Azure Virtual Network についてよく寄せられる質問 (FAQ)

仮想ネットワークの基礎

Azure Virtual Network (VNet) とは何ですか。

Azure Virtual Network (VNet) は、クラウド内のユーザー独自のネットワークを表すものです。 サブスクリプション専用に Azure クラウドが論理的に分離されています。 VNet を使用してプロビジョニングして Azure で仮想プライベート ネットワーク (VPN) を管理および、必要に応じて、VNet を Azure で他の VNet とリンクさせたり、オンプレミス IT インフラストラクチャで、ハイブリッドまたはクロスプレミス ソリューションを作成します。 作成したそれぞれの VNet には独自の CIDR ブロックがあり、CIDR ブロックが競合しない限り、他の VNet やオンプレミス ネットワークにリンクすることができます。 VNet の DNS サーバー設定と、サブネットへの VNet の分割も制御できます。

VNet を使用して次のことが行えます。

  • 専用プライベート クラウドのみの VNet を作成します。 場合によって、ソリューションの、クロスプレミス構成は必要ありません。 VNet を作成するとき、ご使用のサービスと VNet 内の VMが、クラウド内で互いに直接かつ安全に通信することができます。 VM と、ソリューションの一部としてインターネット通信を必要とするサービスとのエンドポイント接続を構成することができます。

  • データ センターを安全に拡張します。 VNet については、データ センターの容量を安全にスケールできるよう従来のサイト間 (S2S) VPN を構築できます。 S2S VPN は、IPSEC を使用して、社内の VPN ゲートウェイと Azure 間の安全な接続を提供します。

  • ハイブリッド クラウドのシナリオを有効にします。 VNet は、さまざまなハイブリッド クラウド シナリオをサポートする柔軟性を提供します。 メインフレームなどのオンプレミス システムと Unix システムの任意の型へのクラウド ベースのアプリケーションを安全に接続することができます。

開始するには?

Virtual Network のドキュメント」にアクセスし、開始します。 このコンテンツには、すべての VNet 機能の概要とデプロイに関する情報が示されています。

クロスプレミス接続を使用しないで VNet を使用できますか。

はい。 プレミスに接続せずに VNet を使用することができます。 たとえば、Microsoft Windows Server Active Directory ドメイン コントローラーと SharePoint ファームを Azure VNet 内のみで実行できます。

VNet 間または VNet とオンプレミスのデータ センター間で WAN の最適化を実行することはできますか。

はい。 Azure Marketplace を通じて複数のベンダーから提供されている WAN 最適化ネットワーク仮想アプライアンスをデプロイできます。

構成

VNet を作成するのには、どのようなツールを使用でしょうか。

次のツールを使用して、VNet を作成または構成できます。

VNet でどのアドレス範囲が使用できるでしょうか。

RFC 1918 で列挙されているアドレス範囲を使用することをお勧めします。これらの範囲は、プライベートのルーティング不能なアドレス空間用に、IETF によって留保されています。

  • 10.0.0.0 ~ 10.255.255.255 (10/8 プレフィックス)
  • 172.16.0.0 ~ 172.31.255.255 (172.16/12 プレフィックス)
  • 192.168.0.0 ~ 192.168.255.255 (192.168/16 プレフィックス)

その他のアドレス空間は、機能することもありますが、望ましくない副作用が発生する可能性があります。

さらに、以下のアドレス範囲は追加できません。

  • 224.0.0.0/4 (マルチキャスト)
  • 255.255.255.255/32 (ブロードキャスト)
  • 127.0.0.0/8 (ループバック)
  • 169.254.0.0/16 (リンク ローカル)
  • 168.63.129.16/32 (内部 DNS)

VNet 内でパブリック IP アドレスを持つことができますか。

はい。 パブリック IP アドレス範囲の詳細については、仮想ネットワークの作成に関する記事をご覧ください。 パブリック IP アドレスは、インターネットから直接アクセスできません。

VNet 内のサブネットの数に制限はありますか。

はい。 詳細については、Azure の制限に関する記事をご覧ください。 サブネットのアドレス空間は、互いに重複することはできません。

これらのサブネット内の IP アドレスの使用に関する制限はありますか。

はい。 Azure では、各サブネット内で 5 つの IP アドレスが予約されています。 これらは x.x.x.0 から x.x.x.3 とサブネットの最後のアドレスです。 各サブネットの x.x.x.1 から x.x.x.3 は Azure サービス用に予約されています。

  • x.x.x.0:ネットワーク アドレス
  • x.x.x.1:既定のゲートウェイ用に Azure によって予約されています
  • x.x.x.2、x.x.x.3:Azure DNS IP を VNet 空間にマッピングするために Azure によって予約されています
  • x.x.x.255:ネットワーク ブロードキャスト アドレス

VNet およびサブネットは、どれくらい小規模に、また、大規模になるのでしょうか。

サポートされる最小の IPv4 サブネットは /29、最大は /8 です (CIDR サブネット定義を使用)。 IPv6 のサブネットは、正確に /64 のサイズである必要があります。

VNet を使用して、VLAN を Azure に接続できるでしょうか。

いいえ。 VNet はレイヤー 3 のオーバーレイです。 Azure では、任意のレイヤー 2 のセマンティクスはサポートされません。

私の Vnet とサブネットをカスタム ルーティング ポリシーを指定できますか。

はい。 ルート テーブルを作成してサブネットに関連付けることができます。 Azure でのルーティングの詳細については、ルーティングの概要に関する記事をご覧ください。

VNet はマルチキャストやブロードキャストをサポートしますか。

いいえ。 マルチキャストとブロードキャストはサポートされていません。

VNet 内はどのようなプロトコルを使用できますか。

VNet では、TCP、UDP、および ICMP TCP/IP プロトコルを使用することができます。 ユニキャストは VNet 内でサポートされますが、ユニキャスト (ソース ポート UDP/68 / 宛先ポート UDP/67) を経由した動的ホスト構成プロトコル (DHCP) とホストに予約されている UDP ポート 65330 は例外です。 マルチキャスト、ブロードキャスト、IP-in-IP のカプセル化されたパケット、Generic Routing Encapsulation (GRE) のパケットは、VNet 内でブロックされます。

VNet 内には、既定ルーターを ping できるでしょうか。

いいえ。

Tracert を使用して、接続を診断することができますか。

いいえ。

VNet を作成した後のサブネットを追加できますか。

はい。 サブネットのアドレス範囲が VNet 内の別のサブネットの一部でなく、仮想ネットワークのアドレス範囲に空き領域があれば、いつでもサブネットを VNet に追加できます。

作成した後、サブネットのサイズを変更できますか。

はい。 VM またはサービスがサブネット内にデプロイされていない場合は、サブネットを追加、削除、拡張、または縮小できます。

Vnet を作成した後に変更することはできますか。

はい。 VNet で使用された CIDR ブロックを追加、削除、変更することができます。

VNet でサービスを実行している場合、インターネットに接続できますか。

はい。 VNet 内にデプロイされているすべてのサービスは、インターネットに送信接続できます。 Azure での送信インターネット接続について詳しくは、送信接続に関する記事をご覧ください。 Resource Manager を使用してデプロイされたリソースに受信接続するには、リソースにパブリック IP アドレスが割り当てられている必要があります。 パブリック IP アドレスについて詳しくは、パブリック IP アドレスに関する記事をご覧ください。 Azure にデプロイされたすべての Azure クラウド サービスには、パブリックにアドレス指定可能な VIP が割り当てられています。 PaaS ロールの入力エンドポイントと仮想マシンのエンドポイントを定義して、これらのサービスがインターネットからの接続を承諾できるようにします。

VNet は IPv6 をサポートするでしょうか。

はい。VNet は IPv4 専用かデュアル スタック (IPv4 + IPv6) になります。 詳細については、「Azure Virtual Network の IPv6 の概要」をご覧ください。

VNet は複数のリージョンで広がるでしょうか。

いいえ。 VNet は、1 つのリージョンに制限されます。 ただし、仮想ネットワークは複数の可用性ゾーンにまたがります。 可用性ゾーンの詳細については、「可用性ゾーンの概要」を参照してください。 仮想ネットワーク ピアリングを使用して、別々のリージョンにある仮想ネットワークを接続できます。 詳細については、仮想ネットワーク ピアリングの概要に関する記事をご覧ください。

VNet を Azure での別の VNet に接続できますか。

はい。 次のいずれかの方法で VNet どうしを接続できます。

名前解決 (DNS)

VNet の DNS オプションとは何でしょうか。

VM とロール インスタンスの名前解決 ページでディシジョン テーブルを使用して、使用できるすべての DNS オプションを行うことができます。

VNet の DNS サーバーを指定できますか。

はい。 VNet 設定では、DNS サーバーの IP アドレスを指定できます。 設定は、VNet 内のすべての VM の既定の DNS サーバーとして適用されます。

DNS サーバーの数を指定できますか。

Azure の制限に関する記事をご覧ください。

ネットワークを作成した後、DNS サーバーを変更できますか。

はい。 いつでも、VNet の DNS サーバーの一覧を変更できます。 DNS サーバーの一覧を変更する場合は、新しい DNS 設定を有効にするために、VNet 内の影響を受けるすべての VM 上で DHCP リースの更新を実行する必要があります。 Windows OS を実行している VM の場合は、その VM 上で直接 ipconfig /renew を入力することによってこれを行うことができます。 その他の OS の種類については、特定の OS の種類の DHCP リースの更新に関するドキュメントを参照してください。

Azure で提供される DNS と Vnet と組み合わせて使用について

Azure で提供される DNS は、Microsoft によって提供されるマルチ テナント DNS サービスです。 Azure は、すべての VM とクラウド サービス ロール インスタンスをこのサービスに登録します。 このサービスは、同じクラウド サービス内に含まれる VM とロール インスタンスのホスト名によって、また、同じ VNet 内の VM とロール インスタンスの FQDN によって名前解決を提供します。 DNS の詳細については、VM と Cloud Services ロール インスタンスの名前解決に関する記事をご覧ください。

Azure で提供される DNS を使用したテナント間名前解決は、VNet の最初の 100 個のクラウド サービスまでに制限されます。 独自の DNS サーバーを使用している場合は、この制限は適用されません。

VM またはクラウド サービスごとに、DNS 設定をオーバーライドできますか。

はい。 VM またはクラウド サービスごとに DNS サーバーを設定し、既定のネットワーク設定をオーバーライドすることができます。 ただし、できるだけネットワーク全体の DNS を使用することをお勧めします。

独自の DNS サフィックスを取り込むことができますか。

いいえ。 ご使用の VNet のカスタム DNS サフィックスを指定することはできません。

仮想マシンの接続

VNet に VM をデプロイできますか。

はい。 Resource Manager デプロイ モデルを使用してデプロイされた VM に接続されているすべてのネットワーク インターフェイス (NIC) は、VNet に接続されている必要があります。 クラシック デプロイ モデルを使用してデプロイされた VM は、必要に応じて VNet に接続できます。

VM に割り当てることができる IP アドレスにはどのような種類がありますか。

  • プライベート: 各 VM 内の各 NIC に割り当てられます。 アドレスは、静的または動的な方法を使用して割り当てられます。 プライベート IP アドレスは、VNet のサブネット設定で指定した範囲から割り当てられます。 クラシック デプロイ モデルを使用してデプロイされたリソースは、VNet に接続されていなくてもプライベート IP アドレスが割り当てられます。 割り当て方法の動作は、リソースが Resource Manager デプロイ モデルとクラシック デプロイ モデルのどちらを使用してデプロイされたかによって異なります。

    • Resource Manager:動的または静的な方法を使用して割り当てられたプライベート IP アドレスは、リソースが削除されるまで、仮想マシン (Resource Manager) に割り当てられたままになります。 異なるのは、静的な方法の場合はユーザーが割り当てるアドレスを選択し、動的な方法の場合は Azure が選択するという点です。
    • クラシック:動的な方法を使用して割り当てられたプライベート IP アドレスは、仮想マシン (クラシック) VM が停止 (割り当て解除) 状態になった後で再起動されたときに変更される可能性があります。 クラシック デプロイ モデルを使用してデプロイされるリソースのプライベート IP アドレスを固定する必要がある場合は、静的な方法を使用してプライベート IP アドレスを割り当ててください。
  • パブリック: 必要に応じて、Azure Resource Manager デプロイ モデルを使用してデプロイされた VM に接続されている NIC に割り当てられます。 アドレスは、静的または動的な割り当て方法を使用して割り当てることができます。 クラシック デプロイ モデルを使用してデプロイされたすべての VM および Cloud Services ロール インスタンスは、"動的な" パブリック仮想 IP (VIP) アドレスが割り当てられたクラウド サービス内に存在します。 パブリックな "静的" IP アドレスは、予約済み IP アドレスと呼ばれ、必要に応じて VIP として割り当てることができます。 パブリック IP アドレスは、クラシック デプロイ モデルを使用してデプロイされた個々の VM または Cloud Services ロール インスタンスに割り当てることができます。 これらのアドレスは、インスタンス レベルのパブリック IP (ILPIP) アドレスと呼ばれ、動的に割り当てることができます。

後で作成する VM 用にプライベート IP アドレスを予約することはできますか。

いいえ。 プライベート IP アドレスを予約することはできません。 プライベート IP アドレスが使用可能な場合は、DHCP サーバーによって VM またはロール インスタンスに割り当てられます。 その VM は、プライベート IP アドレスを割り当てたい VM である場合も、そうでない場合もあります。 ただし、既に作成した VM のプライベート IP アドレスを、使用可能なプライベート IP アドレスに変更することができます。

VNet 内の VM のプライベート IP アドレスは変更されますか。

一概には言えません。 VM が Resource Manager を使用してデプロイされた場合は、静的または動的な割り当て方法のどちらを使用して割り当てられていても、変更されることはありません。 VM がクラシック デプロイ モデルを使用してデプロイされた場合は、VM が停止 (割り当て解除) 状態になった後で起動された場合に、動的 IP アドレスが変更される可能性があります。 このアドレスは、いずれかのデプロイメント モデルを使用してデプロイされた VM が削除されると、その VM から解放されます。

VM オペレーティング システム内の NIC に手動で IP アドレスを割り当てることはできますか。

はい。ただし、必要な場合 (仮想マシンに複数の IP アドレスを割り当てる場合など) 以外はお勧めしません。 詳細については、仮想マシンに複数の IP アドレスを追加する方法に関する記事をご覧ください。 VM にアタッチされた Azure NIC に割り当てられている IP アドレスが変更され、VM オペレーティング システム内の IP アドレスと異なる場合は、VM への接続が失われます。

クラウド サービス デプロイ スロットを停止した場合や、オペレーティング システム内から VM をシャットダウンした場合、IP アドレスはどうなりますか。

Nothing。 IP アドレス (パブリック VIP、パブリック、プライベート) は、クラウド サービス デプロイ スロットまたは VM に割り当てられたままとなります。

VNet 内の別のサブネットへ、再デプロイせずに移動できますか。

はい。 詳細については、「VM またはロール インスタンスを別のサブネットに移動する方法」を参照してください。

VM に静的な MAC アドレスを構成できますか。

いいえ。 MAC アドレスを静的に構成することはできません。

MAC アドレスは、一度作成されると、VM で同じものとして残りますか。

はい。MAC アドレスは、Resource Manager デプロイ モデルを使用してデプロイされた VM とクラシック デプロイ モデルを使用してデプロイされた VM のどちらの場合も、削除されるまで同じままです。 以前は、VM が停止 (割り当て解除) された場合に MAC アドレスが解放されました。現在、MAC アドレスは、VM が割り当て解除状態であっても保持されます。 MAC アドレスがネットワーク インターフェイスに割り当てられると、そのネットワーク インターフェイスが削除されるか、プライマリ ネットワーク インターフェイスのプライマリ IP 構成に割り当てられたプライベート IP アドレスが変更されるまで、その状態は変わりません。

VNet 内の VM からインターネットに接続できますか。

はい。 VNet 内にデプロイされているすべての VM および Cloud Services ロール インスタンスは、インターネットに接続できます。

VNet に接続する Azure サービス

Azure App Service Web Apps を VNet で使用することはできますか。

はい。 ASE (App Service Environment) を使用して VNet 内に Web Apps をデプロイし、VNet 統合を使用してアプリのバックエンドを VNet に接続し、サービス エンドポイントを使用してインバウンド トラフィックをアプリにロックダウンできます。 詳細については、次の記事を参照してください。

Web ロールと worker ロール (PaaS) を持つ Cloud Services を VNet にデプロイすることはできますか。

はい。 Cloud Services ロール インスタンスは、VNet 内に (オプションで) デプロイできます。 そのためには、サービス構成のネットワーク構成セクションで、VNet の名前と、ロールとサブネットのマッピングを指定します。 どのバイナリも更新する必要はありません。

仮想マシン スケール セットを VNet に接続することはできますか。

はい。 仮想マシン スケール セットは VNet に接続する必要があります。

VNet 内にリソースをデプロイできる Azure サービスの完全な一覧はありますか。

はい。詳細については、「Azure サービスの仮想ネットワーク統合」をご覧ください。

VNet から Azure PaaS リソースへのアクセスを制限するにはどうすればよいですか。

Azure Storage、Azure SQL Database などの一部の Azure PaaS サービスを使用してデプロイされたリソースは、仮想ネットワーク サービス エンドポイントまたは Azure Private Link の使用によって、VNet へのネットワーク アクセスを制限できます。 詳細については、仮想ネットワーク サービス エンドポイントの概要と、 Azure Private Link の概要に関する記事をご覧ください

サービスを VNet 内外で移動できますか。

いいえ。 サービスを VNet 内外で移動することはできません。 リソースを別の VNet に移動するには、リソースを削除して再デプロイする必要があります。

セキュリティ

VNet のセキュリティ モデルとは何ですか。

Vnet は、他の VNet から、および Azure インフラストラクチャでホストされている他のサービスから、完全に分離されています。 VNet は、トラスト バウンダリです。

受信または送信トラフィック フローを VNet に接続されたリソースに制限することはできますか。

はい。 VNet 内の個々のサブネット、VNet に接続された NIC、またはその両方にネットワーク セキュリティ グループを適用できます。

VNet に接続されたリソースの間にファイアウォールを実装することはできますか。

はい。 Azure Marketplace を通じて複数のベンダーから提供されているファイアウォール ネットワーク仮想アプライアンスをデプロイできます。

VNet のセキュリティ保護に関する情報はありますか。

はい。 詳細については、「Azure のネットワーク セキュリティの概要」をご覧ください。

顧客データは仮想ネットワークに格納されるのですか?

いいえ。 仮想ネットワークに顧客データは格納されません。

API、スキーマ、およびツール

VNet をコードから管理できますか。

はい。 Azure Resource Manager デプロイ モデルとクラシック デプロイ モデルで、VNet 用の REST API を使用できます。

VNet に対するツール サポートはありますか。

はい。 次のツールを使用できます。

  • Azure Portal。Azure Resource Manager およびクラシック デプロイメント モデルを使用して VNet をデプロイするために使用します。
  • PowerShell。Resource Manager およびクラシック デプロイメント モデルを使用してデプロイされた VNet を管理するために使用します。
  • Azure コマンド ライン インターフェイス (CLI)。Resource Manager デプロイメント モデルおよびクラシック デプロイメント モデルを使用してデプロイされた VNet をデプロイおよび管理するために使用します。

VNET ピアリング

VNet ピアリングとは

VNet ピアリング (仮想ネットワーク ピアリング) を使用して、仮想ネットワークに接続できます。 仮想ネットワーク間の VNet ピアリング接続では、IPv4 アドレスによってそれらの間でトラフィックをプライベートにルーティングできます。 ピアリングされた VNet 内の仮想マシンは、同じネットワーク内にあるかのように相互に通信できます。 これらの仮想ネットワークは、同じリージョン内にあっても異なるリージョン内にあってもかまいません (グローバル VNet ピアリングとも呼ばれます)。 VNet ピアリング接続は、Azure サブスクリプション間で作成することもできます。

別のリージョンの VNet へのピアリング接続を作成できますか。

はい。 グローバル VNet ピアリングを使用すると、別のリージョンの VNet にピアリングできます。 グローバル VNet ピアリングは、すべての Azure パブリック リージョン、China Cloud リージョン、Government Cloud リージョンで使用できます。 Azure パブリック リージョンから国内クラウド リージョンに、グローバルにピアリングすることはできません。

2 つの異なるリージョンの 2 つの仮想ネットワークがグローバル VNET ピアリングでピアリングされている場合、ロード バランサーのフロント エンド IP 経由で Basic Load Balancer の後にあるリソースに接続することはできません。 Standard Load Balancer の場合、この制限はありません。 次のリソースでは Basic Load Balancer を利用できます。つまり、グローバル VNET ピアリングで、ロード バランサーのフロント エンド IP 経由でリソースに到達できません。 ただし、許可されている場合、グローバル VNET ピアリングを使用し、プライベート VNet IP 経由で直接、リソースに到達できます。

  • Basic Load Balancer の背後にある VM
  • Basic Load Balancer を使用する仮想マシン スケール セット
  • Redis Cache
  • Application Gateway (v1) SKU
  • Service Fabric
  • API Management
  • Active Directory Domain Service (ADDS)
  • Logic Apps
  • HDInsight
  • Azure Batch
  • App Service Environment

ExpressRoute、または VNet ゲートウェイ経由の VNet 対 VNet を介してこのようなリソースに接続できます。

仮想ネットワークが別の Azure Active Directory テナント内のサブスクリプションに属する場合、VNet ピアリングを有効にできますか。

はい。 サブスクリプションが別の Azure Active Directory テナントに属する場合、(ローカルまたはグローバルのどちらでも) VNet ピアリング を確立できます。 これは、ポータル、PowerShell、または CLI を使用して行うことができます。

VNet ピアリング接続が 開始済み の状態にあります。接続できないのはなぜですか。

ピアリング接続が "開始済み" の状態にある場合、これは、リンクを 1 つだけ作成していることを意味します。 正常な接続を確立するには、双方向のリンクを作成する必要があります。 VNet A から VNet B にピアリングするには、VNetA から VNetB、および VNetB から VNetAへのリンクを作成する必要があります。 両方のリンクを作成すると、状態が "接続済み" に変更されます。

VNet ピアリング接続が "切断" 状態にあります。ピアリング接続を作成できないのはなぜですか。

VNet ピアリング接続が "切断" 状態にある場合、それは作成されたリンクの 1 つが削除されていることを意味します。 ピアリング接続を再確立するためには、リンクを削除して再作成する必要があります。

VNet を別のサブスクリプションにある VNet とピアリングできますか。

はい。 VNet はサブスクリプションやリージョンを越えてピアリングできます。

一致するまたは重複するアドレス範囲にある 2 つの VNet をピアリングできますか。

いいえ。 VNet ピアリングを有効にするには、アドレス空間がオーバーラップしない必要があります。

両方のピアリングで [リモートゲートウェイを使用する] オプションを有効にした 2 つの異なる VNet に 1 つの VNet をピアリングできますか。

いいえ。 [リモートゲートウェイを使用する] オプションは、VNet のいずれかに対する 1 つのピアリングでのみ有効にすることができます。

VNet ピアリング接続を作成するのに料金はかかりません。 ピアリング接続経由でのデータ転送には料金が発生します。 こちらを参照してください。

VNet ピアリングのトラフィックは暗号化されますか。

Azure のトラフィックが (Microsoft または Microsoft の代理によって制御されていない、物理的な境界の外部で) データセンター間を移動する場合、基盤となるネットワーク ハードウェア上では MACsec データリンク層の暗号化が使用されます。 これは、VNet ピアリング トラフィックに適用されます。

ピアリング接続が "切断" 状態にあるのはなぜですか。

1 つの VNet ピアリング リンクが削除されると、VNet ピアリングは 切断 状態になります。 ピアリング接続を再度確立するには、両方のリンクを削除する必要があります。

VNetA から VNetB にピアリングし、VNetB から VNetC にピアリングすると、VNetA と VNetC がピアリングされたことになりますか。

いいえ。 推移的なピアリングはサポートされません。 VNetA と VNetC をピアリングする必要があります。

ピアリング接続に帯域幅制限はありますか。

いいえ。 ローカルであってもグローバルであっても、VNet ピアリングで帯域幅制限は課されません。 帯域幅は VM やコンピューティング リソースによってのみ制限されます。

VNet ピアリングの問題をトラブルシューティングするにはどうすればよいですか?

こちらのトラブルシューティング ガイドを試すことができます。

仮想ネットワーク TAP

仮想ネットワーク TAP はどの Azure リージョンで利用できますか。

仮想ネットワーク TAP プレビューは、すべての Azure リージョンで利用できます。 監視対象のネットワーク インターフェイス、仮想ネットワーク TAP リソース、およびコレクターまたは分析ソリューションは、同じリージョンにデプロイする必要があります。

仮想ネットワーク TAP では、ミラー化されたパケットに対するフィルター処理機能がサポートされていますか。

仮想ネットワーク TAP のプレビュー版では、フィルター処理機能はサポートされていません。 TAP 構成をネットワーク インターフェイスに追加すると、ネットワーク インターフェイス上のすべてのイングレス トラフィックとエグレス トラフィックのディープ コピーが、TAP のターゲットにストリーミングされます。

監視対象のネットワーク インターフェイスに、複数の TAP 構成を追加できますか。

監視対象のネットワーク インターフェイスに追加できる TAP 構成は 1 つだけです。 ユーザーが選択した分析ツールに TAP トラフィックの複数コピーをストリーム配信する機能については、個別のパートナー ソリューションを確認してください。

同じ仮想ネットワーク TAP リソースで、複数の仮想ネットワーク内の監視対象ネットワーク インターフェイスからのトラフィックを集約できますか。

はい。 同じ仮想ネットワーク TAP リソースを使用して、同じサブスクリプションまたは異なるサブスクリプションのピアリングされた仮想ネットワーク内の監視対象ネットワーク インターフェイスからのミラー化されたトラフィックを集約できます。 仮想ネットワーク TAP リソースと、ターゲット ロード バランサーまたはターゲット ネットワーク インターフェイスは、同じサブスクリプションに含まれる必要があります。 すべてのサブスクリプションが同じ Azure Active Directory テナントに存在する必要がある。

ネットワーク インターフェイスで仮想ネットワーク TAP 構成を有効にする場合、運用環境のトラフィックのパフォーマンスについて考慮することがありますか。

仮想ネットワーク TAP はプレビュー段階です。 プレビュー期間中は、サービス レベル アグリーメントはありません。 運用環境のワークロードでは機能を使用しないでください。 TAP 構成で仮想マシンのネットワーク インターフェイスを有効にすると、運用トラフィックを送信するために仮想マシンに割り当てられている Azure ホスト上の同じリソースを使用して、ミラーリング機能が実行され、ミラー化されたパケットが送信されます。 運用トラフィックとミラー化されたトラフィックを送信するのに十分なリソースを仮想マシンが利用できるように、Linux または Windows の適切な仮想マシン サイズを選択してください。

仮想ネットワーク TAP では、Linux または Windows に対する高速ネットワークはサポートされていますか。

高速ネットワークが有効になっている仮想マシンにアタッチされたネットワーク インターフェイスで、TAP 構成を追加することができます。 ただし、現在 Azure の高速ネットワークではミラーリング トラフィックのオフロードがサポートされていないため、TAP 構成を追加することにより、仮想マシンでのパフォーマンスと待機時間が影響を受けます。

仮想ネットワーク サービス エンドポイント

Azure サービスに対するサービス エンドポイントを設定するにはどのような操作手順が正しいですか。

サービス エンドポイントを介して Azure サービス リソースをセキュリティ保護するには 2 つのステップがあります。

  1. Azure サービスに対するサービス エンドポイントを有効にします。
  2. Azure サービスで VNet ACL を設定します。

最初のステップはネットワーク側の操作であり、2 番目のステップはサービス リソース側の操作です。 どちらのステップも、管理者ロールに付与されている Azure RBAC のアクセス許可に基づいて、同じ管理者または異なる管理者が実行できます。 Azure サービス側で VNet ACL をセットアップする前に、まず仮想ネットワークに対してサービス エンドポイントを有効にすることをお勧めします。 そのためには、上で示した順序で手順を実行し、VNet サービス エンドポイントを設定する必要があります。

注意

上で説明されているどちらの操作も、許可される VNet とサブネットに Azure サービスへのアクセスを制限する前に、完了する必要があります。 ネットワーク側で Azure サービスに対してサービス エンドポイントを有効にするだけでは、制限付きアクセスは提供されません。 さらに、Azure サービス側で VNet ACL も設定する必要があります。

一部のサービス (SQL、CosmosDB など) では、IgnoreMissingVnetServiceEndpoint フラグを使用して上記の手順に対する例外を設定できます。 フラグを True に設定すると、ネットワーク側でサービス エンドポイントを設定する前に、Azure サービス側で VNet ACL を設定できます。 Azure サービスでこのフラグが提供されているのは、Azure サービスで特定の IP ファイアウォールが構成されている場合に、ネットワーク側でサービス エンドポイントを有効にすると、パブリック IPv4 アドレスからプライベート アドレスへのソース IP アドレスの変更によって、接続が断たれる可能性があるためです。 ネットワーク側でサービス エンドポイントを設定する前に、Azure サービス側で VNet ACL を設定すると、接続が断たれるのを防ぐことができます。

すべての Azure サービスは、顧客が提供する Azure 仮想ネットワーク内に存在しますか。 VNet サービス エンドポイントは Azure サービスでどのように動作しますか。

いいえ、すべての Azure サービスが顧客の仮想ネットワーク内に存在するわけではありません。 Azure Storage、Azure SQL、Azure Cosmos DB など、Azure データ サービスの大部分は、パブリック IP アドレス経由でアクセスできるマルチテナント サービスです。 Azure サービスの仮想ネットワーク統合について詳しくは、こちらをご覧ください。

VNet サービス エンドポイント機能 (ネットワーク側で VNet サービス エンドポイントを有効にして、Azure サービス側で適切な VNet ACL を設定する) を使用すると、Azure サービスへのアクセスは、許可されている VNet とサブネットからに制限されます。

VNet サービス エンドポイントでは、セキュリティはどのように提供されますか。

VNet サービス エンドポイント機能 (ネットワーク側で VNet サービス エンドポイントを有効にして、Azure サービス側で適切な VNet ACL を設定する) では、Azure サービスへのアクセスが許可された VNet とサブネットに制限されるので、ネットワーク レベルのセキュリティと Azure サービス トラフィックの分離が提供されます。 VNet サービス エンドポイントを使用するすべてのトラフィックは Microsoft のバックボーンを経由するので、パブリック インターネットからのもう 1 つの分離レイヤーが提供されます。 さらに、お客様は、Azure サービス リソースへのパブリック インターネット アクセスを完全に削除し、IP ファイアウォールと VNet ACL の組み合わせを経由する仮想ネットワークからのトラフィックだけを許可できるので、承認されていないアクセスから Azure サービス リソースが保護されます。

VNet サービス エンドポイントで保護されるのは、VNet リソースですか、Azure サービスですか。

VNet サービス エンドポイントは、Azure サービス リソースを保護するのに役立ちます。 VNet リソースは、ネットワーク セキュリティ グループ (NSG) によって保護されます。

VNet サービス エンドポイントを使用するにはコストがかかりますか。

いいえ、VNet サービス エンドポイントを使用するための追加コストはありません。

仮想ネットワークと Azure サービス リソースが異なるサブスクリプションに属している場合、VNet サービス エンドポイントを有効にして、VNet ACL を設定できますか。

はい、できます。 仮想ネットワークと Azure サービス リソースのサブスクリプションは、同じでも異なっていてもかまいません。 唯一の要件は、仮想ネットワークと Azure サービス リソースの両方が、同じ Active Directory (AD) テナントの下に存在する必要があることです。

仮想ネットワークと Azure サービス リソースが異なる AD テナントに属している場合、VNet サービス エンドポイントを有効にして、VNet ACL を設定できますか。

はい。Azure Storage と Azure Key Vault にサービス エンドポイントを使用する場合は可能です。 残りのサービスでは、VNet サービス エンドポイントと VNet ACL は、AD テナントをまたがってはサポートされません。

Azure Virtual Network ゲートウェイ (VPN) または ExpressRoute ゲートウェイを介して接続されているオンプレミス デバイスの IP アドレスでは、VNet サービス エンドポイント経由で Azure PaaS サービスにアクセスできますか。

既定では、仮想ネットワークからのアクセスに限定された Azure サービス リソースは、オンプレミスのネットワークからはアクセスできません。 オンプレミスからのトラフィックを許可する場合は、オンプレミスまたは ExpressRoute からのパブリック IP アドレス (通常は NAT) を許可する必要もあります。 これらの IP アドレスは、Azure サービス リソースの IP ファイアウォール構成を通じて追加できます。

VNet サービス エンドポイントの機能を使用して、1 つの仮想ネットワーク内の複数のサブネットまたは複数の仮想ネットワークにまたがるサブネットに Azure サービスを限定できますか。

Azure サービスへのアクセスを 1 つの仮想ネットワーク内または複数の仮想ネットワークにまたがる複数のサブネットに限定するには、サブネットごとに個別にネットワーク側でサービス エンドポイントを有効にしてから、Azure サービス側で適切な VNet ACL を設定することによって、Azure サービス リソースへのアクセスをすべてのサブネットに限定します。

仮想ネットワークから Azure サービスへの送信トラフィックをフィルター処理しながら、サービス エンドポイントを使用するには、どうすればよいですか。

仮想ネットワークから Azure サービスへのトラフィックを検査またはフィルター処理する場合は、仮想ネットワーク内にネットワーク仮想アプライアンスをデプロイします。 その後、ネットワーク仮想アプライアンスがデプロイされているサブネットにサービス エンドポイントを適用し、VNet ACL を使用してこのサブネットのみに Azure サービス リソースへのアクセスを限定します。 また、このシナリオは、ネットワーク仮想アプライアンス フィルタリングを使用して、ご利用の仮想ネットワークから Azure サービスへのアクセスを特定の Azure リソースにのみ制限する場合に役立ちます。 詳細については、ネットワーク仮想アプライアンスを持つエグレスに関するページを参照してください。

仮想ネットワーク アクセス制御リスト (ACL) が有効になっている Azure サービス アカウントに、VNet の外部からアクセスするとどうなりますか。

HTTP 403 または HTTP 404 エラーが返されます。

他のリージョンで作成された仮想ネットワークのサブネットは、別のリージョンの Azure サービス アカウントにアクセスできますか。

はい、ほとんどの Azure サービスについて、異なるリージョンで作成された仮想ネットワークから、VNet サービス エンドポイント経由で別のリージョンの Azure サービスにアクセスできます。 たとえば、Azure Cosmos DB アカウントが米国西部または米国東部にあり、仮想ネットワークが複数のリージョンにある場合、仮想ネットワークは Azure Cosmos DB にアクセスできます。 ストレージと SQL は例外であり、本質的にリージョン対応なので、仮想ネットワークと Azure サービスの両方が同じリージョンに存在する必要があります。

Azure サービスで VNet ACL と IP ファイアウォールの両方を使用できますか。

はい、VNet ACL と IP ファイアウォールは共存できます。 両方の機能が相互に補完して、分離とセキュリティを確実にします。

Azure サービス用のサービス エンドポイントが有効になっている仮想ネットワークまたはサブネットを削除するとどうなりますか。

VNet とサブネットの削除は独立した操作であり、サービス エンドポイントが Azure サービスに対して有効になっている場合でもサポートされます。 Azure サービスで VNet ACL が設定されている場合、それらの VNet とサブネットについては、VNet サービス エンドポイントが有効になっている VNet またはサブネットを削除すると、その Azure サービスに関連付けられている VNet ACL 情報が無効になります。

VNet サービス エンドポイントが有効になっている Azure サービス アカウントを削除するとどうなりますか。

Azure サービス アカウントの削除は独立した操作であり、ネットワーク側でサービス エンドポイントが有効になっていて、Azure サービス側で VNet ACL が設定されている場合でもサポートされます。

VNet サービス エンドポイントが有効になったリソース (サブネット内の VM など) の送信元 IP アドレスはどうなりますか。

仮想ネットワーク サービス エンドポイントが有効である場合、仮想ネットワークのサブネット内にあるリソースの送信元 IP アドレスは、Azure サービスへのトラフィックで、パブリック IPV4 アドレスから Azure 仮想ネットワークのプライベート IP アドレスに切り替えられます。 Azure サービスで以前にパブリック IPV4 アドレスに対して設定されている特定の IP ファイアウォールが失敗する可能性があることに注意してください。

サービス エンドポイントのルートは常に優先されますか。

サービス エンドポイントでは、BGP ルートより優先されるシステム ルートが追加され、サービス エンドポイントのトラフィックに対して最適なルーティングが提供されます。 サービス エンドポイントでは常に、ユーザーの仮想ネットワークから Microsoft Azure のバックボーン ネットワーク上のサービスへのサービス トラフィックが、直接受け取られます。 Azure でのルートの選択方法の詳細については、「仮想ネットワーク トラフィックのルーティング」を参照してください。

サービス エンドポイントは ICMP で機能しますか。

いいえ。サービス エンドポイントが有効になっているサブネットから送信される ICMP トラフィックは、目的のエンドポイントへのサービス トンネル パスを使用しません。 サービス エンドポイントでは TCP トラフィックのみが処理されます。 つまり、サービス エンドポイントを使用してエンドポイントへの待機時間または接続をテストする場合、ping や tracert などのツールでは、サブネット内のリソースが使用する実際のパスは表示されません。

サービス エンドポイントではサブネット上の NSG はどのように動作しますか。

Azure サービスに到達するには、NSG で送信接続を許可する必要があります。 NSG がすべてのインターネット送信トラフィックに対して開かれている場合、サービス エンドポイントのトラフィックは動作するはずです。 サービス タグを使用して、サービス IP にみに送信トラフィックを制限することもできます。

サービス エンドポイントを設定するにはどのようなアクセス許可が必要ですか。

サービス エンドポイントは、仮想ネットワークへの書き込みアクセス権を持つユーザーが仮想ネットワーク上で個別に構成できます。 Azure サービス リソースへのアクセスを VNet に限定するには、ユーザーが、追加されるサブネットのアクセス許可 "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action" を持っている必要があります。 このアクセス許可は、既定では組み込みのサービス管理者のロールに含まれ、カスタム ロールを作成することで変更できます。 組み込みロールと、特定のアクセス許可をカスタム ロールに割り当てる方法の詳細をご覧ください。

VNet サービス エンドポイント経由での Azure サービスへの仮想ネットワーク トラフィックをフィルター処理し、特定の Azure サービス リソースのみを許可することはできますか。

仮想ネットワーク (VNet) のサービス エンドポイント ポリシーでは、サービス エンドポイント経由での Azure サービスへの仮想ネットワーク トラフィックをフィルター処理し、特定の Azure サービス リソースのみを許可することができます。 エンドポイント ポリシーでは、Azure サービスへの仮想ネットワーク トラフィックから詳細なアクセス制御が提供されます。 サービス エンドポイント ポリシーについて詳しくは、こちらをご覧ください。

Azure Active Directory (Azure AD) は VNet サービス エンドポイントをサポートしますか。

サービス エンドポイントは Azure Active Directory (Azure AD) によってネイティブにサポートされていません。 VNet サービス エンドポイントをサポートする Azure サービスの完全な一覧はこちらで確認できます。 サービス エンドポイントをサポートするサービスの下にリストされている "Microsoft.AzureActiveDirectory" タグは、ADLS Gen 1 へのサービス エンドポイントをサポートするために使用されます。 ADLS Gen 1 の場合、Azure Data Lake Storage Gen1 の仮想ネットワーク統合では、仮想ネットワークと Azure Active Directory (Azure AD) との間で仮想ネットワーク サービス エンドポイント セキュリティを利用して、アクセス トークン内に追加のセキュリティ要求が生成されます。 これらの要求は、ご利用の Data Lake Storage Gen1 アカウントに対して仮想ネットワークを認証し、アクセスを許可するために使用されます。 Azure Data Lake Store Gen 1 の VNet 統合の詳細をご覧ください

VNet から設定できる VNet サービス エンドポイントの数に制限はありますか。

仮想ネットワーク内の VNet サービス エンドポイントの合計数に制限はありません。 Azure サービス リソース (Azure Storage アカウントなど) の場合、リソースへのアクセスに使用されるサブネットの数がサービスによって制限される場合があります。 制限の例を次の表に示します。

Azure サービス VNet ルールでの制限
Azure Storage 100
Azure SQL 128
Azure Synapse Analytics 128
Azure KeyVault 127
Azure Cosmos DB 64
Azure Event Hub 128
Azure Service Bus 128
Azure Data Lake Store V1 100

注意

制限は、Azure サービスの判断で変更される可能性があります。 サービスについて詳しくは、それぞれのサービス ドキュメントをご覧ください。