仮想ネットワークを計画するPlan virtual networks

実験的に仮想ネットワークを作成することは簡単ですが、おそらく、組織の運用ニーズに対応するために、時間の経過とともに複数の仮想ネットワークをデプロイすることになります。Creating a virtual network to experiment with is easy enough, but chances are, you will deploy multiple virtual networks over time to support the production needs of your organization. ある程度の計画を立てることで、より効率的に仮想ネットワークをデプロイし、必要なリソースを接続することができます。With some planning, you will be able to deploy virtual networks and connect the resources you need more effectively. この記事の情報は、既に仮想ネットワークに精通し、それらの使用経験がある場合に最も役に立ちます。The information in this article is most helpful if you're already familiar with virtual networks and have some experience working with them. 仮想ネットワークに慣れていない場合は、仮想ネットワークの概要に関する記事を読むことをお勧めします。If you are not familiar with virtual networks, it's recommended that you read Virtual network overview.

名前を付けるNaming

Azure のすべてのリソースには名前があります。All Azure resources have a name. 名前はスコープ内で一意でなければならず、スコープはリソースの種類によって異なる場合があります。The name must be unique within a scope, that may vary for each resource type. たとえば、仮想ネットワークの名前は、リソース グループ内では一意である必要がありますが、サブスクリプション内または Azure リージョン内では重複していてもかまいません。For example, the name of a virtual network must be unique within a resource group, but can be duplicated within a subscription or Azure region. リソースの名前を付けるときに一貫して使用できる名前付け規則を定義することは、複数のネットワーク リソースの管理が長期間に及ぶときは有効なことです。Defining a naming convention that you can use consistently when naming resources is helpful when managing several network resources over time. 推奨事項については、「名前付け規則」を参照してください。For suggestions, see Naming conventions.

リージョンRegions

すべての Azure リソースは、Azure リージョンと Azure サブスクリプションの内部に作成されます。All Azure resources are created in an Azure region and subscription. リソースを作成できるのは、リソースと同じリージョンおよびサブスクリプションに存在する仮想ネットワーク内だけです。A resource can only be created in a virtual network that exists in the same region and subscription as the resource. ただし、異なるサブスクリプションおよびリージョンに存在する仮想ネットワークに接続することはできます。You can however, connect virtual networks that exist in different subscriptions and regions. 詳しくは、「接続」をご覧ください。For more information, see connectivity. リソースをデプロイするリージョンを決めるときは、リソースの使用者の物理的な居場所を考慮します。When deciding which region(s) to deploy resources in, consider where consumers of the resources are physically located:

  • リソースの使用者は、通常、リソースに対するネットワーク待機時間が最短になることを望みます。Consumers of resources typically want the lowest network latency to their resources. 特定の場所と Azure リージョンの間の相対的な待機時間を確認する方法については、相対待機時間の確認に関するページをご覧ください。To determine relative latencies between a specified location and Azure regions, see View relative latencies.
  • データの保存場所、管轄、コンプライアンス、回復性に関する要件はありますか?Do you have data residency, sovereignty, compliance, or resiliency requirements? ある場合は、要件に合ったリージョンを選ぶことが大事です。If so, choosing the region that aligns to the requirements is critical. 詳しくは、「Azure の地域」をご覧ください。For more information, see Azure geographies.
  • デプロイするリソースに対して同じ Azure リージョン内にある Azure の可用性ゾーン全体での回復性は必要ですか?Do you require resiliency across Azure Availability Zones within the same Azure region for the resources you deploy? 同じ仮想ネットワーク内の複数の異なる可用性ゾーンに、仮想マシン (VM) などのリソースをデプロイできます。You can deploy resources, such as virtual machines (VM) to different availability zones within the same virtual network. ただし、可用性ゾーンをサポートしていない Azure リージョンもあります。Not all Azure regions support availability zones however. 可用性ゾーンとそれをサポートするリージョンについて詳しくは、可用性ゾーンに関するページをご覧ください。To learn more about availability zones and the regions that support them, see Availability zones.

サブスクリプションSubscriptions

制限の範囲内であれば、各サブスクリプション内に必要なだけいくつでも仮想ネットワークをデプロイできます。You can deploy as many virtual networks as required within each subscription, up to the limit. たとえば、部門ごとに異なるサブスクリプションを使用している組織もあります。Some organizations have different subscriptions for different departments, for example. サブスクリプションに関する詳細と考慮事項については、サブスクリプションのガバナンスに関するページをご覧ください。For more information and considerations around subscriptions, see Subscription governance.

セグメント化Segmentation

サブスクリプションごとおよびリージョンごとに、複数の仮想ネットワークを作成できます。You can create multiple virtual networks per subscription and per region. 各仮想ネットワーク内には複数のサブネットを作成することができます。You can create multiple subnets within each virtual network. 必要な仮想ネットワークとサブネットの数を決めるときは、以下のことを考慮すると役に立ちます。The considerations that follow help you determine how many virtual networks and subnets you require:

仮想ネットワークVirtual networks

仮想ネットワークは、仮想的で分離された、Azure のパブリック ネットワークの一部です。A virtual network is a virtual, isolated portion of the Azure public network. 各仮想ネットワークは、特定のサブスクリプション専用です。Each virtual network is dedicated to your subscription. サブスクリプションに作成する仮想ネットワークが 1 つでよいか、または複数必要かを決めるときは、次のことを考慮します。Things to consider when deciding whether to create one virtual network, or multiple virtual networks in a subscription:

  • 組織にはトラフィックを異なる仮想ネットワークに分離するセキュリティ要件がありますか?Do any organizational security requirements exist for isolating traffic into separate virtual networks? 仮想ネットワークを接続するかどうかを選択できます。You can choose to connect virtual networks or not. 仮想ネットワークを接続する場合は、ファイアウォールなどのネットワーク仮想アプライアンスを実装して、仮想ネットワーク間のトラフィックのフローを制御できます。If you connect virtual networks, you can implement a network virtual appliance, such as a firewall, to control the flow of traffic between the virtual networks. 詳しくは、「セキュリティ」および「接続」をご覧ください。For more information, see security and connectivity.
  • 組織には、仮想ネットワークを異なるサブスクリプションまたはリージョンに分離する要件がありますか?Do any organizational requirements exist for isolating virtual networks into separate subscriptions or regions?
  • ネットワーク インターフェイスを介して、VM と他のリソースの通信ができます。A network interface enables a VM to communicate with other resources. 各ネットワーク インターフェイスには、1 つ以上のプライベート IP アドレスが割り当てられています。Each network interface has one or more private IP addresses assigned to it. 仮想ネットワークでは、ネットワーク インターフェイスとプライベート IP アドレスがいくつ必要ですか?How many network interfaces and private IP addresses do you require in a virtual network? 1 つの仮想ネットワークに設定できるネットワーク インターフェイスとプライベート IP アドレスの数には制限があります。There are limits to the number of network interfaces and private IP addresses that you can have within a virtual network.
  • 仮想ネットワークを別の仮想ネットワークまたはオンプレミス ネットワークに接続しますか?Do you want to connect the virtual network to another virtual network or on-premises network? 仮想ネットワークを相互に、またはオンプレミスのネットワークに接続することはできますが、それ以外には接続できません。You may choose to connect some virtual networks to each other or on-premises networks, but not others. 詳しくは、「接続」をご覧ください。For more information, see connectivity. 別の仮想ネットワークまたはオンプレミスのネットワークに接続する各仮想ネットワークは、一意のアドレス空間を持っている必要があります。Each virtual network that you connect to another virtual network, or on-premises network, must have a unique address space. 各仮想ネットワークのアドレス空間には、1 つまたは複数のパブリック アドレス範囲またはプライベート アドレス範囲が割り当てられます。Each virtual network has one or more public or private address ranges assigned to its address space. アドレス範囲は、クラスレス ドメイン間ルーティング (CIDR) 形式 (10.0.0.0/16 など) で指定されます。An address range is specified in classless internet domain routing (CIDR) format, such as 10.0.0.0/16. 詳しくは、仮想ネットワークのアドレス範囲に関するページをご覧ください。Learn more about address ranges for virtual networks.
  • 組織には、異なる仮想ネットワークのリソースに対する管理要件がありますか?Do you have any organizational administration requirements for resources in different virtual networks? ある場合は、異なる仮想ネットワークにリソースを分離することによって、組織内のユーザーに対するアクセス許可の割り当てを簡素化したり、異なる仮想ネットワークに異なるポリシーを割り当てたりすることができます。If so, you might separate resources into separate virtual network to simplify permission assignment to individuals in your organization or to assign different policies to different virtual networks.
  • Azure サービス リソースを仮想ネットワークにデプロイすると、独自の仮想ネットワークが作成されます。When you deploy some Azure service resources into a virtual network, they create their own virtual network. Azure サービスが独自の仮想ネットワークを作成するかどうかを確認するには、「仮想ネットワークにデプロイできるサービス」をご覧ください。To determine whether an Azure service creates its own virtual network, see information for each Azure service that can be deployed into a virtual network.

サブネットSubnets

仮想ネットワークは、制限の範囲内で複数のサブネットにセグメント化できます。A virtual network can be segmented into one or more subnets up to the limits. サブスクリプションに作成するサブネットが 1 つでよいか、または複数必要かを決めるときは、次のことを考慮します。Things to consider when deciding whether to create one subnet, or multiple virtual networks in a subscription:

  • 各サブネットには、仮想ネットワークのアドレス空間内に、CIDR 形式で指定された一意のアドレス範囲が必要です。Each subnet must have a unique address range, specified in CIDR format, within the address space of the virtual network. このアドレス範囲は、仮想ネットワーク内の他のサブネットと重複することはできません。The address range cannot overlap with other subnets in the virtual network.
  • 仮想ネットワークに Azure サービス リソースをデプロイする場合、独自のサブネットがリソースによって必要とされる、または作成される可能性があるので、そのための十分な未割り当て領域が必要です。If you plan to deploy some Azure service resources into a virtual network, they may require, or create, their own subnet, so there must be enough unallocated space for them to do so. Azure サービスが独自のサブネットを作成するかどうかを確認するには、「仮想ネットワークにデプロイできるサービス」をご覧ください。To determine whether an Azure service creates its own subnet, see information for each Azure service that can be deployed into a virtual network. たとえば、Azure VPN Gateway を使ってオンプレミスのネットワークに仮想ネットワークを接続する場合、仮想ネットワークにはゲートウェイに専用のサブネットが必要です。For example, if you connect a virtual network to an on-premises network using an Azure VPN Gateway, the virtual network must have a dedicated subnet for the gateway. 詳しくは、「ゲートウェイ サブネット」をご覧ください。Learn more about gateway subnets.
  • 既定では、ネットワーク トラフィックは仮想ネットワーク内のすべてのサブネット間でルーティングされます。Azure routes network traffic between all subnets in a virtual network, by default. Azure の既定のルーティングをオーバーライドして、たとえば、Azure のサブネット間のルーティングを禁止したり、ネットワーク仮想アプライアンスを通してサブネット間でトラフィックをルーティングしたりできます。You can override Azure's default routing to prevent Azure routing between subnets, or to route traffic between subnets through a network virtual appliance, for example. 同じ仮想ネットワーク内のリソース間のトラフィックを、ネットワーク仮想アプライアンス (NVA) を通してフローさせる必要がある場合は、異なるサブネットにリソースをデプロイします。If you require that traffic between resources in the same virtual network flow through a network virtual appliance (NVA), deploy the resources to different subnets. 詳しくは、「セキュリティ」をご覧ください。Learn more in security.
  • Azure ストレージ アカウントや Azure SQL データベースなどの Azure リソースへのアクセスを、仮想ネットワーク サービス エンドポイントのある特定のサブネットに制限することができます。You can limit access to Azure resources such as an Azure storage account or Azure SQL database, to specific subnets with a virtual network service endpoint. さらに、インターネットからのリソースへのアクセスを拒否することができます。Further, you can deny access to the resources from the internet. 複数のサブネットを作成し、一部のサブネットではサービス エンドポイントを有効にして、それ以外では無効にすることができます。You may create multiple subnets, and enable a service endpoint for some subnets, but not others. 詳しくは、サービス エンドポイントおよびサービス エンドポイントを有効にできる Azure リソースに関するページをご覧ください。Learn more about service endpoints, and the Azure resources you can enable them for.
  • 仮想ネットワーク内の各サブネットには、0 個または 1 個のネットワーク セキュリティ グループを関連付けることができます。You can associate zero or one network security group to each subnet in a virtual network. 各サブネットに関連付けるネットワーク セキュリティ グループは、同じでも、異なっていてもかまいません。You can associate the same, or a different, network security group to each subnet. 各ネットワーク セキュリティ グループには規則が含まれ、送信元と送信先の間でやり取りされるトラフィックを許可または拒否できます。Each network security group contains rules, which allow or deny traffic to and from sources and destinations. ネットワーク セキュリティ グループの詳細を確認する。Learn more about network security groups.

SecuritySecurity

仮想ネットワーク内のリソースが送受信するネットワーク トラフィックを、ネットワーク セキュリティ グループおよびネットワーク仮想アプライアンスを使ってフィルター処理できます。You can filter network traffic to and from resources in a virtual network using network security groups and network virtual appliances. サブネットからのトラフィックを Azure がルーティングする方法を制御できます。You can control how Azure routes traffic from subnets. また、仮想ネットワーク内のリソースを使用できる組織内のユーザーを制限することもできます。You can also limit who in your organization can work with resources in virtual networks.

トラフィックのフィルター処理Traffic filtering

  • ネットワーク セキュリティ グループと、ネットワーク トラフィックをフィルター処理する NVA のどちらか一方または両方を使って、仮想ネットワーク内のリソース間のネットワーク トラフィックをフィルター処理することができます。You can filter network traffic between resources in a virtual network using a network security group, an NVA that filters network traffic, or both. ファイアウォールなどの NVA をデプロイしてネットワーク トラフィックをフィルター処理するには、Azure Marketplace をご覧ください。To deploy an NVA, such as a firewall, to filter network traffic, see the Azure Marketplace. NVA を使うときは、サブネットから NVA にトラフィックをルーティングするためのカスタム ルートも作成します。When using an NVA, you also create custom routes to route traffic from subnets to the NVA. 詳しくは、「トラフィックのルーティング」をご覧ください。Learn more about traffic routing.
  • ネットワーク セキュリティ グループには、リソースが送受信するトラフィックを許可または拒否する、複数の既定のセキュリティ規則が含まれます。A network security group contains several default security rules that allow or deny traffic to or from resources. ネットワーク セキュリティ グループは、ネットワーク インターフェイスと、ネットワーク インターフェイスが含まれるサブネットの、どちらか一方または両方に関連付けることができます。A network security group can be associated to a network interface, the subnet the network interface is in, or both. セキュリティ規則の管理を簡単にするため、可能な場合は常に、サブネット内の個々のネットワーク インターフェイスではなく、個別のサブネットにネットワーク セキュリティ グループを関連付けることをお勧めします。To simplify management of security rules, it's recommended that you associate a network security group to individual subnets, rather than individual network interfaces within the subnet, whenever possible.
  • サブネット内の VM ごとに異なるセキュリティ規則を適用する必要がある場合は、VM 内のネットワーク インターフェイスを、1 つまたは複数のアプリケーション セキュリティ グループに関連付けることができます。If different VMs within a subnet need different security rules applied to them, you can associate the network interface in the VM to one or more application security groups. セキュリティ規則では、送信元と送信先のどちらか一方または両方のアプリケーション セキュリティ グループを指定できます。A security rule can specify an application security group in its source, destination, or both. その規則は、アプリケーション セキュリティ グループのメンバーであるネットワーク インターフェイスにのみ適用されます。That rule then only applies to the network interfaces that are members of the application security group. 詳しくは、ネットワーク セキュリティ グループおよびアプリケーション セキュリティ グループに関するページをご覧ください。Learn more about network security groups and application security groups.
  • Azure では、各ネットワーク セキュリティ グループ内に複数のセキュリティ規則が既定で作成されます。Azure creates several default security rules within each network security group. 既定の規則の 1 つでは、仮想ネットワーク内のすべてのリソース間で、すべてのトラフィックのフローが許可されます。One default rule allows all traffic to flow between all resources in a virtual network. この動作をオーバーライドするには、ネットワーク セキュリティ グループと、NVA にトラフィックをルーティングするためのカスタム ルーティングの、どちらか一方または両方を使います。To override this behavior, use network security groups, custom routing to route traffic to an NVA, or both. Azure の既定のセキュリティ規則のすべてと、ネットワーク セキュリティ グループの規則がリソースに適用される方法を、よく理解することをお勧めします。It's recommended that you familiarize yourself with all of Azure's default security rules and understand how network security group rules are applied to a resource.

NVA を使用して Azure とインターネットの間に境界ネットワーク (DMZ とも呼ばれます) を実装するためのサンプル設計を表示できます。You can view sample designs for implementing a perimeter network (also known as a DMZ) between Azure and the internet using an NVA.

トラフィックのルーティングTraffic routing

Azure では、サブネットからの送信トラフィックに対して複数のルートが既定で作成されます。Azure creates several default routes for outbound traffic from a subnet. ルート テーブルを作成してサブネットに関連付けることにより、Azure の既定のルーティングをオーバーライドできます。You can override Azure's default routing by creating a route table and associating it to a subnet. Azure の既定のルーティングをオーバーライドする一般的な理由としては、次のようなものがあります。Common reasons for overriding Azure's default routing are:

  • サブネット間のトラフィックに NVA を経由させる必要がある場合。Because you want traffic between subnets to flow through an NVA. 詳しくは、トラフィックを強制的に NVA 経由にするようルート テーブルを構成する方法に関するページをご覧ください。To learn more about how to configure route tables to force traffic through an NVA.
  • インターネットにバインドされたすべてのトラフィックを、強制的に Azure VPN Gateway を介して NVA 経由 (つまりオンプレミス) にする必要がある場合。Because you want to force all internet-bound traffic through an NVA, or on-premises, through an Azure VPN gateway. 検査とログのためにインターネット トラフィックを強制的にオンプレミスにすることを、強制トンネリングと呼ぶことがよくあります。Forcing internet traffic on-premises for inspection and logging is often referred to as forced tunneling. 詳しくは、強制トンネリングの構成方法に関するページをご覧ください。Learn more about how to configure forced tunneling.

カスタム ルーティングを実装する必要がある場合は、Azure でのルーティングについてよく理解しておくことをお勧めします。If you need to implement custom routing, it's recommended that you familiarize yourself with routing in Azure.

接続Connectivity

仮想ネットワークは、仮想ネットワーク ピアリングを使って他の仮想ネットワークに、または Azure VPN Gateway を使ってオンプレミスのネットワークに接続できます。You can connect a virtual network to other virtual networks using virtual network peering, or to your on-premises network, using an Azure VPN gateway.

ピアリングPeering

仮想ネットワーク ピアリングで接続される仮想ネットワークが存在するサポートされる Azure リージョンは、同じであっても、異なっていてもかまいません。When using virtual network peering, the virtual networks can be in the same, or different, supported Azure regions. 仮想ネットワークが含まれる Azure サブスクリプションは同じでも異なっていてもかまいません (サブスクリプションが異なる Azure Active Directory テナントに属していてもかまいません)。The virtual networks can be in the same or different Azure subscriptions (even subscriptions belonging to different Azure Active Directory tenants). ピアを作成する前に、ピアリングのすべての要件と制約をよく理解しておくことをお勧めします。Before creating a peering, it's recommended that you familiarize yourself with all of the peering requirements and constraints. 同じリージョン内でピアリングされる仮想ネットワーク内のリソース間の帯域幅は、リソースが同じ仮想ネットワーク内にある場合と同じです。Bandwidth between resources in virtual networks peered in the same region is the same as if the resources were in the same virtual network.

VPN GatewayVPN gateway

Azure VPN Gateway を利用すると、サイト間 VPN を使って、または Azure ExpressRoute による専用接続を使って、オンプレミスのネットワークに仮想ネットワークを接続できます。You can use an Azure VPN Gateway to connect a virtual network to your on-premises network using a site-to-site VPN, or using a dedicated connection with Azure ExpressRoute.

ピアリングと VPN Gateway を組み合わせて、ハブとスポークのネットワークを作成できます。この場合、たとえば、スポークの仮想ネットワークはハブの仮想ネットワークに接続し、ハブはオンプレミスのネットワークに接続します。You can combine peering and a VPN gateway to create hub and spoke networks, where spoke virtual networks connect to a hub virtual network, and the hub connects to an on-premises network, for example.

名前解決Name resolution

ある仮想ネットワーク内のリソースは、Azure の組み込み DNS を使って、ピアリングされた仮想ネットワーク内のリソースの名前を解決することはできません。Resources in one virtual network cannot resolve the names of resources in a peered virtual network using Azure's built-in DNS. ピアリングされた仮想ネットワーク内の名前を解決するには、独自の DNS サーバーをデプロイするか、Azure DNS プライベート ドメインを使います。To resolve names in a peered virtual network, deploy your own DNS server, or use Azure DNS private domains. 仮想ネットワーク内のリソースとオンプレミス ネットワークのリソースの間で名前を解決するには、独自の DNS サーバーをデプロイする必要もありします。Resolving names between resources in a virtual network and on-premises networks also requires you to deploy your own DNS server.

アクセス許可Permissions

Azure は、リソースに対してロール ベースのアクセス制御 (RBAC) を利用します。Azure utilizes role based access control (RBAC) to resources. アクセス許可は、管理グループ、サブスクリプション、リソース グループ、および個々のリソースという階層内のスコープに割り当てられます。Permissions are assigned to a scope in the following hierarchy: management group, subscription, resource group, and individual resource. 階層について詳しくは、リソースの整理に関するページをご覧ください。To learn more about the hierarchy, see Organize your resources. Azure 仮想ネットワークと、ピアリング、ネットワーク セキュリティ グループ、サービス エンドポイント、ルート テーブルなどの関連するすべての機能を使用するには、組織のメンバーを組み込みの所有者共同作業者、またはネットワーク共同作業者ロールに割り当ててから、ロールを適切なスコープに割り当てることができます。To work with Azure virtual networks and all of their related capabilities such as peering, network security groups, service endpoints, and route tables, you can assign members of your organization to the built-in Owner, Contributor, or Network contributor roles, and then assign the role to the appropriate scope. 仮想ネットワークの機能のサブセットに対して特定のアクセス許可を割り当てる場合は、カスタム ロールを作成し、仮想ネットワークサブネットとサービス エンドポイントネットワーク インターフェイスピアリングネットワークおよびアプリケーション セキュリティ グループ、またはルート テーブルに必要な特定のアクセス許可を、ロールに割り当てます。If you want to assign specific permissions for a subset of virtual network capabilities, create a custom role and assign the specific permissions required for virtual networks, subnets and service endpoints, network interfaces, peering, network and application security groups, or route tables to the role.

ポリシーPolicy

Azure Policy を使って、ポリシーの定義の作成、割り当て、管理を行うことができます。Azure Policy enables you to create, assign, and manage policy definitions. ポリシー定義は、リソースにさまざまな規則を適用し、組織の標準とサービス レベル アグリーメントへのリソースの準拠が維持されるようにします。Policy definitions enforce different rules over your resources, so the resources stay compliant with your organizational standards and service level agreements. Azure Policy によって、リソースの評価が実行され、ユーザーのポリシー定義に準拠していないリソースがスキャンされます。Azure Policy runs an evaluation of your resources, scanning for resources that are not compliant with the policy definitions you have. たとえば、特定のリソース グループまたはリージョン内でのみ仮想ネットワークの作成を許可するようなポリシーを定義して適用することができます。For example, you can define and apply a policy that allows creation of virtual networks in only a specific resource group or region. または、すべてのサブネットにネットワーク セキュリティ グループが関連付けられていることを要求するポリシーを作成できます。Another policy can require that every subnet has a network security group associated to it. ポリシーは、リソースを作成および更新するときに評価されます。The policies are then evaluated when creating and updating resources.

ポリシーは、管理グループ、サブスクリプション、およびリソース グループという階層に適用されます。Policies are applied to the following hierarchy: management group, subscription, and resource group. 詳しくは、Azure Policy に関するページを参照するか、仮想ネットワーク ポリシー テンプレートのサンプルをデプロイしてください。Learn more about Azure policy or deploy some virtual network policy template samples.

次のステップNext steps

仮想ネットワークサブネットおよびサービス エンドポイントネットワーク インターフェイスピアリングネットワークおよびアプリケーション セキュリティ グループルート テーブルのすべてのタスク、設定、およびオプションについて説明します。Learn about all tasks, settings, and options for a virtual network, subnet and service endpoint, network interface, peering, network and application security group, or route table.