仮想ネットワーク トラフィックのルーティングVirtual network traffic routing

Azure が、Azure、オンプレミス、インターネットの各リソース間でトラフィックをルーティングするしくみについて説明します。Learn about how Azure routes traffic between Azure, on-premises, and Internet resources. Azure では、Azure 仮想ネットワークのサブネットごとにルート テーブルが自動的に作成され、既定のシステム ルートがテーブルに追加されます。Azure automatically creates a route table for each subnet within an Azure virtual network and adds system default routes to the table. 仮想ネットワークとサブネットの詳細については、仮想ネットワークの概要に関する記事をご覧ください。To learn more about virtual networks and subnets, see Virtual network overview. Azure のシステム ルートをカスタム ルートで上書きし、カスタム ルートをルート テーブルに追加できます。You can override some of Azure's system routes with custom routes, and add additional custom routes to route tables. サブネットのルート テーブルのルートに基づいて、サブネットからの送信トラフィックがルーティングされます。Azure routes outbound traffic from a subnet based on the routes in a subnet's route table.

システム ルートSystem routes

Azure では、システム ルートが自動的に作成され、仮想ネットワークの各サブネットに割り当てられます。Azure automatically creates system routes and assigns the routes to each subnet in a virtual network. システム ルートは作成することも削除することもできませんが、システム ルートをカスタム ルートで上書きできます。You can't create system routes, nor can you remove system routes, but you can override some system routes with custom routes. Azure では、サブネットごとに既定のシステム ルートが作成されます。また、Azure の特定の機能を使用するときは、特定のサブネットまたはすべてのサブネットにオプションの既定のルートが追加されます。Azure creates default system routes for each subnet, and adds additional optional default routes to specific subnets, or every subnet, when you use specific Azure capabilities.

既定値Default

各ルートには、アドレス プレフィックスと次ホップの種類が含まれています。Each route contains an address prefix and next hop type. サブネットから出ていくトラフィックを、ルートのアドレス プレフィックスに含まれる IP アドレスに送信するときに、そのプレフィックスを含むルートが使用されます。When traffic leaving a subnet is sent to an IP address within the address prefix of a route, the route that contains the prefix is the route Azure uses. 複数のルートに同じプレフィックス (重複するプレフィックス) が含まれているときに、Azure がルートを選択するしくみの詳細については、こちらをご覧ください。Learn more about how Azure selects a route when multiple routes contain the same prefixes, or overlapping prefixes. 仮想ネットワークが作成されるたびに、その仮想ネットワークのサブネットごとに、次の既定のシステム ルートが自動的に作成されます。Whenever a virtual network is created, Azure automatically creates the following default system routes for each subnet within the virtual network:

ソースSource アドレス プレフィックスAddress prefixes 次ホップの種類Next hop type
既定値Default 仮想ネットワークに固有Unique to the virtual network Virtual NetworkVirtual network
既定値Default 0.0.0.0/00.0.0.0/0 インターネットInternet
既定値Default 10.0.0.0/810.0.0.0/8 なしNone
既定値Default 172.16.0.0/12172.16.0.0/12 なしNone
既定値Default 192.168.0.0/16192.168.0.0/16 なしNone
既定値Default 100.64.0.0/10100.64.0.0/10 なしNone

上記の表に記載されている次ホップの種類は、記載されているアドレス プレフィックス宛てのトラフィックを Azure がどのようにルーティングするのかを示しています。The next hop types listed in the previous table represent how Azure routes traffic destined for the address prefix listed. 各次ホップの種類について以下に説明します。Explanations for the next hop types follow:

  • 仮想ネットワーク: 仮想ネットワークのアドレス空間内のアドレス範囲間でトラフィックをルーティングします。Virtual network: Routes traffic between address ranges within the address space of a virtual network. Azure によって、仮想ネットワークのアドレス空間に定義された各アドレス範囲に対応するアドレス プレフィックスを含むルートが作成されます。Azure creates a route with an address prefix that corresponds to each address range defined within the address space of a virtual network. 仮想ネットワークのアドレス空間に複数のアドレス範囲が定義されている場合は、アドレス範囲ごとに個別のルートが作成されます。If the virtual network address space has multiple address ranges defined, Azure creates an individual route for each address range. アドレス範囲ごとに作成されたルートを使用して、サブネット間でトラフィックが自動的にルーティングされます。Azure automatically routes traffic between subnets using the routes created for each address range. Azure がサブネット間でトラフィックをルーティングするためのゲートウェイを定義する必要はありません。You don't need to define gateways for Azure to route traffic between subnets. 仮想ネットワークにはサブネットが含まれ、各サブネットにはアドレス範囲が定義されていますが、各サブネットのアドレス範囲は仮想ネットワークのアドレス空間のアドレス範囲に含まれるため、サブネットのアドレス範囲の既定のルートは作成 "されません"。Though a virtual network contains subnets, and each subnet has a defined address range, Azure does not create default routes for subnet address ranges, because each subnet address range is within an address range of the address space of a virtual network.

  • インターネット: アドレス プレフィックスで指定されたトラフィックをインターネットにルーティングします。Internet: Routes traffic specified by the address prefix to the Internet. 既定のシステム ルートでは、アドレス プレフィックス 0.0.0.0/0 が指定されています。The system default route specifies the 0.0.0.0/0 address prefix. Azure の既定のルートを上書きしない場合、1 つの例外を除き、仮想ネットワーク内のアドレス範囲で指定されていないアドレス宛てのトラフィックはインターネットにルーティングされます。If you don't override Azure's default routes, Azure routes traffic for any address not specified by an address range within a virtual network, to the Internet, with one exception. 宛先アドレスが Azure のサービスのいずれかのアドレスの場合、トラフィックはインターネットにルーティングされるのではなく、Azure のバックボーン ネットワーク経由でそのサービスに直接ルーティングされます。If the destination address is for one of Azure's services, Azure routes the traffic directly to the service over Azure's backbone network, rather than routing the traffic to the Internet. 仮想ネットワークが存在する Azure リージョン、または Azure サービスのインタンスがデプロイされている Azure リージョンに関係なく、Azure サービス間のトラフィックはインターネットを経由しません。Traffic between Azure services does not traverse the Internet, regardless of which Azure region the virtual network exists in, or which Azure region an instance of the Azure service is deployed in. アドレス プレフィックスが 0.0.0.0/0 の Azure の既定のシステム ルートは、カスタム ルートで上書きできます。You can override Azure's default system route for the 0.0.0.0/0 address prefix with a custom route.

  • なし: 種類がなしの次ホップにルーティングされるトラフィックは、サブネットの外部にルーティングされるのではなく破棄されます。None: Traffic routed to the None next hop type is dropped, rather than routed outside the subnet. Azure では、次のアドレス プレフィックスの既定のルートが自動的に作成されます。Azure automatically creates default routes for the following address prefixes:

    • 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16: RFC 1918 でプライベート用に予約されています。10.0.0.0/8, 172.16.0.0/12, and 192.168.0.0/16: Reserved for private use in RFC 1918.
    • 100.64.0.0/10: RFC 6598 で予約されています。100.64.0.0/10: Reserved in RFC 6598.

      仮想ネットワークのアドレス空間内で上記のアドレス範囲のいずれかを割り当てた場合、ルートの次ホップの種類がなしから仮想ネットワークに自動的に変更されます。If you assign any of the previous address ranges within the address space of a virtual network, Azure automatically changes the next hop type for the route from None to Virtual network. 4 つの予約済みアドレス プレフィックスのいずれかを含む仮想ネットワークのアドレス空間に、そのアドレス プレフィックスとは異なるアドレス範囲を割り当てた場合は、Azure によって元のプレフィックスのルートが削除され、追加したアドレス プレフィックスで、次ホップの種類が仮想ネットワークのルートが追加されます。If you assign an address range to the address space of a virtual network that includes, but isn't the same as, one of the four reserved address prefixes, Azure removes the route for the prefix and adds a route for the address prefix you added, with Virtual network as the next hop type.

オプションの既定のルートOptional default routes

Azure では、Azure のさまざまな機能を有効にした場合に限り、その機能に対応する既定のシステム ルートが追加されます。Azure adds additional default system routes for different Azure capabilities, but only if you enable the capabilities. 機能に応じて、仮想ネットワークの特定のサブネットまたはすべてのサブネットにオプションの既定のルートが追加されます。Depending on the capability, Azure adds optional default routes to either specific subnets within the virtual network, or to all subnets within a virtual network. 各種機能を有効にしたときに追加される可能性のあるシステム ルートと次ホップの種類を次に示します。The additional system routes and next hop types that Azure may add when you enable different capabilities are:

ソースSource アドレス プレフィックスAddress prefixes 次ホップの種類Next hop type ルートの追加先となる仮想ネットワークのサブネットSubnet within virtual network that route is added to
既定値Default 仮想ネットワークに固有 (例: 10.1.0.0/16)Unique to the virtual network, for example: 10.1.0.0/16 VNET ピアリングVNet peering すべてAll
仮想ネットワーク ゲートウェイVirtual network gateway BGP 経由でオンプレミスからアドバタイズされたプレフィックス、またはローカル ネットワーク ゲートウェイで構成されているプレフィックスPrefixes advertised from on-premises via BGP, or configured in the local network gateway 仮想ネットワーク ゲートウェイVirtual network gateway すべてAll
既定値Default 複数Multiple VirtualNetworkServiceEndpointVirtualNetworkServiceEndpoint サービス エンドポイントが有効になっているサブネットのみOnly the subnet a service endpoint is enabled for.
  • 仮想ネットワーク (VNet) ピアリング: 2 つの仮想ネットワーク間に仮想ネットワーク ピアリングを作成すると、ピアリングが作成された各仮想ネットワークのアドレス空間内のアドレス範囲ごとにルートが追加されます。Virtual network (VNet) peering: When you create a virtual network peering between two virtual networks, a route is added for each address range within the address space of each virtual network a peering is created for. 仮想ネットワーク ピアリングの詳細については、こちらをご覧ください。Learn more about virtual network peering.
  • 仮想ネットワーク ゲートウェイ: 仮想ネットワークに仮想ネットワーク ゲートウェイを追加すると、次ホップの種類が "仮想ネットワーク ゲートウェイ" である 1 つ以上のルートが追加されます。Virtual network gateway: One or more routes with Virtual network gateway listed as the next hop type are added when a virtual network gateway is added to a virtual network. ゲートウェイによってサブネットにルートが追加されるため、ソースも "仮想ネットワーク ゲートウェイ" です。The source is also virtual network gateway, because the gateway adds the routes to the subnet. オンプレミス ネットワーク ゲートウェイが Azure 仮想ネットワーク ゲートウェイとボーダー ネットワーク プロトコル (BGP) ルートを交換すると、オンプレミス ネットワーク ゲートウェイから伝達された各ルートに対応するルートが追加されます。If your on-premises network gateway exchanges border gateway protocol (BGP routes with an Azure virtual network gateway, a route is added for each route propagated from the on-premises network gateway. Azure 仮想ネットワーク ゲートウェイに伝達されるルートの数を最小限に抑えるために、オンプレミスのルートを最大限のアドレス範囲に集約することをお勧めします。It's recommended that you summarize on-premises routes to the largest address ranges possible, so the fewest number of routes are propagated to an Azure virtual network gateway. Azure 仮想ネットワーク ゲートウェイに伝達できるルートの数には制限があります。There are limits to the number of routes you can propagate to an Azure virtual network gateway. 詳細については、Azure の制限に関する記事をご覧ください。For details, see Azure limits.
  • VirtualNetworkServiceEndpoint: サービスのサービス エンドポイントを有効にすると、Azure によって特定のサービスのパブリック IP アドレスがルート テーブルに追加されます。VirtualNetworkServiceEndpoint: The public IP addresses for certain services are added to the route table by Azure when you enable a service endpoint to the service. サービス エンドポイントは、仮想ネットワークの個々のサブネットで有効になるので、サービス エンドポイントが有効になっているサブネットのルート テーブルにのみルートが追加されます。Service endpoints are enabled for individual subnets within a virtual network, so the route is only added to the route table of a subnet a service endpoint is enabled for. Azure サービスのパブリック IP アドレスは定期的に変更されます。The public IP addresses of Azure services change periodically. アドレスが変更されると、Azure によってルート テーブルのアドレスが自動的に管理されます。Azure manages the addresses in the route table automatically when the addresses change. 仮想ネットワークのサービス エンドポイントと、サービス エンドポイントを作成できるサービスの詳細については、こちらをご覧ください。Learn more about virtual network service endpoints, and the services you can create service endpoints for.

注意

VNet ピアリングVirtualNetworkServiceEndpoint の各次ホップの種類は、Azure Resource Manager デプロイメント モデルを使用して作成された仮想ネットワークのサブネットのルート テーブルにのみ追加されます。The VNet peering and VirtualNetworkServiceEndpoint next hop types are only added to route tables of subnets within virtual networks created through the Azure Resource Manager deployment model. これらの次ホップの種類は、クラシック デプロイメント モデルを使用して作成された仮想ネットワークのサブネットに関連付けられているルート テーブルには追加されません。The next hop types are not added to route tables that are associated to virtual network subnets created through the classic deployment model. Azure のデプロイメント モデルの詳細については、こちらをご覧ください。Learn more about Azure deployment models.

カスタム ルートCustom routes

カスタム ルートを作成するには、ユーザー定義ルートを作成するか、オンプレミス ネットワーク ゲートウェイと Azure 仮想ネットワーク ゲートウェイの間でボーダー ゲートウェイ プロトコル (BGP) ルートを交換します。You create custom routes by either creating user-defined routes, or by exchanging border gateway protocol (BGP) routes between your on-premises network gateway and an Azure virtual network gateway.

ユーザー定義User-defined

Azure でカスタム (ユーザー定義) ルートを作成して、Azure の既定のシステム ルートを上書きしたり、サブネットのルート テーブルにルートを追加したりできます。You can create custom, or user-defined, routes in Azure to override Azure's default system routes, or to add additional routes to a subnet's route table. Azure では、ルート テーブルを作成し、0 個以上の仮想ネットワーク サブネットに関連付けます。In Azure, you create a route table, then associate the route table to zero or more virtual network subnets. 各サブネットには、0 個または 1 個のルート テーブルを関連付けることができます。Each subnet can have zero or one route table associated to it. ルート テーブルに追加できるルートの最大数と、Azure サブスクリプションごとに作成できるユーザー定義ルート テーブルの最大数については、Azure の制限に関する記事をご覧ください。To learn about the maximum number of routes you can add to a route table and the maximum number of user-defined route tables you can create per Azure subscription, see Azure limits. ルート テーブルを作成し、サブネットに関連付けると、テーブル内のルートが、Azure によって既定でサブネットに追加される既定のルートと結合されます (つまり、既定のルートが上書きされます)。If you create a route table and associate it to a subnet, the routes within it are combined with, or override, the default routes Azure adds to a subnet by default.

ユーザー定義ルートを作成するときは、次の次ホップの種類を指定できます。You can specify the following next hop types when creating a user-defined route:

  • 仮想アプライアンス: 仮想アプライアンスとは、一般にネットワーク アプリケーション (ファイアウォールなど) が実行されている仮想マシンです。Virtual appliance: A virtual appliance is a virtual machine that typically runs a network application, such as a firewall. 仮想ネットワークにデプロイできる事前構成された各種ネットワーク仮想アプライアンスについては、Azure Marketplace のページをご覧ください。To learn about a variety of pre-configured network virtual appliances you can deploy in a virtual network, see the Azure Marketplace. ホップの種類が仮想アプライアンスのルートを作成するときは、次ホップの IP アドレスも指定します。When you create a route with the virtual appliance hop type, you also specify a next hop IP address. IP アドレスには、次のアドレスを指定できます。The IP address can be:

    • 仮想マシンに接続されたネットワーク インターフェイスのプライベート IP アドレスThe private IP address of a network interface attached to a virtual machine. 自身のアドレス以外のアドレスにネットワーク トラフィックを転送する、仮想マシンに接続されたネットワーク インターフェイスでは、Azure の [Enable IP forwarding](IP 転送を有効にする) オプションが有効になっている必要があります。Any network interface attached to a virtual machine that forwards network traffic to an address other than its own must have the Azure Enable IP forwarding option enabled for it. この設定により、Azure によるネットワーク インターフェイスの送信元と送信先のチェックが無効になります。The setting disables Azure's check of the source and destination for a network interface. ネットワーク インターフェイスの IP 転送を有効にする方法の詳細については、こちらをご覧ください。Learn more about how to enable IP forwarding for a network interface. [Enable IP forwarding](IP 転送を有効にする) は Azure の設定ですが、Azure のネットワーク インターフェイスに割り当てられたプライベート IP アドレス間でアプライアンスがトラフィックを転送するために、仮想マシンのオペレーティング システム内でも IP 転送を有効にすることが必要な場合があります。Though Enable IP forwarding is an Azure setting, you may also need to enable IP forwarding within the virtual machine's operating system for the appliance to forward traffic between private IP addresses assigned to Azure network interfaces. アプライアンスからパブリック IP アドレス宛てにトラフィックをルーティングする必要がある場合、トラフィックをプロキシするか、または送信元のプライベート IP アドレスを独自のプライベート IP アドレスに NAT 変換し、Azure でパブリック IP アドレスに NAT 変換してから、そのトラフィックをインターネットに送信する必要があります。If the appliance must route traffic to a public IP address, it must either proxy the traffic, or network address translate the private IP address of the source's private IP address to its own private IP address, which Azure then network address translates to a public IP address, before sending the traffic to the Internet. 仮想マシン内で必要な設定を確認するには、オペレーティング システムまたはネットワーク アプリケーションのドキュメントをご覧ください。To determine required settings within the virtual machine, see the documentation for your operating system or network application. Azure での送信接続については、送信用接続の詳細に関するページを参照してください。To understand outbound connections in Azure, see Understanding outbound connections.

      注意

      仮想アプライアンスは、その仮想アプライアンスを介してルーティングするリソースがデプロイされているサブネットとは異なるサブネットにデプロイします。Deploy a virtual appliance into a different subnet than the resources that route through the virtual appliance are deployed in. 仮想アプライアンスを同じサブネットにデプロイし、その仮想アプライアンスを介してトラフィックをルーティングするサブネットにルート テーブルを適用すると、トラフィックがサブネットから出ていくことのないルーティング ループが発生する可能性があります。Deploying the virtual appliance to the same subnet, then applying a route table to the subnet that routes traffic through the virtual appliance, can result in routing loops, where traffic never leaves the subnet.

    • Azure 内部ロード バランサーのプライベート IP アドレス。The private IP address of an Azure internal load balancer. 多くの場合、ロード バランサーは、ネットワーク仮想アプライアンスの高可用性戦略の一環として使用されます。A load balancer is often used as part of a high availability strategy for network virtual appliances.

      アドレス プレフィックスが 0.0.0.0/0 で、次ホップの種類が仮想アプライアンスのルートを定義することによって、アプライアンスがトラフィックを検査し、トラフィックを転送するか破棄するかを判断できるようになります。You can define a route with 0.0.0.0/0 as the address prefix and a next hop type of virtual appliance, enabling the appliance to inspect the traffic and determine whether to forward or drop the traffic. アドレス プレフィックス 0.0.0.0/0 を含むユーザー定義ルートを作成する場合は、まず「アドレス プレフィックス 0.0.0.0/0」をお読みください。If you intend to create a user-defined route that contains the 0.0.0.0/0 address prefix, read 0.0.0.0/0 address prefix first.

  • 仮想ネットワーク ゲートウェイ: 特定のアドレス プレフィックス宛てのトラフィックを仮想ネットワーク ゲートウェイにルーティングする場合に指定します。Virtual network gateway: Specify when you want traffic destined for specific address prefixes routed to a virtual network gateway. 種類が VPN の仮想ネットワーク ゲートウェイを作成する必要があります。The virtual network gateway must be created with type VPN. ExpressRoute では、カスタム ルートに BGP を使用する必要があるため、種類が ExpressRoute として作成された仮想ネットワーク ゲートウェイをユーザー定義ルートで指定することはできません。You cannot specify a virtual network gateway created as type ExpressRoute in a user-defined route because with ExpressRoute, you must use BGP for custom routes. アドレス プレフィックス 0.0.0.0/0 宛てのトラフィックをルートベースの仮想ネットワーク ゲートウェイに送信するルートを定義できます。You can define a route that directs traffic destined for the 0.0.0.0/0 address prefix to a route-based virtual network gateway. オンプレミスで、トラフィックを検査し、トラフィックを転送するか破棄するかを判断するデバイスを使用している場合もあります。On your premises, you might have a device that inspects the traffic and determines whether to forward or drop the traffic. アドレス プレフィックスが 0.0.0.0/0 のユーザー定義ルートを作成する場合は、まず「アドレス プレフィックス 0.0.0.0/0」をお読みください。If you intend to create a user-defined route for the 0.0.0.0/0 address prefix, read 0.0.0.0/0 address prefix first. VPN 仮想ネットワーク ゲートウェイで BGP を有効にしている場合は、アドレス プレフィックスが 0.0.0.0/0 のユーザー定義ルートを構成する代わりに、プレフィックス 0.0.0.0/0 を含むルートを BGP 経由でアドバタイズできます。Instead of configuring a user-defined route for the 0.0.0.0/0 address prefix, you can advertise a route with the 0.0.0.0/0 prefix via BGP, if you've enabled BGP for a VPN virtual network gateway.

  • なし: アドレス プレフィックスへのトラフィックを宛先に転送するのではなく破棄する場合に指定します。None: Specify when you want to drop traffic to an address prefix, rather than forwarding the traffic to a destination. 機能を完全には構成していない場合、一部のオプションのシステム ルートに "なし" と表示されることがあります。If you haven't fully configured a capability, Azure may list None for some of the optional system routes. たとえば、次ホップの種類が "仮想ネットワーク ゲートウェイ" または "仮想アプライアンス" であり、次ホップの IP アドレスに "なし" と表示されている場合、デバイスが実行されていないか、完全には構成されていないことが原因である可能性があります。For example, if you see None listed as the Next hop IP address with a Next hop type of Virtual network gateway or Virtual appliance, it may be because the device isn't running, or isn't fully configured. Azure では、予約済みアドレス プレフィクスの既定のシステム ルートは、次ホップの種類がなしで作成されます。Azure creates system default routes for reserved address prefixes with None as the next hop type.
  • 仮想ネットワーク: 仮想ネットワーク内の既定のルーティングを上書きする場合に指定します。Virtual network: Specify when you want to override the default routing within a virtual network. ホップの種類が "仮想ネットワーク" のルートを作成する理由の例については、「ルーティングの例」をご覧ください。See Routing example, for an example of why you might create a route with the Virtual network hop type.
  • インターネット: アドレス プレフィックス宛てのトラフィックをインターネットに明示的にルーティングする場合、またはパブリック IP アドレスを使用する Azure サービスを宛先とするトラフィックを Azure バックボーン ネットワーク内に保持する場合に指定します。Internet: Specify when you want to explicitly route traffic destined to an address prefix to the Internet, or if you want traffic destined for Azure services with public IP addresses kept within the Azure backbone network.

ユーザー定義ルートでは、次ホップの種類として VNet ピアリングまたは VirtualNetworkServiceEndpoint を指定することはできません。You cannot specify VNet peering or VirtualNetworkServiceEndpoint as the next hop type in user-defined routes. 次ホップの種類が VNet ピアリングまたは VirtualNetworkServiceEndpoint のルートは、仮想ネットワーク ピアリングまたはサービス エンドポイントを構成したときに、Azure によって作成されます。Routes with the VNet peering or VirtualNetworkServiceEndpoint next hop types are only created by Azure, when you configure a virtual network peering, or a service endpoint.

Azure ツールにおける次ホップの種類Next hop types across Azure tools

次ホップの種類として表示および参照される名前は、Azure Portal とコマンド ライン ツール、および Azure Resource Manager デプロイメント モデルとクラシック デプロイメント モデルで異なります。The name displayed and referenced for next hop types is different between the Azure portal and command-line tools, and the Azure Resource Manager and classic deployment models. 各種ツールとデプロイメント モデルで各次ホップの種類を指す際に使用される名前を次の表に示します。The following table lists the names used to refer to each next hop type with the different tools and deployment models:

次ホップの種類Next hop type Azure CLI 2.0 と PowerShell (Resource Manager)Azure CLI 2.0 and PowerShell (Resource Manager) Azure CLI 1.0 と PowerShell (クラシック)Azure CLI 1.0 and PowerShell (classic)
仮想ネットワーク ゲートウェイVirtual network gateway VirtualNetworkGatewayVirtualNetworkGateway VPNGatewayVPNGateway
Virtual NetworkVirtual network VNetLocalVNetLocal VNETLocal (asm モードの CLI 1.0 では使用不可)VNETLocal (not available in the CLI 1.0 in asm mode)
インターネットInternet インターネットInternet Internet (asm モードの CLI 1.0 では使用不可)Internet (not available in the CLI 1.0 in asm mode)
仮想アプライアンスVirtual appliance VirtualApplianceVirtualAppliance VirtualApplianceVirtualAppliance
なしNone なしNone Null (asm モードの CLI 1.0 では使用不可)Null (not available in the CLI 1.0 in asm mode)
仮想ネットワーク ピアリングVirtual network peering VNET ピアリングVNet peering 適用不可Not applicable
仮想ネットワーク サービス エンドポイントVirtual network service endpoint VirtualNetworkServiceEndpointVirtualNetworkServiceEndpoint 適用不可Not applicable

ボーダー ゲートウェイ プロトコルBorder gateway protocol

オンプレミス ネットワーク ゲートウェイは、ボーダー ゲートウェイ プロトコル (BGP) を使用して Azure 仮想ネットワーク ゲートウェイとルートを交換できます。An on-premises network gateway can exchange routes with an Azure virtual network gateway using the border gateway protocol (BGP). Azure 仮想ネットワーク ゲートウェイでの BGP の使用方法は、ゲートウェイの作成時に選択した種類によって異なります。Using BGP with an Azure virtual network gateway is dependent on the type you selected when you created the gateway. 選択した種類と BGP の使用方法は次のとおりです。If the type you selected was:

  • ExpressRoute: BGP を使用して、Microsoft エッジ ルーターにオンプレミスのルートをアドバタイズする必要があります。ExpressRoute: You must use BGP to advertise on-premises routes to the Microsoft edge router. 種類が ExpressRoute の仮想ネットワーク ゲートウェイをデプロイした場合、ExpressRoute の仮想ネットワーク ゲートウェイにトラフィックを強制的に誘導するユーザー定義ルートは作成できません。You cannot create user-defined routes to force traffic to the ExpressRoute virtual network gateway if you deploy a virtual network gateway deployed as type: ExpressRoute. Express Route からのトラフィックを (ネットワーク仮想アプライアンスなどに) 強制的に誘導するユーザー定義ルートを作成することはできます。You can use user-defined routes for forcing traffic from the Express Route to, for example, an Network Virtual Appliance.
  • VPN: 必要に応じて BGP をご利用いただけます。VPN: You can, optionally use BGP. 詳細については、サイト間 VPN 接続での BGP に関する記事をご覧ください。For details, see BGP with site-to-site VPN connections.

BGP を使用して Azure とルートを交換すると、仮想ネットワークのすべてのサブネットのルート テーブルに、アドバタイズされた各プレフィックスの個別のルートが追加されます。When you exchange routes with Azure using BGP, a separate route is added to the route table of all subnets in a virtual network for each advertised prefix. 追加されるルートは、ソースと次ホップの種類が "仮想ネットワーク ゲートウェイ" になります。The route is added with Virtual network gateway listed as the source and next hop type.

Azure がルートを選択するしくみHow Azure selects a route

送信トラフィックがサブネットから送信されると、Azure は最長プレフィックス一致アルゴリズムを使用して、宛先 IP アドレスに基づいてルートを選択します。When outbound traffic is sent from a subnet, Azure selects a route based on the destination IP address, using the longest prefix match algorithm. たとえば、ルート テーブルに 2 つのルートがあるとします。一方のルートではアドレス プレフィックス 10.0.0.0/24 を指定し、もう一方のルートではアドレス プレフィックス 10.0.0.0/16 を指定しています。For example, a route table has two routes: One route specifies the 10.0.0.0/24 address prefix, while the other route specifies the 10.0.0.0/16 address prefix. 10.0.0.5 宛てのトラフィックは、アドレス プレフィックスが 10.0.0.0/24 のルートで指定された次ホップの種類にルーティングされます。10.0.0.5 はどちらのアドレス プレフィックスにも含まれますが、10.0.0.0/24 は 10.0.0.0/16 よりも長いプレフィックスであるためです。Azure routes traffic destined for 10.0.0.5, to the next hop type specified in the route with the 10.0.0.0/24 address prefix, because 10.0.0.0/24 is a longer prefix than 10.0.0.0/16, even though 10.0.0.5 is within both address prefixes. 10.0.1.5 宛てのトラフィックは、アドレス プレフィックスが 10.0.0.0/16 のルートで指定された次ホップの種類にルーティングされます。10.0.1.5 はアドレス プレフィックス 10.0.0.0/24 に含まれていないので、アドレス プレフィックスが 10.0.0.0/16 のルートが、一致する最長プレフィックスであるためです。Azure routes traffic destined to 10.0.1.5, to the next hop type specified in the route with the 10.0.0.0/16 address prefix, because 10.0.1.5 isn't included in the 10.0.0.0/24 address prefix, therefore the route with the 10.0.0.0/16 address prefix is the longest prefix that matches.

複数のルートに同じアドレス プレフィックスが含まれている場合は、次の優先順位に基づいてルートの種類が選択されます。If multiple routes contain the same address prefix, Azure selects the route type, based on the following priority:

  1. ユーザー定義のルートUser-defined route
  2. BGP のルートBGP route
  3. システム ルートSystem route

たとえば、ルート テーブルに次のルートが含まれているとします。For example, a route table contains the following routes:

ソースSource アドレス プレフィックスAddress prefixes 次ホップの種類Next hop type
既定値Default 0.0.0.0/00.0.0.0/0 インターネットInternet
UserUser 0.0.0.0/00.0.0.0/0 仮想ネットワーク ゲートウェイVirtual network gateway

トラフィックの宛先が、ルート テーブルのその他のルートのアドレス プレフィックスに含まれていない IP アドレスの場合、ユーザー定義ルートは既定のシステム ルートよりも優先順位が高いため、ソースがユーザーのルートが選択されます。When traffic is destined for an IP address outside the address prefixes of any other routes in the route table, Azure selects the route with the User source, because user-defined routes are higher priority than system default routes.

テーブルの各ルートについて説明する包括的なルーティング テーブルについては、「ルーティングの例」をご覧ください。See Routing example for a comprehensive routing table with explanations of the routes in the table.

アドレス プレフィックス 0.0.0.0/00.0.0.0/0 address prefix

アドレス プレフィックスが 0.0.0.0/0 のルートは、サブネットのルート テーブルのその他のルートのアドレス プレフィックスに含まれていない IP アドレス宛てのトラフィックをルーティングする方法を Azure に指示します。A route with the 0.0.0.0/0 address prefix instructs Azure how to route traffic destined for an IP address that is not within the address prefix of any other route in a subnet's route table. サブネットが作成されると、アドレス プレフィックスが 0.0.0.0/0 で、次ホップの種類がインターネット既定のルートが作成されます。When a subnet is created, Azure creates a default route to the 0.0.0.0/0 address prefix, with the Internet next hop type. このルートを上書きしない場合、その他のルートのアドレス プレフィックスに含まれていない IP アドレス宛てのすべてのトラフィックがインターネットにルーティングされます。If you don't override this route, Azure routes all traffic destined to IP addresses not included in the address prefix of any other route, to the Internet. 例外として、Azure サービスのパブリック IP アドレスへのトラフィックは Azure バックボーン ネットワーク上に残され、インターネットにルーティングされません。The exception is that traffic to the public IP addresses of Azure services remains on the Azure backbone network, and is not routed to the Internet. このルートをカスタム ルートで上書きした場合、ルート テーブルのその他のルートのアドレス プレフィックスに含まれていないアドレス宛てのトラフィックは、カスタム ルートでの指定に応じて、ネットワーク 仮想アプライアンスまたは仮想ネットワーク ゲートウェイに送信されます。If you override this route, with a custom route, traffic destined to addresses not within the address prefixes of any other route in the route table is sent to a network virtual appliance or virtual network gateway, depending on which you specify in a custom route.

アドレス プレフィックス 0.0.0.0/0 を上書きすると、サブネットからの送信トラフィックが仮想ネットワーク ゲートウェイまたは仮想アプライアンス経由で流れるだけでなく、Azure の既定のルーティングで次の変更が発生します。When you override the 0.0.0.0/0 address prefix, in addition to outbound traffic from the subnet flowing through the virtual network gateway or virtual appliance, the following changes occur with Azure's default routing:

  • Azure サービスのパブリック IP アドレス宛てのトラフィックを含め、すべてのトラフィックがルートで指定されている次ホップの種類に送信されます。Azure sends all traffic to the next hop type specified in the route, including traffic destined for public IP addresses of Azure services. アドレス プレフィックスが 0.0.0.0/0 のルートの次ホップの種類がインターネットの場合、仮想ネットワークまたは Azure サービス リソースが存在する Azure リージョンに関係なく、Azure サービスのパブリック IP アドレスを宛先とするサブネットからのトラフィックは、Azure のバックボーン ネットワークから出ていくことはありません。When the next hop type for the route with the 0.0.0.0/0 address prefix is Internet, traffic from the subnet destined to the public IP addresses of Azure services never leaves Azure's backbone network, regardless of the Azure region the virtual network or Azure service resource exist in. ただし、次ホップの種類が仮想ネットワーク ゲートウェイまたは仮想アプライアンスのユーザー定義ルートまたは BGP ルートを作成した場合、サービス エンドポイントを有効にしていない Azure サービスのパブリック IP アドレスに送信されるトラフィックを含め、すべてのトラフィックがルートで指定されている次ホップの種類に送信されます。When you create a user-defined or BGP route with a Virtual network gateway or Virtual appliance next hop type however, all traffic, including traffic sent to public IP addresses of Azure services you haven't enabled service endpoints for, is sent to the next hop type specified in the route. サービスのサービス エンドポイントを有効にしている場合、そのサービスへのトラフィックは、アドレス プレフィックスが 0.0.0.0/0 のルートの次ホップの種類にはルーティングされません。サービスのアドレス プレフィックスは、サービス エンドポイントを有効にしたときに Azure によって作成されたルートで指定されており、サービスのアドレス プレフィックスは 0.0.0.0/0 よりも長いためです。If you've enabled a service endpoint for a service, traffic to the service is not routed to the next hop type in a route with the 0.0.0.0/0 address prefix, because address prefixes for the service are specified in the route that Azure creates when you enable the service endpoint, and the address prefixes for the service are longer than 0.0.0.0/0.
  • インターネットからサブネット内のリソースに直接アクセスすることはできなくなります。You are no longer able to directly access resources in the subnet from the Internet. 受信トラフィックが仮想ネットワーク内のリソースに到達する前に、アドレス プレフィックスが 0.0.0.0/0 のルートの次ホップの種類で指定されたデバイスを通過する場合は、サブネット内のリソースにインターネットから間接的にアクセスできます。You can indirectly access resources in the subnet from the Internet, if inbound traffic passes through the device specified by the next hop type for a route with the 0.0.0.0/0 address prefix before reaching the resource in the virtual network. 次ホップの種類の値と、ルートにその値が含まれている場合の詳細を次に示します。If the route contains the following values for next hop type:

    • 仮想アプライアンス: アプライアンスには次の要件が適用されます。Virtual appliance: The appliance must:
      • インターネットからアクセスできる。Be accessible from the Internet
      • パブリック IP アドレスが割り当てられている。Have a public IP address assigned to it,
      • デバイスとの通信の妨げとなるネットワーク セキュリティ グループの規則が関連付けられていない。Not have a network security group rule associated to it that prevents communication to the device
      • 通信を拒否しない。Not deny the communication
      • ネットワーク アドレス変換を実行し、転送することができる。または、サブネット内の宛先リソースへのトラフィックをプロキシし、トラフィックをインターネットに送信できる。Be able to network address translate and forward, or proxy the traffic to the destination resource in the subnet, and return the traffic back to the Internet.
    • 仮想ネットワーク ゲートウェイ: ゲートウェイが ExpressRoute 仮想ネットワーク ゲートウェイの場合、インターネットに接続されたオンプレミスのデバイスは、ネットワーク アドレス変換を実行し、転送することができます。また、ExpressRoute のプライベート ピアリングを使用して、サブネット内の宛先リソースへのトラフィックをプロキシすることもできます。Virtual network gateway: If the gateway is an ExpressRoute virtual network gateway, an Internet-connected device on-premises can network address translate and forward, or proxy the traffic to the destination resource in the subnet, via ExpressRoute's private peering.

    インターネットと Azure 間で仮想ネットワーク ゲートウェイおよび仮想アプライアンスを使用する場合の実装の詳細については、Azure とオンプレミス データセンターの間の DMZ に関する記事および Azure とインターネットの間の DMZ に関する記事をご覧ください。See DMZ between Azure and your on-premises datacenter and DMZ between Azure and the Internet for implementation details when using virtual network gateways and virtual appliances between the Internet and Azure.

ルーティングの例Routing example

この記事の概念を説明するために、以降のセクションでは以下について説明します。To illustrate the concepts in this article, the sections that follow describe:

  • シナリオと要件A scenario, with requirements
  • 要件を満たすために必要なカスタム ルートThe custom routes necessary to meet the requirements
  • 要件を満たすために必要な既定のルートとカスタム ルートが含まれた、1 つのサブネットのルート テーブルThe route table that exists for one subnet that includes the default and custom routes necessary to meet the requirements

注意

この例は、推奨される実装やベスト プラクティスの実装を示すためのものではありません。This example is not intended to be a recommended or best practice implementation. この記事の概念の説明のみを目的としています。Rather, it is provided only to illustrate concepts in this article.

必要条件Requirements

  1. 同じ Azure リージョンに 2 つの仮想ネットワークを実装し、リソースが仮想ネットワーク間で通信できるようにします。Implement two virtual networks in the same Azure region and enable resources to communicate between the virtual networks.
  2. オンプレミス ネットワークが、インターネット経由の VPN トンネルを介して両方の仮想ネットワークと安全に通信できるようにします。Enable an on-premises network to communicate securely with both virtual networks through a VPN tunnel over the Internet. "ExpressRoute 接続を使用することもできますが、この例では VPN 接続を使用します。"Alternatively, an ExpressRoute connection could be used, but in this example, a VPN connection is used.
  3. 一方の仮想ネットワークの 1 つのサブネットに次の要件が適用されます。For one subnet in one virtual network:

    • 検査とログ記録のために、Azure Storage とサブネット内を除き、サブネットからのすべての送信トラフィックにネットワーク仮想アプライアンスを経由することを強制します。Force all outbound traffic from the subnet, except to Azure Storage and within the subnet, to flow through a network virtual appliance, for inspection and logging.
    • サブネット内のプライベート IP アドレス間のトラフィックは検査しません。これにより、すべてのリソース間でトラフィックが直接流れることができるようにします。Do not inspect traffic between private IP addresses within the subnet; allow traffic to flow directly between all resources.
    • もう一方の仮想ネットワーク宛ての送信トラフィックを破棄します。Drop any outbound traffic destined for the other virtual network.
    • Azure Storage への送信トラフィックには、ネットワーク仮想アプライアンスを経由することを強制せず、トラフィックがストレージに直接流れることができるようにします。Enable outbound traffic to Azure storage to flow directly to storage, without forcing it through a network virtual appliance.
  4. 他のすべてのサブネット間および仮想ネットワーク間ですべてのトラフィックを許可します。Allow all traffic between all other subnets and virtual networks.

実装Implementation

次の図は、上記の要件を満たす Azure Resource Manager デプロイメント モデルを使用した実装を示しています。The following picture shows an implementation through the Azure Resource Manager deployment model that meets the previous requirements:

ネットワーク図

矢印はトラフィックのフローを示しています。Arrows show the flow of traffic.

ルート テーブルRoute tables

Subnet1Subnet1

図の Subnet1 のルート テーブルには、次のルートが含まれています。The route table for Subnet1 in the picture contains the following routes:

IDID ソースSource StateState アドレス プレフィックスAddress prefixes 次ホップの種類Next hop type 次ホップの IP アドレスNext hop IP address ユーザー定義ルートの名前User-defined route name
11 既定値Default 無効Invalid 10.0.0.0/1610.0.0.0/16 Virtual NetworkVirtual network
22 UserUser アクティブActive 10.0.0.0/1610.0.0.0/16 仮想アプライアンスVirtual appliance 10.0.100.410.0.100.4 Within-VNet1Within-VNet1
33 UserUser アクティブActive 10.0.0.0/2410.0.0.0/24 Virtual NetworkVirtual network Within-Subnet1Within-Subnet1
44 既定値Default 無効Invalid 10.1.0.0/1610.1.0.0/16 VNET ピアリングVNet peering
55 既定値Default 無効Invalid 10.2.0.0/1610.2.0.0/16 VNET ピアリングVNet peering
66 UserUser アクティブActive 10.1.0.0/1610.1.0.0/16 なしNone ToVNet2-1-DropToVNet2-1-Drop
77 UserUser アクティブActive 10.2.0.0/1610.2.0.0/16 なしNone ToVNet2-2-DropToVNet2-2-Drop
88 既定値Default 無効Invalid 10.10.0.0/1610.10.0.0/16 仮想ネットワーク ゲートウェイVirtual network gateway [X.X.X.X][X.X.X.X]
99 UserUser アクティブActive 10.10.0.0/1610.10.0.0/16 仮想アプライアンスVirtual appliance 10.0.100.410.0.100.4 To-On-PremTo-On-Prem
1010 既定値Default アクティブActive [X.X.X.X][X.X.X.X] VirtualNetworkServiceEndpointVirtualNetworkServiceEndpoint
1111 既定値Default 無効Invalid 0.0.0.0/00.0.0.0/0 インターネットInternet
1212 UserUser アクティブActive 0.0.0.0/00.0.0.0/0 仮想アプライアンスVirtual appliance 10.0.100.410.0.100.4 Default-NVADefault-NVA

各ルート ID について以下に説明します。An explanation of each route ID follows:

  1. 10.0.0.0/16 は Virtual-network-1 のアドレス空間に定義されている唯一のアドレス範囲であるため、Azure によって、この仮想ネットワークのすべてのサブネットにこのルートが自動的に追加されました。Azure automatically added this route for all subnets within Virtual-network-1, because 10.0.0.0/16 is the only address range defined in the address space for the virtual network. ルート ID 2 のユーザー定義ルートを作成していない場合、10.0.0.1 ~ 10.0.255.254 のアドレスに送信されるトラフィックは仮想ネットワーク内でルーティングされます。プレフィックスが 0.0.0.0/0 より長く、他のどのルートのアドレス プレフィックスにも含まれていないためです。If the user-defined route in route ID2 weren't created, traffic sent to any address between 10.0.0.1 and 10.0.255.254 would be routed within the virtual network, because the prefix is longer than 0.0.0.0/0, and not within the address prefixes of any of the other routes. ID 2 のユーザー定義ルートには、既定のルートと同じプレフィックスが含まれており、ユーザー定義ルートによって既定のルートが上書きされるので、このユーザー定義ルートが追加されたときに、状態が "アクティブ" から "無効" に自動的に変更されました。Azure automatically changed the state from Active to Invalid, when ID2, a user-defined route, was added, since it has the same prefix as the default route, and user-defined routes override default routes. ユーザー定義ルート ID 2 が含まれているルート テーブルは Subnet2 に関連付けられていないので、このルートの状態は Subnet2 では "アクティブ" のままになります。The state of this route is still Active for Subnet2, because the route table that user-defined route, ID2 is in, isn't associated to Subnet2.
  2. アドレス プレフィックスが 10.0.0.0/16 のユーザー定義ルートが Virtual-network-1 仮想ネットワークの Subnet1 サブネットに関連付けられたときに、Azure によってこのルートが追加されました。Azure added this route when a user-defined route for the 10.0.0.0/16 address prefix was associated to the Subnet1 subnet in the Virtual-network-1 virtual network. このユーザー定義ルートでは、仮想アプライアンスの IP アドレスとして 10.0.100.4 を指定しています。このアドレスは、仮想アプライアンス仮想マシンに割り当てられているプライベート IP アドレスであるためです。The user-defined route specifies 10.0.100.4 as the IP address of the virtual appliance, because the address is the private IP address assigned to the virtual appliance virtual machine. このルートが存在するルート テーブルは Subnet2 に関連付けられていないので、Subnet2 のルート テーブルには表示されません。The route table this route exists in is not associated to Subnet2, so doesn't appear in the route table for Subnet2. このルートによって、プレフィックスが 10.0.0.0/16 の既定のルート (ID 1) が上書きされるので、仮想ネットワークの次ホップの種類を使用して、10.0.0.1 および 10.0.255.254 にアドレス指定されたトラフィックが仮想ネットワーク内で自動的にルーティングされます。This route overrides the default route for the 10.0.0.0/16 prefix (ID1), which automatically routed traffic addressed to 10.0.0.1 and 10.0.255.254 within the virtual network through the virtual network next hop type. このルートは、すべての送信トラフィックに仮想アプライアンスを経由することを強制するという要件 3. を満たすために存在しています。This route exists to meet requirement 3, to force all outbound traffic through a virtual appliance.
  3. アドレス プレフィックス 10.0.0.0/24 のユーザー定義ルートが Subnet1 サブネットに関連付けられたときに、Azure によってこのルートが追加されました。Azure added this route when a user-defined route for the 10.0.0.0/24 address prefix was associated to the Subnet1 subnet. このルートのプレフィックスは ID 2 のルートよりも長いため、10.0.0.1 ~ 10.0.0.0.254 のアドレス宛てのトラフィックは、前の規則 (ID 2) で指定された仮想アプライアンスにルーティングされるのではなくサブネット内に残されます。Traffic destined for addresses between 10.0.0.1 and 10.0.0.0.254 remains within the subnet, rather than being routed to the virtual appliance specified in the previous rule (ID2), because it has a longer prefix than the ID2 route. このルートは Subnet2 に関連付けられていないので、Subnet2 のルート テーブルには表示されません。This route was not associated to Subnet2, so the route does not appear in the route table for Subnet2. このルートにより、Subnet1 内のトラフィック用の ID 2 のルートが効果的に上書きされます。This route effectively overrides the ID2 route for traffic within Subnet1. このルートは、要件 3. を満たすために存在しています。This route exists to meet requirement 3.
  4. Virtual-network-1Virtual-network-2 とピアリングされたときに、Azure によって、仮想ネットワークのすべてのサブネットに ID 4 と ID 5 のルートが自動的に追加されました。Azure automatically added the routes in IDs 4 and 5 for all subnets within Virtual-network-1, when the virtual network was peered with Virtual-network-2. Virtual-network-2 のアドレス空間には、10.1.0.0/16 と 10.2.0.0/16 の 2 つのアドレス範囲が含まれているので、範囲ごとにルートが追加されました。Virtual-network-2 has two address ranges in its address space: 10.1.0.0/16 and 10.2.0.0/16, so Azure added a route for each range. ルート ID 6 および 7 のユーザー定義ルートを作成していない場合、10.1.0.1 ~ 10.1.255.254 および 10.2.0.1 ~ 10.2.255.254 のアドレスに送信されるトラフィックは、ピアリングされた仮想ネットワークにルーティングされます。プレフィックスが 0.0.0.0/0 より長く、他のどのルートのアドレス プレフィックスにも含まれていないためです。If the user-defined routes in route IDs 6 and 7 weren't created, traffic sent to any address between 10.1.0.1-10.1.255.254 and 10.2.0.1-10.2.255.254 would be routed to the peered virtual network, because the prefix is longer than 0.0.0.0/0, and not within the address prefixes of any of the other routes. ID 6 および ID 7 のルートには、ID 4 および ID 5 のルートと同じプレフィックスが含まれており、ユーザー定義ルートによって既定のルートが上書きされるので、これらのルートが追加されたときに、状態が "アクティブ" から "無効" に自動的に変更されました。Azure automatically changed the state from Active to Invalid, when the routes in IDs 6 and 7 were added, since they have the same prefixes as the routes in IDs 4 and 5, and user-defined routes override default routes. ID 4 と ID 5 のユーザー定義ルートが存在するルート テーブルは Subnet2 に関連付けられていないので、ID 4 と ID 5 のルートの状態は Subnet2 では "アクティブ" のままになります。The state of the routes in IDs 4 and 5 are still Active for Subnet2, because the route table that the user-defined routes in IDs 4 and 5 are in, isn't associated to Subnet2. 仮想ネットワーク ピアリングは、要件 1. を満たすために作成されました。A virtual network peering was created to meet requirement 1.
  5. ID 4 の説明と同じです。Same explanation as ID4.
  6. アドレス プレフィックスが 10.1.0.0/16 および 10.2.0.0/16 のユーザー定義ルートが Subnet1 サブネットに関連付けられたときに、Azure によってこのルートと ID 7 のルートが追加されました。Azure added this route and the route in ID7, when user-defined routes for the 10.1.0.0/16 and 10.2.0.0/16 address prefixes were associated to the Subnet1 subnet. ユーザー定義ルートによって既定のルートが上書きされるので、10.1.0.1 ~ 10.1.255.254 および 10.2.0.1 ~ 10.2.255.254 のアドレス宛てのトラフィックは、ピアリングされた仮想ネットワークにルーティングされるのではなく、Azure によって破棄されます。Traffic destined for addresses between 10.1.0.1-10.1.255.254 and 10.2.0.1-10.2.255.254 is dropped by Azure, rather than being routed to the peered virtual network, because user-defined routes override default routes. これらルートは Subnet2 に関連付けられていないので、Subnet2 のルート テーブルには表示されません。The routes are not associated to Subnet2, so the routes do not appear in the route table for Subnet2. これらのルートによって、Subnet1 から出ていくトラフィック用の ID 4 と ID 5 のルートが上書きされます。The routes override the ID4 and ID5 routes for traffic leaving Subnet1. ID 6 と ID 7 のルートは、もう一方の仮想ネットワーク宛てのトラフィックを破棄するという要件 3. を満たすために存在しています。The ID6 and ID7 routes exist to meet requirement 3 to drop traffic destined to the other virtual network.
  7. ID 6 の説明と同じです。Same explanation as ID6.
  8. Virtual-network-1 内で種類が VPN の仮想ネットワーク ゲートウェイが作成されたときに、Azure によって、仮想ネットワークのすべてのサブネットにこのルートが自動的に追加されました。Azure automatically added this route for all subnets within Virtual-network-1 when a VPN type virtual network gateway was created within the virtual network. 仮想ネットワーク ゲートウェイのパブリック IP アドレスがルート テーブルに追加されました。Azure added the public IP address of the virtual network gateway to the route table. 10.10.0.1 ~ 10.10.255.254 のアドレスに送信されるトラフィックは、仮想ネットワーク ゲートウェイにルーティングされます。Traffic sent to any address between 10.10.0.1 and 10.10.255.254 is routed to the virtual network gateway. プレフィックスが 0.0.0.0/0 より長く、他のどのルートのアドレス プレフィックスにも含まれていません。The prefix is longer than 0.0.0.0/0 and not within the address prefixes of any of the other routes. 仮想ネットワーク ゲートウェイは、要件 2. を満たすために作成されました。A virtual network gateway was created to meet requirement 2.
  9. アドレス プレフィックスが 10.10.0.0/16 のユーザー定義ルートが、Subnet1 に関連付けられているルート テーブルに追加されたときに、Azure によってこのルートが追加されました。Azure added this route when a user-defined route for the 10.10.0.0/16 address prefix was added to the route table associated to Subnet1. このルートによって ID 8 が上書きされます。This route overrides ID8. このルートは、オンプレミス ネットワーク宛てのすべてのトラフィックをオンプレミスに直接ルーティングするのではなく、検査のために NVA に送信します。The route sends all traffic destined for the on-premises network to an NVA for inspection, rather than routing traffic directly on-premises. このルートは、要件 3. を満たすために作成されました。This route was created to meet requirement 3.
  10. Azure サービスのサービス エンドポイントがサブネットで有効になったときに、Azure によって、サブネットにこのルートが自動的に追加されました。Azure automatically added this route to the subnet when a service endpoint to an Azure service was enabled for the subnet. サブネットからのトラフィックは、Azure インフラストラクチャ ネットワーク経由でサービスのパブリック IP アドレスにルーティングされます。Azure routes traffic from the subnet to a public IP address of the service, over the Azure infrastructure network. プレフィックスが 0.0.0.0/0 より長く、他のどのルートのアドレス プレフィックスにも含まれていません。The prefix is longer than 0.0.0.0/0 and not within the address prefixes of any of the other routes. サービス エンドポイントは、Azure Storage 宛てのトラフィックが Azure Storage に直接流れることができるようにするという要件 3. を満たすために作成されました。A service endpoint was created to meet requirement 3, to enable traffic destined for Azure Storage to flow directly to Azure Storage.
  11. Azure によって、Virtual-network-1Virtual-network-2 のすべてのサブネットのルート テーブルに、このルートが自動的に追加されました。Azure automatically added this route to the route table of all subnets within Virtual-network-1 and Virtual-network-2. アドレス プレフィックス 0.0.0.0/0 は最も短いプレフィックスです。The 0.0.0.0/0 address prefix is the shortest prefix. これよりも長いアドレス プレフィックスに含まれるアドレスに送信されるすべてのトラフィックは、他のルートに基づいてルーティングされます。Any traffic sent to addresses within a longer address prefix are routed based on other routes. 既定では、他のルートのいずれかで指定されたアドレス以外のアドレス宛てのトラフィックはすべてインターネットにルーティングされます。By default, Azure routes all traffic destined for addresses other than the addresses specified in one of the other routes to the Internet. アドレス プレフィックスが 0.0.0.0/0 のユーザー定義ルート (ID 12) が Subnet1 サブネットに関連付けられたときに、Azure によって、このサブネットでの状態が "アクティブ" から "無効" に自動的に変更されました。Azure automatically changed the state from Active to Invalid for the Subnet1 subnet when a user-defined route for the 0.0.0.0/0 address prefix (ID12) was associated to the subnet. このルートはその他の仮想ネットワーク内のその他のサブネットに関連付けられていないので、両方の仮想ネットワークの他のすべてのサブネットで、このルートの状態は "アクティブ" のままになります。The state of this route is still Active for all other subnets within both virtual networks, because the route isn't associated to any other subnets within any other virtual networks.
  12. アドレス プレフィックスが 0.0.0.0/0 のユーザー定義ルートが Subnet1 サブネットに関連付けられたときに、Azure によってこのルートが追加されました。Azure added this route when a user-defined route for the 0.0.0.0/0 address prefix was associated to the Subnet1 subnet. このユーザー定義ルートでは、仮想アプライアンスの IP アドレスとして 10.0.100.4 を指定しています。The user-defined route specifies 10.0.100.4 as the IP address of the virtual appliance. このルートは Subnet2 に関連付けられていないので、Subnet2 のルート テーブルには表示されません。This route is not associated to Subnet2, so the route does not appear in the route table for Subnet2. 他のどのルートのアドレス プレフィックスにも含まれていないアドレス宛てのすべてのトラフィックが仮想アプライアンスに送信されます。All traffic for any address not included in the address prefixes of any of the other routes is sent to the virtual appliance. ユーザー定義ルートによって既定のルートが上書きされるので、このルートの追加により、Subnet1 では、アドレス プレフィックスが 0.0.0.0/0 の既定のルート (ID 11) の状態が "アクティブ" から "無効" に変更されました。The addition of this route changed the state of the default route for the 0.0.0.0/0 address prefix (ID11) from Active to Invalid for Subnet1, because a user-defined route overrides a default route. このルートは、要件 3. を満たすために存在しています。This route exists to meet requirement 3.

Subnet2Subnet2

図の Subnet2 のルート テーブルには、次のルートが含まれています。The route table for Subnet2 in the picture contains the following routes:

ソースSource StateState アドレス プレフィックスAddress prefixes 次ホップの種類Next hop type 次ホップの IP アドレスNext hop IP address
既定値Default アクティブActive 10.0.0.0/1610.0.0.0/16 Virtual NetworkVirtual network
既定値Default アクティブActive 10.1.0.0/1610.1.0.0/16 VNET ピアリングVNet peering
既定値Default アクティブActive 10.2.0.0/1610.2.0.0/16 VNET ピアリングVNet peering
既定値Default アクティブActive 10.10.0.0/1610.10.0.0/16 仮想ネットワーク ゲートウェイVirtual network gateway [X.X.X.X][X.X.X.X]
既定値Default アクティブActive 0.0.0.0/00.0.0.0/0 インターネットInternet
既定値Default アクティブActive 10.0.0.0/810.0.0.0/8 なしNone
既定値Default アクティブActive 100.64.0.0/10100.64.0.0/10 なしNone
既定値Default アクティブActive 172.16.0.0/12172.16.0.0/12 なしNone
既定値Default アクティブActive 192.168.0.0/16192.168.0.0/16 なしNone

Subnet2 のルート テーブルには、Azure によって作成されたすべての既定のルートと、オプションの VNet ピアリング ルートおよび仮想ネットワーク ゲートウェイ ルートが含まれています。The route table for Subnet2 contains all Azure-created default routes and the optional VNet peering and Virtual network gateway optional routes. ゲートウェイとピアリングが仮想ネットワークに追加されたときに、Azure によって、仮想ネットワークのすべてのサブネットにオプション ルートが追加されました。Azure added the optional routes to all subnets in the virtual network when the gateway and peering were added to the virtual network. アドレス プレフィックスが 0.0.0.0/0 のユーザー定義ルートが Subnet1 に追加されたときに、アドレス プレフィックスが 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、100.64.0.0/10 の各ルートが Subnet1 のルート テーブルから削除されました。Azure removed the routes for the 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, and 100.64.0.0/10 address prefixes from the Subnet1 route table when the user-defined route for the 0.0.0.0/0 address prefix was added to Subnet1.

次の手順Next steps