Azure Virtual Network Manager (プレビュー) のスコープを理解して使用する

このアーティクルでは、Azure Virtual Network Manager が スコープ の概念をどのように使って、管理グループまたはサブスクリプションが Virtual Network Manager の特定の機能を使えるようにするかを説明します。 また、 階層について、そして、Virtual Network Manager を使うときに階層がユーザーに与える影響についても説明します。

重要

Azure Virtual Network Manager は、Virtual Network Manager、ハブアンドスポーク接続構成、およびセキュリティ管理者ルールを使用したセキュリティ構成で一般提供されています。 メッシュ接続の構成は、パブリック プレビューのままです。

このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。

ネットワーク マネージャー

ネットワーク マネージャーは、ネットワーク グループ、構成、ルールなどの子リソースで構成されるトップレベル オブジェクトです。

• ネットワーク グループ - 特定の接続またはセキュリティ管理者ポリシーを適用できる、スコープ全体のサブセット。

• 構成 - Azure Virtual Network Manager には、接続の構成とセキュリティの構成という 2 種類の構成が用意されています。 接続の構成を使用すると、ネットワーク トポロジを作成できるのに対し、セキュリティの構成を使用すると、仮想ネットワーク全体に適用できる規則のコレクションを作成できます。

• 規則 - 規則コレクションとは、仮想ネットワークのグローバル レベルでネットワーク トラフィックを許可または拒否できる一連のネットワーク セキュリティ規則です。

Scope

Azure Virtual Network Manager 内の "スコープ" は、スコープ内のリソースに機能を適用できる、ネットワーク マネージャーに付与される委任されたアクセスを表します。 スコープを指定すると、ネットワーク マネージャーでリソースを管理できる対象にアクセスを制限することになります。 スコープの値は、管理グループ レベルまたはサブスクリプション レベルに設定できます。 リソース階層の管理方法については、Azure 管理グループに関するページを参照してください。 管理グループをスコープとして選択すると、すべての子リソースがそのスコープ内に含まれます。

Note

同じ階層と同じ機能を選択し、(スコープが重複する) 複数の Azure Virtual Network Manager インスタンスを作成することはできません。 管理グループ レベルでスコープを指定する場合は、仮想ネットワーク マネージャーをデプロイする前に、管理グループ スコープで Azure Virtual Network Provider を登録する必要があります。 このプロセスは、Azure portal での仮想ネットワーク マネージャーの作成 の一部として含まれますが、Azure CLI や Azure PowerShell などのプログラムによる方法には含まれません。 詳しくは、管理グループ スコープでのプロバイダーの登録 に関するページを参照してください。

スコープの適用性

構成をデプロイするとき、Network Manager は、そのスコープ内のリソースにのみ機能を適用します。 スコープ外のネットワーク グループへのリソースの追加を試みると、意図を表すグループに追加されます。 ただし、ネットワーク マネージャーはその変更を構成に適用しません。

Network Manager のスコープを更新して、スコープを一覧に追加したり削除できます。 更新によって、自動的なスコープ全体の再評価機能がトリガーされ、スコープの追加または削除によって、機能の追加または削除が潜在的におこなわれます。

テナント間スコープ

ネットワーク マネージャーのスコープはテナント間にまたがることができますが、このスコープを確立するには別の承認フローが必要となります。 まず、所望のスコープの目的を、ネットワーク マネージャー内から「スコープ接続」 リソースを介して追加する必要があります。 次に、ネットワーク マネージャーの管理の目的を、スコープ (サブスクリプション/管理グループ) から「ネットワーク マネージャー接続」 リソースを介して追加する必要があります。 これらのリソースには、関連付けられているスコープがネットワーク マネージャー スコープに追加されたかどうかを表す状態が含まれています。

機能

機能とは、Azure Virtual Network Manager に管理を許可するスコープのアクセスです。 Azure Virtual Network Manager には現在、Connectivity と SecurityAdmin という 2 つの機能スコープがあります。 同じ Virtual Network Manager インスタンスで両方の機能スコープを有効にすることができます。 各機能の詳細については、Connectivity に関するページと SecurityAdmin に関するページを参照してください。

階層

Azure Virtual Network Manager を使用すると、ネットワーク リソースを階層で管理できます。 階層は、複数の Virtual Network Manager インスタンスで重複するスコープを管理できることに加え、各 Virtual Network Manager 内の構成が相互に重なってもかまわないことも意味します。 たとえば、1 つの Virtual Network Manager の最上位管理グループを作成し、別の Virtual Network Manager のスコープとして子管理グループを作成することができます。 同じリソースを含む異なる Virtual Network Manager インスタンス間で構成の競合が発生している場合、 上位のスコープを持つ Virtual Network Manager の構成が、適用される構成になります。

次のステップ

• Azure Virtual Network Manager インスタンスの作成方法を確認する。
• ネットワーク グループについて確認する。