Azure ネットワーク サービスの概要

Azure のネットワーク サービスにはさまざまなネットワーク機能があり、単独で使用することも組み合わせて使用することもできます。 主な機能については、次のリンクをクリックしてください。

  • 接続サービス:Azure リソースとオンプレミス リソースを接続するには、Azure の次のネットワーク サービスを単独で、または組み合わせて使用します - Virtual Network (VNet)、Virtual WAN、ExpressRoute、VPN Gateway、Virtual Network NAT Gateway、Azure DNS, Peering Service、Azure Bastion。
  • アプリケーション保護サービス: アプリケーションを保護するには、Azure の次のネットワーク サービスを単独で、または組み合わせて使用します - Load Balancer、Private Link、DDoS Protection、Firewall、ネットワーク セキュリティ グループ、Web Application Firewall、仮想ネットワーク エンドポイント。
  • アプリケーション配信サービス: Azure ネットワークでアプリケーションを配信するには、Azure の次のネットワーク サービスを単独で、または組み合わせて使用します - Content Delivery Network (CDN)、Azure Front Door Service、Traffic Manager、Application Gateway、Internet Analyzer、Load Balancer。
  • ネットワークの監視: ネットワーク リソースを監視するには、Azure の次のネットワーク サービスを単独で、または組み合わせて使用します - Network Watcher、ExpressRoute Monitor、Azure Monitor、VNet ターミナル アクセス ポイント (TAP)。

接続サービス

このセクションでは、Azure リソース間の接続、オンプレミス ネットワークから Azure リソースへの接続、Azure でのブランチ間接続を実現するサービス (Virtual Network (VNet)、ExpressRoute、VPN Gateway、Virtual WAN、Virtual Network NAT Gateway、Azure DNS、Azure Peering Service、Azure Bastion) について説明します。

Virtual Network

Azure Virtual Network (VNet) は、Azure 内のプライベート ネットワークの基本的な構成要素です。 VNet の用途は次のとおりです。

  • Azure リソース間の通信:仮想ネットワークに、VM や他のいくつかの種類の Azure リソース (Azure App Service Environment、Azure Kubernetes Service (AKS)、Azure Virtual Machine Scale Sets など) をデプロイできます。 仮想ネットワークにデプロイできる Azure リソースの詳細な一覧については、仮想ネットワーク サービスの統合に関するページを参照してください。
  • 相互通信:仮想ネットワークを相互に接続することで、任意の仮想ネットワークのリソースが仮想ネットワーク ピアリングを使用して相互に通信できるようになります。 接続する仮想ネットワークが属している Azure リージョンは、同じであっても異なっていてもかまいません。 詳細については、「仮想ネットワーク ピアリング」をご覧ください。
  • インターネットとの通信:VNet 内のすべてのリソースにおいて、既定でインターネットへの送信方向の通信が可能です。 リソースへの受信通信は、リソースにパブリック IP アドレスまたはパブリック ロード バランサーを割り当てることによって可能になります。 パブリック IP アドレスやパブリック ロード バランサーを使用して送信接続を管理することもできます。
  • オンプレミス ネットワークとの通信:オンプレミスのコンピューターとネットワークを仮想ネットワークに接続するには、VPN Gateway または ExpressRoute を使用します。

詳細については、Azure Virtual Networkに関するページを参照してください。

ExpressRoute

ExpressRoute では、接続プロバイダーが提供するプライベート接続を介して、オンプレミスのネットワークを Microsoft クラウドに拡張することができます。 この接続はプライベート接続です。 トラフィックはインターネットを経由しません。 ExpressRoute では、Microsoft Azure、Microsoft 365、Dynamics 365 などの Microsoft クラウド サービスへの接続を確立できます。 詳細については、ExpressRoute に関するページを参照してください。

Azure ExpressRoute

VPN Gateway

VPN Gateway では、オンプレミスの場所から仮想ネットワークへの暗号化されたクロスプレミス接続を作成したり、VNet 間に暗号化された接続を作成したりすることができます。 VPN Gateway 接続には、サイト間、ポイント対サイト、VNet 間など、さまざまな構成があります。 次の図は、同じ仮想ネットワークへの複数のサイト間 VPN 接続を示しています。

サイト間の Azure VPN Gateway 接続

各種の VPN 接続の詳細については、VPN Gateway に関するページを参照してください。

Virtual WAN

Azure Virtual WAN は、Azure への、または Azure 経由での、最適化および自動化されたブランチ接続を提供するネットワーク サービスです。 Azure リージョンは、ブランチの接続先として選択できるハブとして機能します。 Azure バックボーンを利用してブランチを接続し、ブランチから VNet への接続を利用することもできます。 Azure Virtual WAN は、サイト間 VPN、ExpressRoute、ポイント対サイト ユーザー VPN などの多数の Azure クラウド接続サービスを、1 つの操作インターフェイスにまとめます。 Azure VNet への接続は、仮想ネットワーク接続を使用して確立されます。 詳細については、「Azure Virtual WAN とは」を参照してください。

Virtual WAN のダイアグラム

Azure DNS

Azure DNS は、DNS ドメインのホスティング サービスであり、Microsoft Azure インフラストラクチャを使用した名前解決を提供します。 Azure でドメインをホストすることで、その他の Azure サービスと同じ資格情報、API、ツール、課金情報を使用して DNS レコードを管理できます。 詳細については、「Azure DNS とは」を参照してください。

Azure Bastion

Azure Bastion サービスは、お使いの仮想ネットワーク内でプロビジョニングする、新しいフル プラットフォームマネージド PaaS サービスです。 これは、Azure portal 内で直接 TLS を経由して、お使いの仮想マシンへの安全かつシームレスな RDP または SSH 接続を提供します。 Azure Bastion 経由で接続する場合、ご自分の仮想マシンにパブリック IP アドレスは必要ありません。 詳細については、Azure Bastion に関するページを参照してください。

Azure Bastion のアーキテクチャ

Virtual Network NAT Gateway

Virtual Network NAT (ネットワーク アドレス変換) は、仮想ネットワーク用のアウトバウンドのみのインターネット接続を簡単に行えるようにするものです。 これをサブネットに対して構成した場合、指定した静的パブリック IP アドレスがすべてのアウトバウンド接続で使用されます。 ロード バランサーや、仮想マシンに直接アタッチされたパブリック IP アドレスがなくても、アウトバウンド接続が可能となります。 詳細については、仮想ネットワーク NAT ゲートウェイの概要に関するページを参照してください。

Virtual Network NAT Gateway

Azure Peering Service

Azure Peering Service を使用すると、Microsoft 365、Dynamics 365、サービスとしてのソフトウェア (SaaS) サービス、Azure、パブリック インターネット経由でアクセス可能な Microsoft サービスなど、Microsoft クラウド サービスへのお客様の接続が強化されます。 詳細については、Azure Peering Service に関するページを参照してください。

Azure Edge Zone

Azure Edge Zone は、ユーザーの近くでデータ処理を可能にする Microsoft Azure のオファリング ファミリです。 アプリケーションの低待機時間と高スループットの要件に対応するために、VM、コンテナー、およびその他の選択した Azure サービスを Edge Zone にデプロイできます。

Azure Orbital

Azure Orbital は、フル マネージドなクラウドベースのサービスとしての地上局です。これを使用すると、宇宙船や人工衛星コンステレーションとの通信、データのダウンリンクやアップリンク、クラウドでのデータ処理、独自のシナリオでの Azure サービスとサービスの連結、およびユーザーの顧客のための製品を生み出すことが可能になります。 このシステムは、Azure グローバル インフラストラクチャと低待機時間のグローバル ファイバー ネットワーク上に構築されています。

アプリケーション保護サービス

このセクションでは、ネットワーク リソースの保護に役立つ Azure のネットワーク サービスについて説明します。アプリケーションを保護するには、Azure の次のネットワーク サービスを単独で、または組み合わせて使用します - DDoS 保護、Private Link、ファイアウォール、Web Application Firewall、ネットワーク セキュリティ グループ、および仮想ネットワーク サービス エンドポイント。

DDoS Protection

Azure DDoS Protection は、きわめて巧妙な DDoS 攻撃への対抗策となります。 このサービスでは、仮想ネットワークにデプロイされたアプリケーションとリソースに対する DDoS 軽減機能が強化されています。 また、Azure DDoS Protection を利用するお客様は、能動的攻撃を受けたときに、DDoS Rapid Response サポートにアクセスして DDoS の専門家に問い合わせることができます。

DDoS Protection

Azure Private Link を使用すると、お使いの仮想ネットワーク内のプライベート エンドポイント経由で Azure PaaS サービス (Azure Storage、SQL Database など) と Azure でホストされている顧客所有の、またはパートナー サービスにアクセスできます。 仮想ネットワークとサービスの間のトラフィックは、Microsoft のバックボーン ネットワークを通ります。 パブリック インターネットにサービスを公開する必要はありません。 お使いの仮想ネットワークに独自のプライベート リンク サービスを作成して顧客に提供することができます。

プライベート エンドポイントの概要

Azure Firewall

Azure Firewall は、Azure Virtual Network リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。 Azure Firewall を使用すると、アプリケーションとネットワークの接続ポリシーを、サブスクリプションと仮想ネットワークをまたいで一元的に作成、適用、記録することができます。 Azure Firewall では、外部のファイアウォールが仮想ネットワークからのトラフィックを識別できるよう、仮想ネットワーク リソースに静的パブリック IP アドレスが使用されます。

Azure Firewall の詳細については、Azure Firewall のドキュメントを参照してください。

ファイアウォールの概要

Web Application Firewall

Azure Web Application Firewall (WAF) は、SQL インジェクションやクロスサイト スクリプティングなどの一般的な Web エクスプロイトや脆弱性から Web アプリケーションを保護します。 Azure WAF は、管理されたルールによって OWASP Top 10 の脆弱性を標準で保護します。 また、お客様はカスタム ルールを構成することもできます。これは、ソース IP 範囲と要求の属性 (ヘッダー、Cookie、フォーム データ フィールド、クエリ文字列パラメーターなど) に基づいて保護を強化するためにお客様が管理するルールです。

お客様は、Application Gateway での Azure WAF をデプロイして、パブリックおよびプライベートのアドレス空間のエンティティをリージョン単位で保護することができます。 また、Front Door での Azure WAF をデプロイして、パブリック エンドポイントをネットワーク エッジで保護することもできます。

Web アプリケーション ファイアウォール

ネットワーク セキュリティ グループ

ネットワーク セキュリティ グループを使用して、Azure 仮想ネットワークの Azure リソース間のネットワーク トラフィックをフィルター処理できます。 詳細については、「ネットワーク セキュリティ グループ」を参照してください。

サービス エンドポイント

仮想ネットワーク (VNet) サービス エンドポイントは、直接接続によって仮想ネットワークのプライベート アドレス空間を拡張し、VNet の ID を Azure サービスに提供します。 エンドポイントを使用することで、重要な Azure サービス リソースへのアクセスを仮想ネットワークのみに限定することができます。 VNet から Azure サービスへのトラフィックは常に、Microsoft Azure のバックボーン ネットワーク上に残ります。 詳細については、仮想ネットワーク サービス エンドポイントに関するページを参照してください。

仮想ネットワーク サービス エンドポイント

アプリケーション配信サービス

このセクションでは、アプリケーションの配信を支援する Azure のネットワーク サービス (Content Delivery Network、Azure Front Door Service、Traffic Manager、Load Balancer、Application Gateway) について説明します。

Content Delivery Network

Azure Content Delivery Network (CDN) では、世界中に戦略的に配置された物理ノードにコンテンツをキャッシュすることによって、高帯域幅コンテンツをユーザーに高速配信するためのグローバル ソリューションを開発者に提供します。 Azure CDN の詳細については、Azure Content Delivery Network に関する記事を参照してください。

Azure CDN

Azure Front Door Service

Azure Front Door Service では、高可用性のために最大限のパフォーマンスと即時グローバル フェイルオーバーを最適化することで、Web トラフィックのグローバル ルーティングを定義、管理、および監視することができます。 Front Door を使用すると、グローバル (複数リージョン) のコンシューマーや企業のアプリケーションを、Azure を使用して世界中のユーザーに発信する、堅牢で高性能なパーソナライズされた最新のアプリケーション、API、およびコンテンツに変換することができます。 詳細については、Azure Front Door に関するページを参照してください。

Front Door Service の概要

Traffic Manager

Azure Traffic Manager は、世界中の Azure リージョン間でサービスへのトラフィックを最適に配分しつつ、高可用性と応答性を実現する DNS ベースのトラフィック ロード バランサーです。 Traffic Manager では、優先順位、重み付け、パフォーマンス、地理的、複数値、サブネットなどのさまざまなトラフィック ルーティング方法で、トラフィックを分散させることができます。 トラフィック ルーティング方法の詳細については、「Traffic Manager のルーティング方法」を参照してください。

次の図は、Traffic Manager によるエンドポイントの優先順位に基づいたルーティングを示しています。

Azure Traffic Manager の "優先順位" トラフィック ルーティング方法

Traffic Manager の詳細については、「Traffic Manager について」を参照してください。

Load Balancer

Azure Load Balancer には、すべての UDP と TCP プロトコル向けの高パフォーマンス、低待ち時間のレイヤー 4 負荷分散機能が備わっています。 受信接続と送信接続を管理します。 パブリックな負荷分散エンドポイントと内部的な負荷分散エンドポイントを構成することができます。 TCP を使用して受信接続をバックエンド プールの送信先にマッピングする規則や、サービスの可用性を管理するための HTTP の正常性プローブ オプションを定義することができます。 ロード バランサーの詳細については、ロード バランサーの概要に関する記事を参照してください。

次の図は、インターネットに接続する多層アプリケーションを示しています。外部ロード バランサーと内部ロード バランサーが利用されています。

Azure Load Balancer の例

Application Gateway

Azure Application Gateway は、Web アプリケーションに対するトラフィックを管理できる Web トラフィック ロード バランサーです。 アプリケーション デリバリー コントローラー (ADC) をサービスとして提供して、さまざまなレイヤー 7 負荷分散機能をアプリケーションで利用できるようにします。 詳細については、「Azure Application Gateway とは」を参照してください。

次の図は、Application Gateway を使った URL パスベースのルーティングを示しています。

Application Gateway の例

ネットワーク監視サービス

このセクションでは、ネットワーク リソースの監視を支援する Azure のネットワーク サービス (Network Watcher、Azure Monitor Network Insights、Azure Monitor、ExpressRoute Monitor、仮想ネットワーク TAP) について説明します。

Network Watcher

Azure Network Watcher は、Azure 仮想ネットワーク内のリソースの監視、診断、メトリックの表示、ログの有効化または無効化を行うツールを提供します。 詳細については、「Azure Network Watcher とは」を参照してください。

Azure Monitor Network Insights

Azure Monitor for Networks を使用すると、デプロイされたすべてのネットワーク リソースの正常性とメトリックを構成なしで包括的に把握できます。 また、接続モニターネットワーク セキュリティ グループのフロー ログ、および Traffic Analytics などのネットワーク監視機能にアクセスすることもできます。 詳細については、「Azure Monitor Network Insights」を参照してください。

ExpressRoute Monitor

ExpressRoute 回線のメトリック、リソース ログ、アラートを表示する方法については、「ExpressRoute の監視、メトリック、およびアラート」を参照してください。

Azure Monitor

Azure Monitor は、クラウドおよびオンプレミス環境の利用統計情報を収集、分析し、それに対応する包括的なソリューションを提供することにより、アプリケーションの可用性とパフォーマンスを最大化します。 このツールは、ご利用のアプリケーションがどのように実行されているかを把握するのに役立ちます。さらに、このツールにより、そのアプリケーションに影響している問題点およびアプリケーションが依存しているリソースを事前に明らかにしておくことができます。 詳細については、「Azure Monitor の概要」を参照してください。

仮想ネットワーク TAP

Azure 仮想ネットワーク TAP (ターミナル アクセス ポイント) を使用すると、仮想マシン ネットワークのトラフィックをネットワーク パケット コレクターまたは分析ツールに連続してストリーミングできます。 コレクターまたは分析ツールは、ネットワーク仮想アプライアンス パートナーから提供されています。

次の画像は、仮想ネットワーク TAP のしくみを示しています。

仮想ネットワーク TAP のしくみ

詳細については、仮想ネットワーク TAP に関するページを参照してください。

次のステップ