Azure Virtual Network とはWhat is Azure Virtual Network?

Azure Virtual Network (VNet) は、Azure 内のプライベート ネットワークの基本的な構成要素です。Azure Virtual Network (VNet) is the fundamental building block for your private network in Azure. VNet により、Azure Virtual Machines (VM) などのさまざまな種類の Azure リソースが、他の Azure リソース、インターネット、およびオンプレミスのネットワークと安全に通信することができます。VNet enables many types of Azure resources, such as Azure Virtual Machines (VM), to securely communicate with each other, the internet, and on-premises networks. VNet は、自社のデータ センターで運用する従来のネットワークと似ていますが、スケール、可用性、分離性など、Azure のインフラストラクチャのさらなる利点を提供します。VNet is similar to a traditional network that you'd operate in your own data center, but brings with it additional benefits of Azure's infrastructure such as scale, availability, and isolation.

VNet の概念VNet concepts

  • [アドレス空間]: VNet を作成する場合は、パブリック アドレスとプライベート (RFC 1918) アドレスを使用して、カスタム プライベート IP アドレス空間を指定する必要があります。Address space: When creating a VNet, you must specify a custom private IP address space using public and private (RFC 1918) addresses. Azure は、ユーザーが割り当てたアドレス空間のプライベート IP アドレスを仮想ネットワーク内のリソースに割り当てます。Azure assigns resources in a virtual network a private IP address from the address space that you assign. たとえば、アドレス空間 10.0.0.0/16 を指定した VNet で VM をデプロイする場合、VM には 10.0.0.4 などのプライベート IP が割り当てられます。For example, if you deploy a VM in a VNet with address space, 10.0.0.0/16, the VM will be assigned a private IP like 10.0.0.4.
  • サブネット: サブネットにより、仮想ネットワークを 1 つ以上のサブネットワークにセグメント分割して、仮想ネットワークのアドレス空間の一部を各サブネットに割り当てることができます。Subnets: Subnets enable you to segment the virtual network into one or more sub-networks and allocate a portion of the virtual network's address space to each subnet. その後、特定のサブネット内に Azure リソースをデプロイできます。You can then deploy Azure resources in a specific subnet. 従来のネットワークのように、サブネットでは、組織の内部ネットワークに適したセグメントに VNet アドレス空間をセグメント分割することができます。Just like in a traditional network, subnets allow you to segment your VNet address space into segments that are appropriate for the organization's internal network. これにより、アドレスの割り当ての効率も向上します。This also improves address allocation efficiency. ネットワーク セキュリティ グループを使用して、サブネット内のリソースを保護できます。You can secure resources within subnets using Network Security Groups. 詳細については、「セキュリティ グループ」を参照してください。For more information, see Security groups.
  • リージョン:VNet は 1 つのリージョン/場所内に制限されますが、仮想ネットワーク ピアリングを使用して、異なるリージョンの複数の仮想ネットワークを相互に接続できます。Regions: VNet is scoped to a single region/location; however, multiple virtual networks from different regions can be connected together using Virtual Network Peering.
  • サブスクリプション: VNet は、サブスクリプション内に制限されます。Subscription: VNet is scoped to a subscription. 各 Azure サブスクリプションと Azure リージョン内に複数の仮想ネットワークを実装できます。You can implement multiple virtual networks within each Azure subscription and Azure region.

ベスト プラクティスBest practices

Azure でネットワークを構築するときに、次の汎用的な設計原則に留意することが重要です。As you build your network in Azure, it is important to keep in mind the following universal design principles:

  • アドレス空間が重複しないように徹底します。Ensure non-overlapping address spaces. VNet アドレス空間 (CIDR ブロック) が組織の他のネットワークの範囲と重複しないようにします。Make sure your VNet address space (CIDR block) does not overlap with your organization's other network ranges.
  • サブネットは、VNet のアドレス空間全体を有効範囲に含めてはなりません。Your subnets should not cover the entire address space of the VNet. 事前に計画し、将来に備えてアドレス空間の一部を予約します。Plan ahead and reserve some address space for the future.
  • 小規模な VNet を複数持つよりも、大規模な VNet を少数持つことをお勧めします。It is recommended you have fewer large VNets than multiple small VNets. これによって、管理の負担を抑えられます。This will prevent management overhead.
  • ネットワーク セキュリティ グループ (NSG) を使用して VNet を保護します。Secure your VNet using Network Security Groups (NSGs).

インターネットとの通信Communicate with the internet

VNet 内のすべてのリソースにおいて、既定でインターネットへの送信方向の通信が可能です。All resources in a VNet can communicate outbound to the internet, by default. リソースへの受信通信は、リソースにパブリック IP アドレスまたはパブリック ロード バランサーを割り当てることによって可能になります。You can communicate inbound to a resource by assigning a public IP address or a public Load Balancer. パブリック IP またはパブリック ロード バランサーを使用して、送信接続を管理することもできます。You can also use public IP or public Load Balancer to manage your outbound connections. Azure での送信接続の詳細については、送信接続パブリック IP アドレスロード バランサーに関する各ページを参照してください。To learn more about outbound connections in Azure, see Outbound connections, Public IP addresses, and Load Balancer.

注意

内部 Standard Load Balancer のみを使用している場合、送信接続でインスタンスレベルの IP アドレスまたはパブリック ロード バランサーがどのように処理されるかを定義するまで、送信接続は使用できません。When using only an internal Standard Load Balancer, outbound connectivity is not available until you define how you want outbound connections to work with an instance-level public IP or a public Load Balancer.

Azure リソース間の通信Communicate between Azure resources

次のいずれかの方法により、Azure のリソースは互いに安全に通信することができます。Azure resources communicate securely with each other in one of the following ways:

  • 仮想ネットワーク経由:仮想ネットワークに、VM や他のいくつかの種類の Azure リソース (Azure App Service Environment、Azure Kubernetes Service (AKS)、Azure Virtual Machine Scale Sets など) をデプロイできます。Through a virtual network: You can deploy VMs, and several other types of Azure resources to a virtual network, such as Azure App Service Environments, the Azure Kubernetes Service (AKS), and Azure Virtual Machine Scale Sets. 仮想ネットワークにデプロイできる Azure リソースの詳細な一覧については、仮想ネットワーク サービスの統合に関するページを参照してください。To view a complete list of Azure resources that you can deploy into a virtual network, see Virtual network service integration.
  • 仮想ネットワーク サービス エンドポイント経由:直接接続を使用して、仮想ネットワークのプライベート アドレス空間と仮想ネットワークの ID を Azure Storage アカウントや Azure SQL データベースなどの Azure サービス リソースに拡張します。Through a virtual network service endpoint: Extend your virtual network private address space and the identity of your virtual network to Azure service resources, such as Azure Storage accounts and Azure SQL databases, over a direct connection. サービス エンドポイントを使用することで、重要な Azure サービス リソースを仮想ネットワークのみに固定することができます。Service endpoints allow you to secure your critical Azure service resources to only a virtual network. 詳細については、仮想ネットワーク サービス エンドポイントの概要に関するページを参照してください。To learn more, see Virtual network service endpoints overview.
  • VNet ピアリング経由:仮想ネットワークを相互に接続することで、任意の仮想ネットワークのリソースが仮想ネットワーク ピアリングを使用して相互に通信できるようになります。Through VNet Peering: You can connect virtual networks to each other, enabling resources in either virtual network to communicate with each other, using virtual network peering. 接続する仮想ネットワークが属している Azure リージョンは、同じであっても異なっていてもかまいません。The virtual networks you connect can be in the same, or different, Azure regions. 詳細については、「仮想ネットワーク ピアリング」を参照してください。To learn more, see Virtual network peering.

オンプレミス リソースとの通信Communicate with on-premises resources

オンプレミスのコンピューターおよびネットワークを仮想ネットワークに接続するには、次のオプションを組み合わせて使用します。You can connect your on-premises computers and networks to a virtual network using any combination of the following options:

  • ポイント対サイト仮想プライベート ネットワーク (VPN) :仮想ネットワークとネットワーク内の 1 台のコンピューターの間で確立されます。Point-to-site virtual private network (VPN): Established between a virtual network and a single computer in your network. 仮想ネットワークとの接続を確立する各コンピューターで、接続を構成する必要があります。Each computer that wants to establish connectivity with a virtual network must configure its connection. この接続の種類は、既存のネットワークへの変更をほとんどまたはまったく必要としないため、Azure を使い始めたばかりのユーザーまたは開発者に適しています。This connection type is great if you're just getting started with Azure, or for developers, because it requires little or no changes to your existing network. コンピューターと仮想ネットワーク間の通信は、インターネット上の暗号化されたトンネルを通じて送信されます。The communication between your computer and a virtual network is sent through an encrypted tunnel over the internet. 詳細については、ポイント対サイト VPN に関するページを参照してください。To learn more, see Point-to-site VPN.
  • サイト間 VPN:オンプレミス VPN デバイスと仮想ネットワークにデプロイされた Azure VPN ゲートウェイの間で確立されます。Site-to-site VPN: Established between your on-premises VPN device and an Azure VPN Gateway that is deployed in a virtual network. この接続の種類を使用すると、承認した任意のオンプレミス リソースが仮想ネットワークにアクセスできます。This connection type enables any on-premises resource that you authorize to access a virtual network. オンプレミス VPN デバイスと Azure VPN ゲートウェイ間の通信は、インターネット上の暗号化されたトンネルを通じて送信されます。The communication between your on-premises VPN device and an Azure VPN gateway is sent through an encrypted tunnel over the internet. 詳細については、サイト間 VPN に関するページを参照してください。To learn more, see Site-to-site VPN.
  • Azure ExpressRoute:ExpressRoute のパートナーを介して、ネットワークと Azure の間で確立されます。Azure ExpressRoute: Established between your network and Azure, through an ExpressRoute partner. この接続はプライベート接続です。This connection is private. トラフィックはインターネットを経由しません。Traffic does not go over the internet. 詳細については、ExpressRoute に関するページを参照してください。To learn more, see ExpressRoute.

ネットワーク トラフィックのフィルター処理Filter network traffic

次のオプションのいずれかまたは両方を使用して、サブネット間のネットワーク トラフィックをフィルター処理できます。You can filter network traffic between subnets using either or both of the following options:

  • セキュリティ グループ:ネットワーク セキュリティ グループとアプリケーション セキュリティ グループには、受信と送信のセキュリティ規則を複数含めることができます。これらの規則を使用すると、送信元と送信先の IP アドレス、ポート、およびプロトコルに基づいて、リソースとの間で送受信されるトラフィックをフィルター処理できます。Security groups: Network security groups and application security groups can contain multiple inbound and outbound security rules that enable you to filter traffic to and from resources by source and destination IP address, port, and protocol. 詳しくは、「ネットワーク セキュリティ グループ」または「アプリケーション セキュリティ グループ」をご覧ください。To learn more, see Network security groups or Application security groups.
  • ネットワーク仮想アプライアンス:ネットワーク仮想アプライアンスとは、ファイアウォール、WAN 最適化などのネットワーク機能を実行する VM です。Network virtual appliances: A network virtual appliance is a VM that performs a network function, such as a firewall, WAN optimization, or other network function. 仮想ネットワークにデプロイできる使用可能なネットワーク仮想アプライアンスの一覧については、Azure Marketplace で確認してください。To view a list of available network virtual appliances that you can deploy in a virtual network, see Azure Marketplace.

ネットワーク トラフィックのルーティングRoute network traffic

Azure では、既定で、サブネット、接続されている仮想ネットワーク、オンプレミス ネットワーク、およびインターネット間でトラフィックがルーティングされます。Azure routes traffic between subnets, connected virtual networks, on-premises networks, and the Internet, by default. 次のオプションのいずれかまたは両方を実装して、Azure によって作成される既定のルートをオーバーライドできます。You can implement either or both of the following options to override the default routes Azure creates:

  • ルート テーブル:サブネットごとにトラフィックのルーティング先を制御するルートを含む、カスタム ルート テーブルを作成できます。Route tables: You can create custom route tables with routes that control where traffic is routed to for each subnet. ルート テーブルの詳細を確認してください。Learn more about route tables.
  • ボーダー ゲートウェイ プロトコル (BGP) のルート:Azure VPN ゲートウェイまたは ExpressRoute 接続を使用して仮想ネットワークをオンプレミス ネットワークに接続する場合、オンプレミス BGP ルートを仮想ネットワークに伝達できます。Border gateway protocol (BGP) routes: If you connect your virtual network to your on-premises network using an Azure VPN Gateway or ExpressRoute connection, you can propagate your on-premises BGP routes to your virtual networks. Azure VPN ゲートウェイExpressRoute で BGP を使用する方法の詳細を確認してください。Learn more about using BGP with Azure VPN Gateway and ExpressRoute.

Azure VNet の制限Azure VNet limits

デプロイできる Azure リソースの数について特定の制限があります。There are certain limits around the number of Azure resources you can deploy. Azure のネットワークの制限のほとんどは、最大値です。Most Azure networking limits are at the maximum values. ただし、VNet の制限に関するページに記載されているように、特定のネットワークの上限を引き上げることができます。However, you can increase certain networking limits as specified on the VNet limits page.

価格Pricing

Azure VNet は無料でご利用いただけます。コストはかかりません。There is no charge for using Azure VNet, it is free of cost. 仮想マシン (VM) やその他の製品などのリソースには、Standard の料金が適用されます。Standard charges are applicable for resources, such as Virtual Machines (VMs) and other products. 詳細については、VNet の価格に関するページと Azure の「料金計算ツール」を参照してください。To learn more, see VNet pricing and the Azure pricing calculator.

次の手順Next steps

仮想ネットワークの使用を開始するには、仮想ネットワークを作成し、いくつかの VM をそこにデプロイし、VM 間で通信します。To get started using a virtual network, create one, deploy a few VMs to it, and communicate between the VMs. その方法については、仮想ネットワークの作成に関するクイック スタートを参照してください。To learn how, see the Create a virtual network quickstart.