Azure 仮想ネットワークについてよく寄せられる質問 (FAQ)Azure Virtual Network frequently asked questions (FAQ)

仮想ネットワークの基礎Virtual Network basics

Azure 仮想ネットワーク (VNet) とは何ですか。What is an Azure Virtual Network (VNet)?

Azure 仮想ネットワーク (VNet) は、クラウド内のユーザー独自のネットワークを表すものです。An Azure Virtual Network (VNet) is a representation of your own network in the cloud. サブスクリプション専用に Azure クラウドが論理的に分離されています。It is a logical isolation of the Azure cloud dedicated to your subscription. VNet を使用してプロビジョニングして Azure で仮想プライベート ネットワーク (VPN) を管理および、必要に応じて、VNet を Azure で他の VNet とリンクさせたり、オンプレミス IT インフラストラクチャで、ハイブリッドまたはクロスプレミス ソリューションを作成します。You can use VNets to provision and manage virtual private networks (VPNs) in Azure and, optionally, link the VNets with other VNets in Azure, or with your on-premises IT infrastructure to create hybrid or cross-premises solutions. 作成したそれぞれの VNet には独自の CIDR ブロックがあり、CIDR ブロックが競合しない限り、他の VNet やオンプレミス ネットワークにリンクすることができます。Each VNet you create has its own CIDR block, and can be linked to other VNets and on-premises networks as long as the CIDR blocks do not overlap. VNet の DNS サーバー設定と、サブネットへの VNet の分割も制御できます。You also have control of DNS server settings for VNets, and segmentation of the VNet into subnets.

VNet を使用して次のことが行えます。Use VNets to:

  • プライベート クラウドのみの専用 VNet を作成します。ソリューションがクロスプレミス構成が必要ない場合もあります。Create a dedicated private cloud-only VNet Sometimes you don't require a cross-premises configuration for your solution. VNet を作成するとき、ご使用のサービスと VNet 内の VMが、クラウド内で互いに直接かつ安全に通信することができます。When you create a VNet, your services and VMs within your VNet can communicate directly and securely with each other in the cloud. VM と、ソリューションの一部としてインターネット通信を必要とするサービスとのエンドポイント接続を構成することができます。You can still configure endpoint connections for the VMs and services that require Internet communication, as part of your solution.
  • データ センターを安全に拡張します。VNet を使用すると、従来のサイト間 (S2S) VPN を構築して、データセンターの容量を安全に拡張できます。Securely extend your data center With VNets, you can build traditional site-to-site (S2S) VPNs to securely scale your datacenter capacity. S2S VPN は、IPSEC を使用して、社内の VPN ゲートウェイと Azure 間の安全な接続を提供します。S2S VPNs use IPSEC to provide a secure connection between your corporate VPN gateway and Azure.
  • ハイブリッド クラウドのシナリオを有効にします。VNet は、さまざまなハイブリッド クラウド シナリオをサポートする柔軟性を提供します。Enable hybrid cloud scenarios VNets give you the flexibility to support a range of hybrid cloud scenarios. メインフレームなどのオンプレミス システムと Unix システムの任意の型へのクラウド ベースのアプリケーションを安全に接続することができます。You can securely connect cloud-based applications to any type of on-premises system such as mainframes and Unix systems.

開始するには?How do I get started?

Virtual Network のドキュメント」にアクセスし、開始します。Visit the Virtual network documentation to get started. このコンテンツには、すべての VNet 機能の概要とデプロイに関する情報が示されています。This content provides overview and deployment information for all of the VNet features.

クロスプレミス接続を使用しないで VNet を使用できますか。Can I use VNets without cross-premises connectivity?

はい。Yes. プレミスに接続せずに VNet を使用することができます。You can use a VNet without connecting it to your premises. たとえば、Microsoft Windows Server Active Directory ドメイン コントローラーと SharePoint ファームを Azure VNet 内のみで実行できます。For example, you could run Microsoft Windows Server Active Directory domain controllers and SharePoint farms solely in an Azure VNet.

VNet 間または VNet とオンプレミスのデータ センター間で WAN の最適化を実行することはできますか。Can I perform WAN optimization between VNets or a VNet and my on-premises data center?

はい。Yes. Azure Marketplace を通じて複数のベンダーから提供されている WAN 最適化ネットワーク仮想アプライアンスをデプロイできます。You can deploy a WAN optimization network virtual appliance from several vendors through the Azure Marketplace.

構成Configuration

VNet を作成するのには、どのようなツールを使用でしょうか。What tools do I use to create a VNet?

次のツールを使用して、VNet を作成または構成できます。You can use the following tools to create or configure a VNet:

VNet でどのアドレス範囲が使用できるでしょうか。What address ranges can I use in my VNets?

RFC 1918 で定義されている任意の IP アドレス範囲Any IP address range defined in RFC 1918. (例: 10.0.0.0/16)。For example, 10.0.0.0/16. 次のアドレス範囲は追加できません。You cannot add the following address ranges:

  • 224.0.0.0/4 (マルチキャスト)224.0.0.0/4 (Multicast)
  • 255.255.255.255/32 (ブロードキャスト)255.255.255.255/32 (Broadcast)
  • 127.0.0.0/8 (ループバック)127.0.0.0/8 (Loopback)
  • 169.254.0.0/16 (リンク ローカル)169.254.0.0/16 (Link-local)
  • 168.63.129.16/32 (内部 DNS)168.63.129.16/32 (Internal DNS)

VNet 内でパブリック IP アドレスを持つことができますか。Can I have public IP addresses in my VNets?

はい。Yes. パブリック IP アドレス範囲の詳細については、仮想ネットワークの作成に関する記事をご覧ください。For more information about public IP address ranges, see Create a virtual network. パブリック IP アドレスは、インターネットから直接アクセスできません。Public IP addresses are not directly accessible from the internet.

VNet 内のサブネットの数に制限はありますか。Is there a limit to the number of subnets in my VNet?

はい。Yes. 詳細については、Azure の制限に関する記事をご覧ください。See Azure limits for details. サブネットのアドレス空間は、互いに重複することはできません。Subnet address spaces cannot overlap one another.

これらのサブネット内の IP アドレスの使用に関する制限はありますか。Are there any restrictions on using IP addresses within these subnets?

はい。Yes. Azure では、各サブネット内で 5 つの IP アドレスが予約されています。Azure reserves 5 IP addresses within each subnet. これらは x.x.x.0 から x.x.x.3 とサブネットの最後のアドレスです。These are x.x.x.0-x.x.x.3 and the last address of the subnet.

  • x.x.x.0 とサブネットの最後のアドレスは、プロトコル準拠用に予約されています。x.x.x.0 and the last address of the subnet is reserved for protocol conformance.
  • 各サブネットの x.x.x.1 から x.x.x.3 は Azure サービス用に予約されています。x.x.x.1-x.x.x.3 is reserved in each subnet for Azure services.

VNet およびサブネットは、どれくらい小規模に、また、大規模になるのでしょうか。How small and how large can VNets and subnets be?

サポートされる最小のサブネットは /29、最大は /8 です (CIDR サブネット定義を使用)。The smallest supported subnet is /29, and the largest is /8 (using CIDR subnet definitions).

VNet を使用して、VLAN を Azure に接続できるでしょうか。Can I bring my VLANs to Azure using VNets?

いいえ。No. VNet はレイヤー 3 のオーバーレイです。VNets are Layer-3 overlays. Azure では、任意のレイヤー 2 のセマンティクスはサポートされません。Azure does not support any Layer-2 semantics.

私の Vnet とサブネットをカスタム ルーティング ポリシーを指定できますか。Can I specify custom routing policies on my VNets and subnets?

はい。Yes. ルート テーブルを作成してサブネットに関連付けることができます。You can create a route table and associate it to a subnet. Azure でのルーティングの詳細については、ルーティングの概要に関する記事をご覧ください。For more information about routing in Azure, see Routing overview.

VNet はマルチキャストやブロードキャストをサポートしますか。Do VNets support multicast or broadcast?

いいえ。No. マルチキャストとブロードキャストはサポートされていません。Multicast and broadcast are not supported.

VNet 内はどのようなプロトコルを使用できますか。What protocols can I use within VNets?

VNet では、TCP、UDP、および ICMP TCP/IP プロトコルを使用することができます。You can use TCP, UDP, and ICMP TCP/IP protocols within VNets. ユニキャストは VNet 内でサポートされますが、ユニキャスト (ソース ポート UDP/68 / 宛先ポート UDP/67) を経由した動的ホスト構成プロトコル (DHCP) は例外です。Unicast is supported within VNets, with the exception of Dynamic Host Configuration Protocol (DHCP) via Unicast (source port UDP/68 / destination port UDP/67). マルチキャスト、ブロードキャスト、IP-in-IP のカプセル化されたパケット、Generic Routing Encapsulation (GRE) のパケットは、VNet 内でブロックされます。Multicast, broadcast, IP-in-IP encapsulated packets, and Generic Routing Encapsulation (GRE) packets are blocked within VNets.

VNet 内には、既定ルーターを ping できるでしょうか。Can I ping my default routers within a VNet?

いいえ。No.

Tracert を使用して、接続を診断することができますか。Can I use tracert to diagnose connectivity?

いいえ。No.

VNet を作成した後のサブネットを追加できますか。Can I add subnets after the VNet is created?

はい。Yes. サブネットのアドレス範囲が VNet 内の別のサブネットの一部でなく、仮想ネットワークのアドレス範囲に空き領域があれば、いつでもサブネットを VNet に追加できます。Subnets can be added to VNets at any time as long as the subnet address range is not part of another subnet and there is available space left in the virtual network's address range.

作成した後、サブネットのサイズを変更できますか。Can I modify the size of my subnet after I create it?

はい。Yes. VM またはサービスがサブネット内にデプロイされていない場合は、サブネットを追加、削除、拡張、または縮小できます。You can add, remove, expand, or shrink a subnet if there are no VMs or services deployed within it.

サブネットを作成後に変更できますか。Can I modify subnets after I created them?

はい。Yes. VNet で使用された CIDR ブロックを追加、削除、変更することができます。You can add, remove, and modify the CIDR blocks used by a VNet.

VNet でサービスを実行している場合、インターネットに接続できますか。If I am running my services in a VNet, can I connect to the internet?

はい。Yes. VNet 内にデプロイされているすべてのサービスは、インターネットに送信接続できます。All services deployed within a VNet can connect outbound to the internet. Azure での送信インターネット接続について詳しくは、送信接続に関する記事をご覧ください。To learn more about outbound internet connections in Azure, see Outbound connections. Resource Manager を使用してデプロイされたリソースに受信接続するには、リソースにパブリック IP アドレスが割り当てられている必要があります。If you want to connect inbound to a resource deployed through Resource Manager, the resource must have a public IP address assigned to it. パブリック IP アドレスについて詳しくは、パブリック IP アドレスに関する記事をご覧ください。To learn more about public IP addresses, see Public IP addresses. Azure にデプロイされたすべての Azure クラウド サービスには、パブリックにアドレス指定可能な VIP が割り当てられています。Every Azure Cloud Service deployed in Azure has a publicly addressable VIP assigned to it. PaaS ロールの入力エンドポイントと仮想マシンのエンドポイントを定義して、これらのサービスがインターネットからの接続を承諾できるようにします。You define input endpoints for PaaS roles and endpoints for virtual machines to enable these services to accept connections from the internet.

VNet は IPv6 をサポートするでしょうか。Do VNets support IPv6?

いいえ。No. この時点で、VNet で IPv6 を使用できません。You cannot use IPv6 with VNets at this time. ただし、Azure ロード バランサーに IPv6 アドレスを割り当てて、仮想マシンを負荷分散することはできます。You can however, assign IPv6 addresses to Azure load balancers to load balance virtual machines. 詳細については、「Azure Load Balancer の IPv6 の概要」をご覧ください。For details, see Overview of IPv6 for Azure Load Balancer.

VNet は複数のリージョンで広がるでしょうか。Can a VNet span regions?

いいえ。No. VNet は、1 つのリージョンに制限されます。A VNet is limited to a single region. ただし、仮想ネットワークは複数の可用性ゾーンにまたがります。A virtual network does, however, span availability zones. 可用性ゾーンの詳細については、「可用性ゾーンの概要」を参照してください。To learn more about availability zones, see Availability zones overview. 仮想ネットワーク ピアリングを使用して、別々のリージョンにある仮想ネットワークを接続できます。You can connect virtual networks in different regions with virtual network peering. 詳細については、仮想ネットワーク ピアリングの概要に関する記事をご覧ください。For details, see Virtual network peering overview

VNet を Azure での別の VNet に接続できますか。Can I connect a VNet to another VNet in Azure?

はい。Yes. 次のいずれかの方法で VNet どうしを接続できます。You can connect one VNet to another VNet using either:

名前解決 (DNS)Name Resolution (DNS)

VNet の DNS オプションとは何でしょうか。What are my DNS options for VNets?

VM とロール インスタンスの名前解決 ページでディシジョン テーブルを使用して、使用できるすべての DNS オプションを行うことができます。Use the decision table on the Name Resolution for VMs and Role Instances page to guide you through all the DNS options available.

VNet の DNS サーバーを指定できますか。Can I specify DNS servers for a VNet?

はい。Yes. VNet 設定では、DNS サーバーの IP アドレスを指定できます。You can specify DNS server IP addresses in the VNet settings. 設定は、VNet 内のすべての VM の既定の DNS サーバーとして適用されます。The setting is applied as the default DNS server(s) for all VMs in the VNet.

DNS サーバーの数を指定できますか。How many DNS servers can I specify?

Azure の制限に関する記事をご覧ください。Reference Azure limits.

ネットワークを作成した後、DNS サーバーを変更できますか。Can I modify my DNS servers after I have created the network?

はい。Yes. いつでも、VNet の DNS サーバーの一覧を変更できます。You can change the DNS server list for your VNet at any time. DNS サーバーの一覧を変更する場合は、新しい DNS サーバーを取得するために VNet で VM をそれぞれ再起動する必要があります。If you change your DNS server list, you will need to restart each of the VMs in your VNet in order for them to pick up the new DNS server.

Azure で提供される DNS と Vnet と組み合わせて使用についてWhat is Azure-provided DNS and does it work with VNets?

Azure で提供される DNS は、Microsoft によって提供されるマルチ テナント DNS サービスです。Azure-provided DNS is a multi-tenant DNS service offered by Microsoft. Azure は、すべての VM とクラウド サービス ロール インスタンスをこのサービスに登録します。Azure registers all of your VMs and cloud service role instances in this service. このサービスは、同じクラウド サービス内に含まれる VM とロール インスタンスのホスト名によって、また、同じ VNet 内の VM とロール インスタンスの FQDN によって名前解決を提供します。This service provides name resolution by hostname for VMs and role instances contained within the same cloud service, and by FQDN for VMs and role instances in the same VNet. DNS の詳細については、VM と Cloud Services ロール インスタンスの名前解決に関する記事をご覧ください。To learn more about DNS, see Name Resolution for VMs and Cloud Services role instances.

Azure で提供される DNS を使用したテナント間名前解決は、VNet の最初の 100 個のクラウド サービスまでに制限されます。There is a limitation to the first 100 cloud services in a VNet for cross-tenant name resolution using Azure-provided DNS. 独自の DNS サーバーを使用している場合は、この制限は適用されません。If you are using your own DNS server, this limitation does not apply.

VM またはクラウド サービスごとに、DNS 設定をオーバーライドできますか。Can I override my DNS settings on a per-VM or cloud service basis?

はい。Yes. VM またはクラウド サービスごとに DNS サーバーを設定し、既定のネットワーク設定をオーバーライドすることができます。You can set DNS servers per VM or cloud service to override the default network settings. ただし、できるだけネットワーク全体の DNS を使用することをお勧めします。However, it's recommended that you use network-wide DNS as much as possible.

独自の DNS サフィックスを取り込むことができますか。Can I bring my own DNS suffix?

いいえ。No. ご使用の VNet のカスタム DNS サフィックスを指定することはできません。You cannot specify a custom DNS suffix for your VNets.

仮想マシンの接続Connecting virtual machines

VNet に VM をデプロイできますか。Can I deploy VMs to a VNet?

はい。Yes. Resource Manager デプロイ モデルを使用してデプロイされた VM に接続されているすべてのネットワーク インターフェイス (NIC) は、VNet に接続されている必要があります。All network interfaces (NIC) attached to a VM deployed through the Resource Manager deployment model must be connected to a VNet. クラシック デプロイ モデルを使用してデプロイされた VM は、必要に応じて VNet に接続できます。VMs deployed through the classic deployment model can optionally be connected to a VNet.

VM に割り当てることができる IP アドレスにはどのような種類がありますか。What are the different types of IP addresses I can assign to VMs?

  • プライベート: 各 VM 内の各 NIC に割り当てられます。Private: Assigned to each NIC within each VM. アドレスは、静的または動的な方法を使用して割り当てられます。The address is assigned using either the static or dynamic method. プライベート IP アドレスは、VNet のサブネット設定で指定した範囲から割り当てられます。Private IP addresses are assigned from the range that you specified in the subnet settings of your VNet. クラシック デプロイ モデルを使用してデプロイされたリソースは、VNet に接続されていなくてもプライベート IP アドレスが割り当てられます。Resources deployed through the classic deployment model are assigned private IP addresses, even if they're not connected to a VNet. 割り当て方法の動作は、リソースが Resource Manager デプロイ モデルとクラシック デプロイ モデルのどちらを使用してデプロイされたかによって異なります。The behavior of the allocation method is different depending on whether a resource was deployed with the Resource Manager or classic deployment model:

    • Resource Manager:動的または静的な方法を使用して割り当てられたプライベート IP アドレスは、リソースが削除されるまで、仮想マシン (Resource Manager) に割り当てられたままになります。Resource Manager: A private IP address assigned with the dynamic or static method remains assigned to a virtual machine (Resource Manager) until the resource is deleted. 異なるのは、静的な方法の場合はユーザーが割り当てるアドレスを選択し、動的な方法の場合は Azure が選択するという点です。The difference is that you select the address to assign when using static, and Azure chooses when using dynamic.
    • クラシック:動的な方法を使用して割り当てられたプライベート IP アドレスは、仮想マシン (クラシック) VM が停止 (割り当て解除) 状態になった後で再起動されたときに変更される可能性があります。Classic: A private IP address assigned with the dynamic method may change when a virtual machine (classic) VM is restarted after having been in the stopped (deallocated) state. クラシック デプロイ モデルを使用してデプロイされるリソースのプライベート IP アドレスを固定する必要がある場合は、静的な方法を使用してプライベート IP アドレスを割り当ててください。If you need to ensure that the private IP address for a resource deployed through the classic deployment model never changes, assign a private IP address with the static method.
  • パブリック: 必要に応じて、Azure Resource Manager デプロイ モデルを使用してデプロイされた VM に接続されている NIC に割り当てられます。Public: Optionally assigned to NICs attached to VMs deployed through the Azure Resource Manager deployment model. アドレスは、静的または動的な割り当て方法を使用して割り当てることができます。The address can be assigned with the static or dynamic allocation method. クラシック デプロイ モデルを使用してデプロイされたすべての VM および Cloud Services ロール インスタンスは、"動的な" パブリック仮想 IP (VIP) アドレスが割り当てられたクラウド サービス内に存在します。All VMs and Cloud Services role instances deployed through the classic deployment model exist within a cloud service, which is assigned a dynamic, public virtual IP (VIP) address. パブリックな "静的" IP アドレスは、予約済み IP アドレスと呼ばれ、必要に応じて VIP として割り当てることができます。A public static IP address, called a Reserved IP address, can optionally be assigned as a VIP. パブリック IP アドレスは、クラシック デプロイ モデルを使用してデプロイされた個々の VM または Cloud Services ロール インスタンスに割り当てることができます。You can assign public IP addresses to individual VMs or Cloud Services role instances deployed through the classic deployment model. これらのアドレスは、インスタンス レベルのパブリック IP (ILPIP) アドレスと呼ばれ、動的に割り当てることができます。These addresses are called Instance level public IP (ILPIP addresses and can be assigned dynamically.

後で作成する VM 用にプライベート IP アドレスを予約することはできますか。Can I reserve a private IP address for a VM that I will create at a later time?

いいえ。No. プライベート IP アドレスを予約することはできません。You cannot reserve a private IP address. プライベート IP アドレスが使用可能な場合は、DHCP サーバーによって VM またはロール インスタンスに割り当てられます。If a private IP address is available, it is assigned to a VM or role instance by the DHCP server. その VM は、プライベート IP アドレスを割り当てたい VM である場合も、そうでない場合もあります。The VM may or may not be the one that you want the private IP address assigned to. ただし、既に作成した VM のプライベート IP アドレスを、使用可能なプライベート IP アドレスに変更することができます。You can, however, change the private IP address of an already created VM, to any available private IP address.

VNet 内の VM のプライベート IP アドレスは変更されますか。Do private IP addresses change for VMs in a VNet?

一概には言えません。It depends. VM が Resource Manager を使用してデプロイされた場合は、静的または動的な割り当て方法のどちらを使用して割り当てられていても、変更されることはありません。If the VM was deployed through Resource Manager, no, regardless of whether the IP address was assigned with the static or dynamic allocation method. VM がクラシック デプロイ モデルを使用してデプロイされた場合は、VM が停止 (割り当て解除) 状態になった後で起動された場合に、動的 IP アドレスが変更される可能性があります。If the VM was deployed through the classic deployment model, dynamic IP addresses can change when a VM is started after having been in the stopped (deallocated) state. このアドレスは、いずれかのデプロイメント モデルを使用してデプロイされた VM が削除されると、その VM から解放されます。The address is released from a VM deployed through either deployment model when the VM is deleted.

VM オペレーティング システム内の NIC に手動で IP アドレスを割り当てることはできますか。Can I manually assign IP addresses to NICs within the VM operating system?

はい。ただし、必要な場合 (仮想マシンに複数の IP アドレスを割り当てる場合など) 以外はお勧めしません。Yes, but it's not recommended unless necessary, such as when assigning multiple IP addresses to a virtual machine. 詳細については、仮想マシンに複数の IP アドレスを追加する方法に関する記事をご覧ください。For details, see Adding multiple IP addresses to a virtual machine. VM にアタッチされた Azure NIC に割り当てられている IP アドレスが変更され、VM オペレーティング システム内の IP アドレスと異なる場合は、VM への接続が失われます。If the IP address assigned to an Azure NIC attached to a VM changes, and the IP address within the VM operating system is different, you lose connectivity to the VM.

クラウド サービス デプロイ スロットを停止した場合や、オペレーティング システム内から VM をシャットダウンした場合、IP アドレスはどうなりますか。If I stop a Cloud Service deployment slot or shutdown a VM from within the operating system, what happens to my IP addresses?

何もありません。Nothing. IP アドレス (パブリック VIP、パブリック、プライベート) は、クラウド サービス デプロイ スロットまたは VM に割り当てられたままとなります。The IP addresses (public VIP, public, and private) remain assigned to the cloud service deployment slot or VM.

VNet 内の別のサブネットへ、再デプロイせずに移動できますか。Can I move VMs from one subnet to another subnet in a VNet without redeploying?

はい。Yes. 詳細については、「VM またはロール インスタンスを別のサブネットに移動する方法」を参照してください。You can find more information in the How to move a VM or role instance to a different subnet article.

VM に静的な MAC アドレスを構成できますか。Can I configure a static MAC address for my VM?

いいえ。No. MAC アドレスを静的に構成することはできません。A MAC address cannot be statically configured.

MAC アドレスは、一度作成されると、VM で同じものとして残りますか。Will the MAC address remain the same for my VM once it's created?

はい。MAC アドレスは、Resource Manager デプロイ モデルを使用してデプロイされた VM とクラシック デプロイ モデルを使用してデプロイされた VM のどちらの場合も、削除されるまで同じままです。Yes, the MAC address remains the same for a VM deployed through both the Resource Manager and classic deployment models until it's deleted. 以前は、VM が停止 (割り当て解除) された場合に MAC アドレスが解放されました。現在、MAC アドレスは、VM が割り当て解除状態であっても保持されます。Previously, the MAC address was released if the VM was stopped (deallocated), but now the MAC address is retained even when the VM is in the deallocated state. MAC アドレスがネットワーク インターフェイスに割り当てられると、そのネットワーク インターフェイスが削除されるか、プライマリ ネットワーク インターフェイスのプライマリ IP 構成に割り当てられたプライベート IP アドレスが変更されるまで、その状態は変わりません。The MAC address remains assigned to the network interface until the network interface is deleted or the private IP address assigned to the primary IP configuration of the primary network interface is changed.

VNet 内の VM からインターネットに接続できますか。Can I connect to the internet from a VM in a VNet?

はい。Yes. VNet 内にデプロイされているすべての VM および Cloud Services ロール インスタンスは、インターネットに接続できます。All VMs and Cloud Services role instances deployed within a VNet can connect to the Internet.

VNet に接続する Azure サービスAzure services that connect to VNets

Azure App Service Web Apps を VNet で使用することはできますか。Can I use Azure App Service Web Apps with a VNet?

はい。Yes. ASE (App Service Environment) を使用して VNet 内に Web Apps をデプロイし、VNet 統合を使用してアプリのバックエンドを VNet に接続し、サービス エンドポイントを使用してインバウンド トラフィックをアプリにロックダウンできます。You can deploy Web Apps inside a VNet using an ASE (App Service Environment), connect the backend of your apps to your VNets with VNet Integration, and lock down inbound traffic to your app with service endpoints. 詳細については、次の記事を参照してください。For more information, see the following articles:

Web ロールと worker ロール (PaaS) を持つ Cloud Services を VNet にデプロイすることはできますか。Can I deploy Cloud Services with web and worker roles (PaaS) in a VNet?

はい。Yes. Cloud Services ロール インスタンスは、VNet 内に (オプションで) デプロイできます。You can (optionally) deploy Cloud Services role instances within VNets. そのためには、サービス構成のネットワーク構成セクションで、VNet の名前と、ロールとサブネットのマッピングを指定します。To do so, you specify the VNet name and the role/subnet mappings in the network configuration section of your service configuration. どのバイナリも更新する必要はありません。You do not need to update any of your binaries.

仮想マシン スケール セットを VNet に接続することはできますか。Can I connect a virtual machine scale set to a VNet?

はい。Yes. 仮想マシン スケール セットは VNet に接続する必要があります。You must connect a virtual machine scale set to a VNet.

VNet 内にリソースをデプロイできる Azure サービスの完全な一覧はありますか。Is there a complete list of Azure services that can I deploy resources from into a VNet?

はい。詳細については、「Azure サービスの仮想ネットワーク統合」をご覧ください。Yes, For details, see Virtual network integration for Azure services.

どの Azure PaaS リソースで、VNet からのアクセスのみにアクセスを制限できますか。Which Azure PaaS resources can I restrict access to from a VNet?

Azure Storage、Azure SQL Database などの一部の Azure PaaS サービスを使用してデプロイされたリソースは、仮想ネットワーク サービス エンドポイントの使用によって、VNet 内のリソースのみにネットワーク アクセスを制限できます。Resources deployed through some Azure PaaS services (such as Azure Storage and Azure SQL Database), can restrict network access to only resources in a VNet through the use of virtual network service endpoints. 詳細については、仮想ネットワーク サービス エンドポイントの概要に関する記事をご覧ください。For details, see Virtual network service endpoints overview.

サービスを VNet 内外で移動できますか。Can I move my services in and out of VNets?

いいえ。No. サービスを VNet 内外で移動することはできません。You cannot move services in and out of VNets. リソースを別の VNet に移動するには、リソースを削除して再デプロイする必要があります。To move a resource to another VNet, you have to delete and redeploy the resource.

セキュリティSecurity

VNet のセキュリティ モデルとは何ですか。What is the security model for VNets?

Vnet は、他の VNet から、および Azure インフラストラクチャでホストされている他のサービスから、完全に分離されています。VNets are isolated from one another, and other services hosted in the Azure infrastructure. VNet は、トラスト バウンダリです。A VNet is a trust boundary.

受信または送信トラフィック フローを VNet に接続されたリソースに制限することはできますか。Can I restrict inbound or outbound traffic flow to VNet-connected resources?

はい。Yes. VNet 内の個々のサブネット、VNet に接続された NIC、またはその両方にネットワーク セキュリティ グループを適用できます。You can apply Network Security Groups to individual subnets within a VNet, NICs attached to a VNet, or both.

VNet に接続されたリソースの間にファイアウォールを実装することはできますか。Can I implement a firewall between VNet-connected resources?

はい。Yes. Azure Marketplace を通じて複数のベンダーから提供されているファイアウォール ネットワーク仮想アプライアンスをデプロイできます。You can deploy a firewall network virtual appliance from several vendors through the Azure Marketplace.

VNet のセキュリティ保護に関する情報はありますか。Is there information available about securing VNets?

はい。Yes. 詳細については、「Azure のネットワーク セキュリティの概要」をご覧ください。For details, see Azure Network Security Overview.

API、スキーマ、およびツールAPIs, schemas, and tools

VNet をコードから管理できますか。Can I manage VNets from code?

はい。Yes. Azure Resource Manager デプロイ モデルとクラシック デプロイ モデルで、VNet 用の REST API を使用できます。You can use REST APIs for VNets in the Azure Resource Manager and classic deployment models.

VNet に対するツール サポートはありますか。Is there tooling support for VNets?

はい。Yes. 次のツールを使用できます。Learn more about using:

  • Azure Portal。Azure Resource Manager およびクラシック デプロイメント モデルを使用して VNet をデプロイするために使用します。The Azure portal to deploy VNets through the Azure Resource Manager and classic deployment models.
  • PowerShell。Resource Manager およびクラシック デプロイメント モデルを使用してデプロイされた VNet を管理するために使用します。PowerShell to manage VNets deployed through the Resource Manager and classic deployment models.
  • Azure コマンド ライン インターフェイス (CLI)。Resource Manager デプロイメント モデルおよびクラシック デプロイメント モデルを使用してデプロイされた VNet をデプロイおよび管理するために使用します。The Azure command-line interface (CLI) to deploy and manage VNets deployed through the Resource Manager and classic deployment models.

VNET ピアリングVNet peering

VNet ピアリングとはWhat is VNet peering?

VNet ピアリング (仮想ネットワーク ピアリング) を使用して、仮想ネットワークに接続できます。VNet peering (or virtual network peering) enables you to connect virtual networks. 仮想ネットワーク間の VNet ピアリング接続では、IPv4 アドレスによってそれらの間でトラフィックをプライベートにルーティングできます。A VNet peering connection between virtual networks enables you to route traffic between them privately through IPv4 addresses. ピアリングされた VNet 内の仮想マシンは、同じネットワーク内にあるかのように相互に通信できます。Virtual machines in the peered VNets can communicate with each other as if they are within the same network. これらの仮想ネットワークは、同じリージョン内にあっても異なるリージョン内にあってもかまいません (グローバル VNet ピアリングとも呼ばれます)。These virtual networks can be in the same region or in different regions (also known as Global VNet Peering). VNet ピアリング接続は、Azure サブスクリプション間で作成することもできます。VNet peering connections can also be created across Azure subscriptions.

別のリージョンの VNet へのピアリング接続を作成できますか。Can I create a peering connection to a VNet in a different region?

はい。Yes. グローバル VNet ピアリングを使用すると、別のリージョンの VNet にピアリングできます。Global VNet peering enables you to peer VNets in different regions. グローバル VNet ピアリングは、すべての Azure パブリック リージョン、China Cloud リージョン、Government Cloud リージョンで使用できます。Global VNet peering is available in all Azure public regions, China cloud regions, and Government cloud regions. Azure パブリック リージョンから国内クラウド リージョンに、グローバルにピアリングすることはできません。You cannot globally peer from Azure public regions to national cloud regions.

2 つの仮想ネットワークが異なるリージョンにある場合 (グローバル VNet ピアリング)、Basic Load Balancer を使用するリソースには接続できません。If the two virtual networks are in different region (Global VNet Peering), you cannot connect to resources that use Basic Load Balancer. Standard Load Balancer を使用するリソースには接続できます。You can connect to resources that use Standard Load Balancer. 次のリソースは Basic Load Balancer を使用しています。つまり、グローバル VNet ピアリングを介してそれらと通信することはできません。The following resources use Basic Load Balancers which means you cannot communicate to them across Global VNet Peering:

  • Basic Load Balancer の背後にある VMVMs behind Basic Load Balancers
  • Basic Load Balancer を使用する仮想マシン スケール セットVirtual machine scale sets with Basic Load Balancers
  • Redis CacheRedis Cache
  • Application Gateway (v1) SKUApplication Gateway (v1) SKU
  • Service FabricService Fabric
  • SQL MISQL MI
  • API ManagementAPI Management
  • Active Directory Domain Service (ADDS)Active Directory Domain Service (ADDS)
  • Logic AppsLogic Apps
  • HDInsightHDInsight
  • Azure BatchAzure Batch
  • AKSAKS
  • App Service 環境App Service Environment

ExpressRoute、または VNet ゲートウェイ経由の VNet 対 VNet を介してこのようなリソースに接続できます。You can connect to these resource via ExpressRoute or VNet-to-VNet through VNet Gateways.

仮想ネットワークが別の Azure Active Directory テナント内のサブスクリプションに属する場合、VNet ピアリングを有効にできますか。Can I enable VNet Peering if my virtual networks belong to subscriptions within different Azure Active Directory tenants?

はい。Yes. サブスクリプションが別の Azure Active Directory テナントに属する場合、(ローカルまたはグローバルのどちらでも) VNet ピアリング を確立できます。It is possible to establish VNet Peering (whether local or global) if your subscriptions belong to different Azure Active Directory tenants. これは、PowerShell または CLI を使用して行うことができます。You can do this via PowerShell or CLI. portal はまだサポートされていません。Portal is not yet supported.

VNet ピアリング接続が開始済みの状態にあります。接続できないのはなぜですか。My VNet peering connection is in Initiated state, why can't I connect?

ピアリング接続が開始済みの状態にある場合、これは、リンクを 1 つだけ作成していることを意味します。If your peering connection is in an Initiated state, this means you have created only one link. 正常な接続を確立するには、双方向のリンクを作成する必要があります。A bidirectional link must be created in order to establish a successful connection. VNet A から VNet B にピアリングするには、VNetA から VNetB、および VNetB から VNetAへのリンクを作成する必要があります。For example, to peer VNet A to VNet B, a link must be created from VNetA to VNetB and from VNetB to VNetA. 両方のリンクを作成すると、状態が接続済みに変更されます。Creating both links will change the state to Connected.

VNet ピアリング接続が "切断" 状態にあります。ピアリング接続を作成できないのはなぜですか。My VNet peering connection is in Disconnected state, why can't I create a peering connection?

VNet ピアリング接続が切断状態にある場合、それは作成されたリンクの 1 つが削除されていることを意味します。If your VNet peering connection is in a Disconnected state, it means one of the links created was deleted. ピアリング接続を再確立するためには、リンクを削除して再作成する必要があります。In order to re-establish a peering connection, you will need to delete the link and recreate.

VNet を別のサブスクリプションにある VNet とピアリングできますか。Can I peer my VNet with a VNet in a different subscription?

はい。Yes. VNet はサブスクリプションやリージョンを越えてピアリングできます。You can peer VNets across subscriptions and across regions.

一致するまたは重複するアドレス範囲にある 2 つの VNet をピアリングできますか。Can I peer two VNets with matching or overlapping address ranges?

いいえ。No. VNet ピアリングを有効にするには、アドレス空間がオーバーラップしない必要があります。Address spaces must not overlap to enable VNet Peering.

VNet ピアリング接続を作成するのに料金はかかりません。There is no charge for creating a VNet peering connection. ピアリング接続経由でのデータ転送には料金が発生します。Data transfer across peering connections is charged. こちらを参照してください。See here.

VNet ピアリングのトラフィックは暗号化されますか。Is VNet peering traffic encrypted?

いいえ。No. ピアリングされた VNet のリソース間のトラフィックはプライベートで分離されています。Traffic between resources in peered VNets is private and isolated. マイクロソフトのバックボーンに完全に残ります。It remains completely on the Microsoft Backbone.

ピアリング接続が切断状態にあるのはなぜですか。Why is my peering connection in a disconnected state?

1 つの VNet ピアリング リンクが削除されると、VNet ピアリングは切断状態になります。VNet peering connections go into Disconnected state when one VNet peering link is deleted. ピアリング接続を再度確立するには、両方のリンクを削除する必要があります。You must delete both links in order to reestablish a successful peering connection.

VNetA から VNetB にピアリングし、VNetB から VNetC にピアリングすると、VNetA と VNetC がピアリングされたことになりますか。If I peer VNetA to VNetB and I peer VNetB to VNetC, does that mean VNetA and VNetC are peered?

いいえ。No. 推移的なピアリングはサポートされません。Transitive peering is not supported. VNetA と VNetC をピアリングする必要があります。You must peer VNetA and VNetC for this to take place.

ピアリング接続に帯域幅制限はありますか。Are there any bandwidth limitations for peering connections?

いいえ。No. ローカルであってもグローバルであっても、VNet ピアリングで帯域幅制限は課されません。VNet peering, whether local or global, does not impose any bandwidth restrictions. 帯域幅は VM やコンピューティング リソースによってのみ制限されます。Bandwidth is only limited by the VM or the compute resource.

VNet ピアリングの問題をトラブルシューティングするにはどうすればよいですか?How can I troubleshoot VNet Peering issues?

こちらのトラブルシューティング ガイドを試すことができます。Here is a troubleshooter guide you can try.

仮想ネットワーク TAPVirtual network TAP

仮想ネットワーク TAP はどの Azure リージョンで利用できますか。Which Azure regions are available for virtual network TAP?

仮想ネットワーク TAP プレビューは、すべての Azure リージョンで利用できます。Virtual network TAP preview is available in all Azure regions. 監視対象のネットワーク インターフェイス、仮想ネットワーク TAP リソース、およびコレクターまたは分析ソリューションは、同じリージョンにデプロイする必要があります。The monitored network interfaces, the virtual network TAP resource, and the collector or analytics solution must be deployed in the same region.

仮想ネットワーク TAP では、ミラー化されたパケットに対するフィルター処理機能がサポートされていますか。Does Virtual Network TAP support any filtering capabilities on the mirrored packets?

仮想ネットワーク TAP のプレビュー版では、フィルター処理機能はサポートされていません。Filtering capabilities are not supported with the virtual network TAP preview. TAP 構成をネットワーク インターフェイスに追加すると、ネットワーク インターフェイス上のすべてのイングレス トラフィックとエグレス トラフィックのディープ コピーが、TAP のターゲットにストリーミングされます。When a TAP configuration is added to a network interface a deep copy of all the ingress and egress traffic on the network interface is streamed to the TAP destination.

監視対象のネットワーク インターフェイスに、複数の TAP 構成を追加できますか。Can multiple TAP configurations be added to a monitored network interface?

監視対象のネットワーク インターフェイスに追加できる TAP 構成は 1 つだけです。A monitored network interface can have only one TAP configuration. ユーザーが選択した分析ツールに TAP トラフィックの複数コピーをストリーミングする機能については、個別のパートナー ソリューションを確認してください。Check with the individual partner solutions for the capability to stream multiple copies of the TAP traffic to the analytics tools of your choice.

同じ仮想ネットワーク TAP リソースで、複数の仮想ネットワーク内の監視対象ネットワーク インターフェイスからのトラフィックを集約できますか。Can the same virtual network TAP resource aggregate traffic from monitored network interfaces in more than one virtual network?

はい。Yes. 同じ仮想ネットワーク TAP リソースを使用して、同じサブスクリプションまたは異なるサブスクリプションのピアリングされた仮想ネットワーク内の監視対象ネットワーク インターフェイスからのミラー化されたトラフィックを集約できます。The same virtual network TAP resource can be used to aggregate mirrored traffic from monitored network interfaces in peered virtual networks in the same subscription or a different subscription. 仮想ネットワーク TAP リソースと、ターゲット ロード バランサーまたはターゲット ネットワーク インターフェイスは、同じサブスクリプションに含まれる必要があります。The virtual network TAP resource and the destination load balancer or destination network interface must be in the same subscription. すべてのサブスクリプションが同じ Azure Active Directory テナントに存在する必要がある。All subscriptions must be under the same Azure Active Directory tenant.

ネットワーク インターフェイスで仮想ネットワーク TAP 構成を有効にする場合、運用環境のトラフィックのパフォーマンスについて考慮することがありますか。Are there any performance considerations on production traffic if I enable a virtual network TAP configuration on a network interface?

仮想ネットワーク TAP はプレビュー段階です。Virtual network TAP is in preview. プレビュー期間中は、サービス レベル アグリーメントはありません。During preview, there is no service level agreement. 運用環境のワークロードでは機能を使用しないでください。The capability should not be used for production workloads. TAP 構成で仮想マシンのネットワーク インターフェイスを有効にすると、運用トラフィックを送信するために仮想マシンに割り当てられている Azure ホスト上の同じリソースを使用して、ミラーリング機能が実行され、ミラー化されたパケットが送信されます。When a virtual machine network interface is enabled with a TAP configuration, the same resources on the azure host allocated to the virtual machine to send the production traffic is used to perform the mirroring function and send the mirrored packets. 運用トラフィックとミラー化されたトラフィックを送信するのに十分なリソースを仮想マシンが利用できるように、Linux または Windows の適切な仮想マシン サイズを選択してください。Select the correct Linux or Windows virtual machine size to ensure that sufficient resources are available for the virtual machine to send the production traffic and the mirrored traffic.

仮想ネットワーク TAP では、Linux または Windows に対する高速ネットワークはサポートされていますか。Is accelerated networking for Linux or Windows supported with virtual network TAP?

高速ネットワークが有効になっている仮想マシンにアタッチされたネットワーク インターフェイスで、TAP 構成を追加することができます。You will be able to add a TAP configuration on a network interface attached to a virtual machine that is enabled with accelerated networking. ただし、現在 Azure の高速ネットワークではミラーリング トラフィックのオフロードがサポートされていないため、TAP 構成を追加することにより、仮想マシンでのパフォーマンスと待機時間が影響を受けます。But the performance and latency on the virtual machine will be affected by adding TAP configuration since the offload for mirroring traffic is currently not supported by Azure accelerated networking.

仮想ネットワーク サービス エンドポイントVirtual network service endpoints

Azure サービスに対するサービス エンドポイントを設定するにはどのような操作手順が正しいですか。What is the right sequence of operations to set up service endpoints to an Azure service?

サービス エンドポイントを介して Azure サービス リソースをセキュリティ保護するには 2 つのステップがあります。There are two steps to securing an Azure service resource through service endpoints:

  1. Azure サービスに対するサービス エンドポイントを有効にします。Turn on service endpoints for the Azure service.
  2. Azure サービスで VNet ACL を設定します。Set up VNet ACLs on the Azure service.

最初のステップはネットワーク側の操作であり、2 番目のステップはサービス リソース側の操作です。The first step is a network side operation and the second step is a service resource side operation. どちらのステップも、管理者ロールに付与されている RBAC のアクセス許可に基づいて、同じ管理者または異なる管理者が実行できます。Both steps can be performed either by the same administrator or different administrators based on the RBAC permissions granted to the administrator role. Azure サービス側で VNet ACL をセットアップする前に、まず仮想ネットワークに対してサービス エンドポイントを有効にすることをお勧めします。We recommend that you first turn on service endpoints for your virtual network prior to setting up VNet ACLs on Azure service side. そのためには、上で示した順序で手順を実行し、VNet サービス エンドポイントを設定する必要があります。Hence, the steps must be performed in sequence listed above to set up VNet service endpoints.

注意

上で説明されているどちらの操作も、許可される VNet とサブネットに Azure サービスへのアクセスを制限する前に、完了する必要があります。Both the operations described above must be completed before you can limit the Azure service access to the allowed VNet and subnet. ネットワーク側で Azure サービスに対してサービス エンドポイントを有効にするだけでは、制限付きアクセスは提供されません。Only turning on service endpoints for the Azure service on the network side does not provide you the limited access. さらに、Azure サービス側で VNet ACL も設定する必要があります。In addition, you must also set up VNet ACLs on the Azure service side.

一部のサービス (SQL、CosmosDB など) では、IgnoreMissingVnetServiceEndpoint フラグを使用して上記の手順に対する例外を設定できます。Certain services (such as SQL, and CosmosDB) allow exceptions to the above sequence through the IgnoreMissingVnetServiceEndpoint flag . フラグを True に設定すると、ネットワーク側でサービス エンドポイントを設定する前に、Azure サービスで VNet ACL を設定できます。Once the flag is set to True, VNet ACLs can be set on the Azure service side prior to setting up the service endpoints on network side. Azure サービスでこのフラグが提供されているのは、Azure サービスで特定の IP ファイアウォールが構成されている場合に、ネットワーク側でサービス エンドポイントを有効にすると、パブリック IPv4 アドレスからプライベート アドレスへのソース IP アドレスの変更によって、接続が断たれる可能性があるためです。Azure services provide this flag to help customers in cases where the specific IP firewalls are configured on Azure services and turning on the service endpoints on the network side can lead to a connectivity drop since the source IP changes from a public IPv4 address to a private address. ネットワーク側でサービス エンドポイントを設定する前に、Azure サービス側で VNet ACL を設定すると、接続が断たれるのを防ぐことができます。Setting up VNet ACLs on the Azure service side before setting service endpoints on the network side can help avoid a connectivity drop.

すべての Azure サービスは、顧客が提供する Azure 仮想ネットワーク内に存在しますか。Do all Azure services reside in the Azure virtual network provided by the customer? VNet サービス エンドポイントは Azure サービスでどのように動作しますか。How does VNet service endpoint work with Azure services?

いいえ、すべての Azure サービスが顧客の仮想ネットワーク内に存在するわけではありません。No, not all Azure services reside in the customer's virtual network. Azure Storage、Azure SQL、Azure Cosmos DB など、Azure データ サービスの大部分は、パブリック IP アドレス経由でアクセスできるマルチテナント サービスです。Majority of the Azure data services such as Azure Storage, Azure SQL, and Azure Cosmos DB, are multi-tenant services that can be accessed over public IP addresses. Azure サービスの仮想ネットワーク統合について詳しくは、こちらをご覧ください。You can learn more about virtual network integration for Azure services here.

VNet サービス エンドポイント機能 (ネットワーク側で VNet サービス エンドポイントを有効にして、Azure サービス側で適切な VNet ACL を設定する) を使用すると、Azure サービスへのアクセスは、許可されている VNet とサブネットからに制限されます。When you use the VNet service endpoints feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side), access to an Azure service is restricted from an allowed VNet and subnet.

VNet サービス エンドポイントでは、セキュリティはどのように提供されますか。How does VNet service endpoint provide security?

VNet サービス エンドポイント機能 (ネットワーク側で VNet サービス エンドポイントを有効にして、Azure サービス側で適切な VNet ACL を設定する) では、Azure サービスへのアクセスが許可された VNet とサブネットに制限されるので、ネットワーク レベルの セキュリティと Azure サービス トラフィックの分離が提供されます。The VNet service endpoint feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side) limits the Azure service access to allowed VNet and subnet, thus providing a network level security and isolation of the Azure service traffic. VNet サービス エンドポイントを使用するすべてのトラフィックは Microsoft のバックボーンを経由するので、パブリック インターネットからのもう 1 つの分離レイヤーが提供されます。All traffic using VNet service endpoints flows over Microsoft backbone, thus providing another layer of isolation from the public internet. さらに、お客様は、Azure サービス リソースへのパブリック インターネット アクセスを完全に削除し、IP ファイアウォールと VNet ACL の組み合わせを経由する仮想ネットワークからのトラフィックだけを許可できるので、承認されていないアクセスから Azure サービス リソースが保護されます。Moreover, customers can choose to fully remove public Internet access to the Azure service resources and allow traffic only from their virtual network through a combination of IP firewall and VNet ACLs, thus protecting the Azure service resources from unauthorized access.

VNet サービス エンドポイントで保護されるのは、VNet リソースですか、Azure サービスですか。What does the VNet service endpoint protect - VNet resources or Azure service?

VNet サービス エンドポイントは、Azure サービス リソースを保護するのに役立ちます。VNet service endpoints help protect Azure service resources. VNet リソースは、ネットワーク セキュリティ グループ (NSG) によって保護されます。VNet resources are protected through Network Security Groups (NSGs).

VNet サービス エンドポイントを使用するにはコストがかかりますか。Is there any cost for using VNet service endpoints?

いいえ、VNet サービス エンドポイントを使用するための追加コストはありません。No, there is no additional cost for using VNet service endpoints.

仮想ネットワークと Azure サービス リソースが異なるサブスクリプションに属している場合、VNet サービス エンドポイントを有効にして、VNet ACL を設定できますか。Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different subscriptions?

はい、できます。Yes, it is possible. 仮想ネットワークと Azure サービス リソースのサブスクリプションは、同じでも異なっていてもかまいません。Virtual networks and Azure service resources can be either in the same or different subscriptions. 唯一の要件は、仮想ネットワークと Azure サービス リソースの両方が、同じ Active Directory (AD) テナントの下に存在する必要があることです。The only requirement is that both the virtual network and Azure service resources must be under the same Active Directory (AD) tenant.

仮想ネットワークと Azure サービス リソースが異なる AD テナントに属している場合、VNet サービス エンドポイントを有効にして、VNet ACL を設定できますか。Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different AD tenants?

いいえ、VNet サービス エンドポイントと VNet ACL は、AD テナントをまたがってはサポートされません。No, VNet service endpoints and VNet ACLs are not supported across AD tenants.

Azure Virtual Network ゲートウェイ (VPN) または ExpressRoute ゲートウェイを介して接続されているオンプレミス デバイスの IP アドレスでは、VNet サービス エンドポイント経由で Azure PaaS サービスにアクセスできますか。Can an on-premises device’s IP address that is connected through Azure Virtual Network gateway (VPN) or Express route gateway access Azure PaaS Service over VNet service endpoints?

既定では、仮想ネットワークからのアクセスに限定された Azure サービス リソースは、オンプレミスのネットワークからはアクセスできません。By default, Azure service resources secured to virtual networks are not reachable from on-premises networks. オンプレミスからのトラフィックを許可する場合は、オンプレミスまたは ExpressRoute からのパブリック IP アドレス (通常は NAT) を許可する必要もあります。If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. これらの IP アドレスは、Azure サービス リソースの IP ファイアウォール構成を通じて追加できます。These IP addresses can be added through the IP firewall configuration for the Azure service resources.

VNet サービス エンドポイントの機能を使用して、1 つの仮想ネットワーク内の複数のサブネットまたは複数の仮想ネットワークにまたがるサブネットに Azure サービスを限定できますか。Can I use VNet Service Endpoint feature to secure Azure service to multiple subnets with in a Virtual network or across multiple virtual networks?

Azure サービスへのアクセスを 1 つの仮想ネットワーク内または複数の仮想ネットワークにまたがる複数のサブネットに限定するには、サブネットごとに個別にネットワーク側でサービス エンドポイントを有効にしてから、Azure サービス側で適切な VNet ACL を設定することによって、Azure サービス リソースへのアクセスをすべてのサブネットに限定します。To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, enable service endpoints on network side on each of the subnets independently and then secure Azure service resources to all of the subnets by setting up appropriate VNet ACLs on Azure service side.

仮想ネットワークから Azure サービスへの送信トラフィックをフィルター処理しながら、サービス エンドポイントを使用するには、どうすればよいですか。How can I filter outbound traffic from a virtual network to Azure services and still use service endpoints?

仮想ネットワークから Azure サービスへのトラフィックを検査またはフィルター処理する場合は、仮想ネットワーク内にネットワーク仮想アプライアンスをデプロイします。If you want to inspect or filter the traffic destined to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. その後、ネットワーク仮想アプライアンスがデプロイされているサブネットにサービス エンドポイントを適用し、VNet ACL を使用してこのサブネットのみに Azure サービス リソースへのアクセスを限定します。You can then apply service endpoints to the subnet where the network virtual appliance is deployed and secure Azure service resources only to this subnet through VNet ACLs. また、このシナリオは、ネットワーク仮想アプライアンス フィルタリングを使用して、ご利用の仮想ネットワークから Azure サービスへのアクセスを特定の Azure リソースにのみ制限する場合に役立ちます。This scenario might also be helpful if you wish to restrict Azure service access from your virtual network only to specific Azure resources using network virtual appliance filtering. 詳細については、ネットワーク仮想アプライアンスを持つエグレスに関するページを参照してください。For more information, see egress with network virtual appliances.

仮想ネットワーク アクセス制御リスト (ACL) が有効になっている Azure サービス アカウントに、VNet の外部からアクセスするとどうなりますか。What happens when you access an Azure service account that has virtual network access control list (ACL) enabled from outside the VNet?

HTTP 403 または HTTP 404 エラーが返されます。The HTTP 403 or HTTP 404 error is returned.

他のリージョンで作成された仮想ネットワークのサブネットは、別のリージョンの Azure サービス アカウントにアクセスできますか。Are subnets of a virtual network created in different regions allowed to access an Azure service account in another region?

はい、ほとんどの Azure サービスについて、異なるリージョンで作成された仮想ネットワークから、VNet サービス エンドポイント経由で別のリージョンの Azure サービスにアクセスできます。Yes, for most of the Azure services, virtual networks created in different regions can access Azure services in another region through the VNet service endpoints. たとえば、Azure Cosmos DB アカウントが米国西部または米国東部にあり、仮想ネットワークが複数のリージョンにある場合、仮想ネットワークは Azure Cosmos DB にアクセスできます。For example, if an Azure Cosmos DB account is in West US or East US and virtual networks are in multiple regions, the virtual network can access Azure Cosmos DB. ストレージと SQL は例外であり、本質的にリージョン対応なので、仮想ネットワークと Azure サービスの両方が同じリージョンに存在する必要があります。Storage and SQL are exceptions and are regional in nature and both the virtual network and the Azure service need to be in the same region.

Azure サービスで VNet ACL と IP ファイアウォールの両方を使用できますか。Can an Azure service have both VNet ACL and an IP firewall?

はい、VNet ACL と IP ファイアウォールは共存できます。Yes, VNet ACL and an IP firewall can co-exist. 両方の機能が相互に補完して、分離とセキュリティを確実にします。Both features complement each other to ensure isolation and security.

Azure サービス用のサービス エンドポイントが有効になっている仮想ネットワークまたはサブネットを削除するとどうなりますか。What happens if you delete a virtual network or subnet that has service endpoint turned on for Azure service?

VNet とサブネットの削除は独立した操作であり、サービス エンドポイントが Azure サービスに対して有効になっている場合でもサポートされます。Deletion of VNets and subnets are independent operations and are supported even when service endpoints are turned on for Azure services. Azure サービスで VNet ACL が設定されている場合、それらの VNet とサブネットについては、VNet サービス エンドポイントが有効になっている VNet またはサブネットを削除すると、その Azure サービスに関連付けられている VNet ACL 情報が無効になります。In cases where the Azure services have VNet ACLs set up, for those VNets and subnets, the VNet ACLs information associated with that Azure service is disabled when a VNet or subnet that has VNet service endpoint turned on is deleted.

VNet サービス エンドポイントが有効になっている Azure サービス アカウントを削除するとどうなりますか。What happens if Azure service account that has VNet Service endpoint enabled is deleted?

Azure サービス アカウントの削除は独立した操作であり、ネットワーク側でサービス エンドポイントが有効になっていて、Azure サービス側で VNet ACL が設定されている場合でもサポートされます。The deletion of Azure service account is an independent operation and is supported even when the service endpoint is enabled on the network side and VNet ACLs are set up on Azure service side.

VNet サービス エンドポイントが有効になったリソース (サブネット内の VM など) の送信元 IP アドレスはどうなりますか。What happens to the source IP address of a resource (like a VM in a subnet) that has VNet service endpoint enabled?

仮想ネットワーク サービス エンドポイントが有効である場合、仮想ネットワークのサブネット内にあるリソースの送信元 IP アドレスは、Azure サービスへのトラフィックで、パブリック IPV4 アドレスから Azure 仮想ネットワークのプライベート IP アドレスに切り替えられます。When virtual network service endpoints are enabled, the source IP addresses of the resources in your virtual network's subnet switches from using public IPV4 addresses to the Azure virtual network's private IP addresses for traffic to Azure service. Azure サービスで以前にパブリック IPV4 アドレスに対して設定されている特定の IP ファイアウォールが失敗する可能性があることに注意してください。Note that this can cause specific IP firewall that are set to public IPV4 address earlier on the Azure services to fail.

サービス エンドポイントのルートは常に優先されますか。Does service endpoint route always take precedence?

サービス エンドポイントでは、BGP ルートより優先されるシステム ルートが追加され、サービス エンドポイントのトラフィックに対して最適なルーティングが提供されます。Service endpoints add a system route which takes precedence over BGP routes and provide optimum routing for the service endpoint traffic. サービス エンドポイントでは常に、ユーザーの仮想ネットワークから Microsoft Azure のバックボーン ネットワーク上のサービスへのサービス トラフィックが、直接受け取られます。Service endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Azure でのルートの選択方法の詳細については、「仮想ネットワーク トラフィックのルーティング」を参照してください。For more information about how Azure selects a route, see Azure Virtual network traffic routing.

サービス エンドポイントではサブネット上の NSG はどのように動作しますか。How does NSG on a subnet work with service endpoints?

Azure サービスに到達するには、NSG で送信接続を許可する必要があります。To reach the Azure service, NSGs need to allow outbound connectivity. NSG がすべてのインターネット送信トラフィックに対して開かれている場合、サービス エンドポイントのトラフィックは動作するはずです。If your NSGs are opened to all Internet outbound traffic, then the service endpoint traffic should work. サービス タグを使用して、サービス IP にみに送信トラフィックを制限することもできます。You can also limit the outbound traffic to service IPs only using the Service tags.

サービス エンドポイントを設定するにはどのようなアクセス許可が必要ですか。What permissions do I need to set up service endpoints?

サービス エンドポイントは、仮想ネットワークへの書き込みアクセス権を持つユーザーが仮想ネットワーク上で個別に構成できます。Service endpoints can be configured on a virtual network independently by a user with write access to the virtual network. Azure サービス リソースへのアクセスを VNet に限定するには、ユーザーが、追加されるサブネットの Microsoft.Network/JoinServicetoaSubnet へのアクセス許可を持っている必要があります。To secure Azure service resources to a VNet, the user must have permission to Microsoft.Network/JoinServicetoaSubnet for the subnets being added. このアクセス許可は、既定では組み込みのサービス管理者のロールに含まれ、カスタム ロールを作成することで変更できます。This permission is included in the built-in service administrator role by default and can be modified by creating custom roles. 組み込みロールと、特定のアクセス許可をカスタム ロールに割り当てる方法の詳細をご覧ください。Learn more about built-in roles and assigning specific permissions to custom roles.

VNet サービス エンドポイント経由での Azure サービスへの仮想ネットワーク トラフィックをフィルター処理し、特定の Azure サービス リソースのみを許可することはできますか。Can I filter virtual network traffic to Azure services, allowing only specific azure service resources, over VNet service endpoints?

仮想ネットワーク (VNet) のサービス エンドポイント ポリシーでは、サービス エンドポイント経由での Azure サービスへの仮想ネットワーク トラフィックをフィルター処理し、特定の Azure サービス リソースのみを許可することができます。Virtual network (VNet) service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources over the service endpoints. エンドポイント ポリシーでは、Azure サービスへの仮想ネットワーク トラフィックから詳細なアクセス制御が提供されます。Endpoint policies provide granular access control from the virtual network traffic to the Azure services. サービス エンドポイント ポリシーについて詳しくは、こちらをご覧ください。You can learn more about the service endpoint policies here.

VNet から設定できる VNet サービス エンドポイントの数に制限はありますか。Are there any limits on how many VNet service endpoints I can set up from my VNet?

仮想ネットワーク内の VNet サービス エンドポイントの合計数に制限はありません。There is no limit on the total number of VNet service endpoints in a virtual network. Azure サービス リソース (Azure Storage アカウントなど) の場合、リソースへのアクセスに使用されるサブネットの数がサービスによって制限される場合があります。For an Azure service resource (such as, an Azure Storage account), services may enforce limits on the number of subnets used for securing the resource. 制限の例を次の表に示します。The following table shows some example limits:

Azure サービスAzure service VNet ルールでの制限Limits on VNet rules
Azure StorageAzure Storage 100100
Azure SQLAzure SQL 128128
Azure SQL Data WarehouseAzure SQL Data Warehouse 128128
Azure KeyVaultAzure KeyVault 127127
Azure Cosmos DBAzure Cosmos DB 6464
Azure Event HubAzure Event Hub 128128
Azure Service BusAzure Service Bus 128128
Azure Data Lake Store V1Azure Data Lake Store V1 100100

注意

制限は、Azure サービスの判断で変更される可能性があります。The limits are subjected to changes at the discretion of the Azure service. サービスについて詳しくは、それぞれのサービス ドキュメントをご覧ください。Refer to the respective service documentation for services details.