain Services を使用して Azure DNS の機能を拡張することを検討してください。If your workloads also require Active Directory services, consider using Azure Active Directory Domain Services to augment Azure DNS capabilities. 機能を追加するために、カスタムの IaaS 仮想マシンをデプロイして要件をサポートすることもできます。For more capabilities, you can also deploy custom IaaS virtual machines to support your requirements.

一般的なネットワーク シナリオCommon networking scenarios

Azure ネットワークは、さまざまなネットワーク機能を提供する複数の製品およびサービスで構成されています。Azure networking is composed of multiple products and services that provide different networking capabilities. ネットワーク設計プロセスの一部として、ワークロードの要件を次の表のネットワーク シナリオと比較することにより、これらのネットワーク機能を提供するために使用できる Azure ツールまたはサービスを特定できます。As part of your networking design process, you can compare your workload requirements to the networking scenarios in the following table to identify the Azure tools or services you can use to provide these networking capabilities:

シナリオScenario ネットワーク製品またはサービスNetworking product or service
仮想マシンから受信 VPN 接続までのすべてを接続するためのネットワーク インフラストラクチャが必要です。I need the networking infrastructure to connect everything, from virtual machines to incoming VPN connections. Azure Virtual NetworkAzure Virtual Network
受信および送信接続とアプリケーションまたはサービスへの要求のバランスをとる必要があります。I need to balance inbound and outbound connections and requests to my applications or services. Azure Load BalancerAzure Load Balancer
アプリケーション サーバー ファームからの配信を最適化しながら、Web アプリケーション ファイアウォールでアプリケーションのセキュリティを向上させたいと考えています。I want to optimize delivery from application server farms while increasing application security with a Web Application Firewall. Azure Application GatewayAzure Application Gateway
Azure Front DoorAzure Front Door
高パフォーマンスの VPN ゲートウェイ経由でインターネットを安全に使用して Azure Virtual Network にアクセスする必要があります。I need to securely use the internet to access Azure Virtual Network through high-performance VPN gateways. Azure VPN GatewayAzure VPN gateway
すべてのドメイン ニーズに対して超高速の DNS 応答と超高可用性を確保したいと考えています。I want to ensure ultra-fast DNS responses and ultra-high availability for all my domain needs. Azure DNSAzure DNS
アプリケーションや格納されたコンテンツからストリーミング ビデオまで、高帯域幅コンテンツの世界中の顧客への配信を高速化する必要があります。I need to accelerate the delivery of high-bandwidth content to customers worldwide, from applications and stored content to streaming video. Azure Content Delivery Network (CDN)Azure Content Delivery Network (CDN)
Azure アプリケーションを DDoS 攻撃から保護する必要があります。I need to protect my Azure applications from DDoS attacks. Azure DDoS ProtectionAzure DDoS protection
トラフィックをグローバル Azure リージョンにまたがるサービスに最適に分散させながら、高可用性と応答性を提供する必要があります。I need to distribute traffic optimally to services across global Azure regions, while providing high availability and responsiveness. Azure の Traffic ManagerAzure Traffic Manager

Azure Front DoorAzure Front Door
Microsoft のクラウド サービスがオンプレミスの独自のデータセンターに存在するかのように、企業ネットワークからそれらのサービスにアクセスするプライベート ネットワーク接続を追加する必要があります。I need to add private network connectivity to access Microsoft cloud services from my corporate networks, as if they were on-premises and residing in my own datacenter. Azure ExpressRouteAzure ExpressRoute
状態をネットワーク シナリオのレベルで監視および診断したいと考えています。I want to monitor and diagnose conditions at a network-scenario level. Azure Network WatcherAzure Network Watcher
組み込みの高可用性、無制限のクラウド スケーラビリティ、およびメンテナンス不要を備えたネイティブなファイアウォール機能が必要です。I need native firewall capabilities, with built-in high availability, unrestricted cloud scalability, and zero maintenance. Azure FirewallAzure Firewall
ビジネス オフィス、小売の場所、およびサイトを安全に接続する必要があります。I need to connect business offices, retail locations, and sites securely. Azure Virtual WANAzure Virtual WAN
グローバルなマイクロサービス ベースの Web アプリケーションのためのスケーラブルで、かつセキュリティが強化された配信ポイントが必要です。I need a scalable, security-enhanced delivery point for global microservices-based web applications. Azure Front DoorAzure Front Door

ネットワーク アーキテクチャを選択するChoose a networking architecture

ワークロードをサポートするために必要な Azure のネットワーク サービスを特定したら、これらのサービスを組み合わせてランディング ゾーンのクラウド ネットワーク インフラストラクチャを提供するアーキテクチャも設計する必要があります。After you identify the Azure networking services that you need to support your workloads, you also need to design the architecture that will combine these services to provide your landing zone's cloud networking infrastructure. クラウド導入フレームワークのソフトウェア定義ネットワーク意思決定ガイドでは、Azure で使用される最も一般的なネットワーク アーキテクチャ パターンのいくつかに関する詳細が提供されています。The Cloud Adoption Framework Software Defined Networking decision guide provides details about some of the most common networking architecture patterns used on Azure.

次の表は、これらのパターンでサポートされる主なシナリオをまとめたものです。The following table summarizes the primary scenarios that these patterns support:

シナリオScenario 推奨されるネットワーク アーキテクチャSuggested network architecture
ランディング ゾーンにデプロイされた Azure でホストされるワークロードはすべて完全に PaaS ベースであり、仮想ネットワークを必要とせず、また IaaS リソースを含むより広範囲なクラウド導入作業の一部でもありません。All of the Azure-hosted workloads deployed to your landing zone will be entirely PaaS-based, won't require a virtual network, and aren't part of a wider cloud adoption effort that includes IaaS resources. PaaS のみPaaS-only
Azure でホストされるワークロードは、仮想マシンなどの IaaS ベースのリソースをデプロイするか、そうでない場合は仮想ネットワークを必要としますが、オンプレミス環境への接続は必要ありません。Your Azure-hosted workloads will deploy IaaS-based resources like virtual machines or otherwise require a virtual network, but don't require connectivity to your on-premises environment. クラウドネイティブCloud-native
Azure でホストされるワークロードには、オンプレミス リソースへの制限付きアクセスが必要ですが、クラウド接続を信頼できないものとして扱う必要があります。Your Azure-hosted workloads require limited access to on-premises resources, but you're required to treat cloud connections as untrusted. クラウド DMZCloud DMZ
Azure でホストされるワークロードでは、オンプレミス リソースへのアクセスに制限が必要であるため、クラウドとオンプレミス環境の間で成熟したセキュリティ ポリシーと安全な接続を実装することを計画します。Your Azure-hosted workloads require limited access to on-premises resources, and you plan to implement mature security policies and secure connectivity between the cloud and your on-premises environment. ハイブリッドHybrid
Azure サブスクリプションの制限を超える可能性のある多数の VM とワークロードをデプロイして管理する必要があるか、サブスクリプション間でサービスを共有する必要があるか、またはロール、アプリケーション、アクセス許可の分離のためのよりセグメント化された構造が必要です。You need to deploy and manage a large number of VMs and workloads, potentially exceeding Azure subscription limits, you need to share services across subscriptions, or you need a more segmented structure for role, application, or permission segregation. ハブ アンド スポークHub and spoke
互いに接続したり、Azure に接続したりする必要のある多数のブランチ オフィスがあります。You have many branch offices that need to connect to each other and to Azure. Azure Virtual WANAzure Virtual WAN

Azure 仮想データセンターAzure Virtual Datacenter

これらのアーキテクチャ パターンのいずれかの使用に加えて、エンタープライズ IT グループが大規模なクラウド環境を管理する場合は、「CAF エンタープライズ規模のランディング ゾーン」を参照することを検討してください。In addition using one of these architecture patterns, if your enterprise IT group manages large cloud environments, consider consulting the CAF enterprise-scale landing zone. Azure ベースのクラウド インフラストラクチャを設計するとき、クラウドで 1,000 を超える資産 (アプリ、インフラストラクチャ、またはデータ資産) をホストする中期的目標 (24 か月以内) がある場合は、CAF エンタープライズ規模のランディング ゾーンによって、ネットワーク、セキュリティ、管理、インフラストラクチャが組み合わされたアプローチが提供されます。When you design your Azure-based cloud infrastructure, the CAF enterprise-scale landing zone provides a combined approach to networking, security, management, and infrastructure if you have a mid-term objective (within 24 months) to host more than 1,000 assets (apps, infrastructure, or data assets) in the cloud.

次の条件を満たす組織については、CAF エンタープライズ規模のランディング ゾーンで開始することが適切である場合があります。For organizations that meet the following criteria, you may also want to start with the CAF enterprise-scale landing zone:

  • 企業が、集中管理された監視機能と監査機能を必要とする規制コンプライアンス要件の影響を受ける。Your enterprise is subject to regulatory compliance requirements that require centralized monitoring and audit capabilities.
  • 共通のポリシーとガバナンスのコンプライアンス、およびコア サービスに対する集中的な IT 制御を維持する必要がある。You need to maintain common policy and governance compliance and centralized IT control over core services.
  • 所属する業界が複雑なプラットフォームに依存しており、そのプラットフォームを制御するために複雑なコントロールや各分野の深い専門知識が必要になる。Your industry depends on a complex platform which requires complex controls and deep domain expertise to govern the platform. これは、金融、石油とガス、製造の大企業で最も一般的です。This is most common in large enterprises within finance, oil and gas, or manufacturing.
  • 既存の IT ガバナンス ポリシーにより、初期段階の導入時であっても、既存の機能とのより厳密な整合性が必要になる。Your existing IT governance policies require tighter parity with existing features, even during early stage adoption.

Azure ネットワークのベスト プラクティスに従うFollow Azure networking best practices

ネットワーク設計プロセスの一部として、次の記事を参照してください。As part of your networking design process, see these articles: