Azure 仮想ネットワークについて知る
維持する予定のオンプレミスのデータセンターがありますが、Azure でホストされる仮想マシン (VM) を使用してピーク時のトラフィックをオフロードするために、Azure を使用する必要があります。 既存の IP アドレス指定スキームとネットワーク アプライアンスを維持する必要がある一方、すべてのデータ転送がセキュリティで保護される必要があります。
Azure 仮想ネットワークとは
Azure 仮想ネットワークを使用すると、仮想マシン、Web アプリ、データベースなどの Azure リソースが、各 Azure リソース、インターネット上のユーザー、オンプレミスのクライアント コンピューターと通信できるようになります。 Azure ネットワークは、他の Azure リソースとリンクするリソースのセットと見なすことができます。
Azure 仮想ネットワークには、次の主要なネットワーク機能が含まれます。
- 分離とセグメント化
- インターネット通信
- Azure リソース間の通信
- オンプレミス リソースとの通信
- ネットワーク トラフィックのルーティング
- ネットワーク トラフィックのフィルター処理
- 仮想ネットワークの接続
分離とセグメント化
Azure では、分離された仮想ネットワークを複数作成できます。 仮想ネットワークを設定するときに、パブリックまたはプライベートの IP アドレス範囲のいずれかを使用して、プライベートのインターネット プロトコル (IP) アドレス空間を定義します。 次に、その IP アドレス空間をサブネットに分割し、定義されたアドレス空間の一部をそれぞれの名前付きサブネットに割り当てることができます。
名前を解決するためには、Azure の組み込みの名前解決サービスを使用するか、または仮想ネットワークを構成して、内部または外部のドメイン ネーム システム (DNS) サーバーを使用することができます。
インターネット通信
Azure 内の VM は、既定でインターネットに接続できます。 パブリック IP アドレスまたはパブリック ロード バランサーを定義することで、インターネットからの受信接続を有効にできます。 VM 管理では、Azure CLI、リモート デスクトップ プロトコル (RDP)、または Secure Shell (SSH) 経由で接続できます。
Azure リソース間の通信
Azure リソースが相互に安全に通信できるようにする必要があります。 次の 2 つの方法のいずれかでこれを実現します。
仮想ネットワーク
仮想ネットワークでは、VM だけではなく、App Service 環境、Azure Kubernetes Service、Azure 仮想マシン スケール セットなど、その他の Azure リソースも接続できます。
サービス エンドポイント
サービス エンドポイントを使用して、Azure SQL データベースやストレージ アカウントなど、他の Azure リソースの種類に接続することができます。 この方法を使用すると、複数の Azure リソースを仮想ネットワークにリンクすることが可能になり、セキュリティの向上とリソース間の最適なルーティングを実現できます。
オンプレミス リソースとの通信
Azure 仮想ネットワークを使用すると、オンプレミス環境と Azure サブスクリプション内でリソースをリンクできるため、実質的にローカル環境とクラウド環境にまたがるネットワークを作成できます。 この接続を実現するためのメカニズムが 3 つあります。
ポイント対サイト仮想プライベート ネットワーク
この方法は、組織外のコンピューターが反対方向で動作することを除いて、企業ネットワークに戻る、仮想プライベート ネットワーク (VPN) 接続に似ています。 この場合、クライアント コンピューターが、そのコンピューターを Azure 仮想ネットワークに接続して、Azure への暗号化された VPN 接続を開始します。
サイト間仮想プライベート ネットワーク オンプレミスの VPN デバイスまたはゲートウェイが、仮想ネットワーク内で Azure VPN ゲートウェイにリンクされます。 実際には、Azure 内のデバイスはローカル ネットワーク上にあるものとして表示できます。 接続は暗号化され、インターネット経由で動作します。
Azure ExpressRoute
より広い帯域幅とさらに高いレベルのセキュリティが必要な環境には、Azure ExpressRoute が最適な方法です。 Azure ExpressRoute では、インターネットを経由しない Azure への専用プライベート接続が用意されます。
ネットワーク トラフィックのルーティング
Azure では、サブネット、接続されている仮想ネットワーク、オンプレミス ネットワーク、インターネット間で、トラフィックが既定でルーティングされます。 しかし、次のようにルーティングを制御して各設定をオーバーライドできます。
ルート テーブル
ルート テーブルでは、トラフィックが送信される方向に関する規則を定義できます。 サブネット間でパケットがルーティングされる方法を制御する、カスタム ルート テーブルを作成できます。
Border Gateway Protocol
Border Gateway Protocol (BGP) は、Azure VPN Gateway または ExpressRoute と共に動作して、オンプレミスの BGP ルートを Azure 仮想ネットワークに反映させます。
ネットワーク トラフィックのフィルター処理
Azure 仮想ネットワークでは、次の方法を使用してサブネット間のトラフィックをフィルター処理できます。
ネットワーク セキュリティ グループ
ネットワーク セキュリティ グループ (NSG) は、受信と送信に関するセキュリティ規則を複数含めることができる Azure リソースです。 送信元と送信先の IP アドレス、ポート、プロトコルなどの要素に基づいて、トラフィックを許可またはブロックする各規則を定義できます。
ネットワーク仮想アプライアンス
ネットワーク仮想アプライアンスは、堅牢化されたネットワーク アプライアンスに対応する特殊な VM です。 ネットワーク仮想アプライアンスでは、ファイアウォールの実行、WAN の最適化の実行など、特定のネットワーク機能が実行されます。
仮想ネットワークの接続
仮想ネットワークの "ピアリング" を使用して、仮想ネットワークをリンクできます。 ピアリングを使用すると、各仮想ネットワーク内のリソースを相互に通信させることができます。 異なるリージョンに各仮想ネットワークを配置し、Azure を通じてグローバルに相互接続されたネットワークを作成できます。
Azure 仮想ネットワークの設定
ローカル コンピューター上の Azure portal や Azure PowerShell から、または Azure Cloud Shell から Azure 仮想ネットワークの作成と構成を実行できます。
仮想ネットワークの作成
Azure 仮想ネットワークを作成するときに、基本的な設定を多数構成します。 また、複数のサブネット、分散型サービス拒否 (DDoS) の保護、サービス エンドポイントなど、高度な設定を構成することもできます。
基本的な仮想ネットワークに対して次の設定を構成します。
ネットワーク名
ネットワーク名は、サブスクリプション内で一意である必要がありますが、グローバルに一意である必要はありません。 覚えやすく、他の仮想ネットワークと区別しやすくなる、説明的な名前を付けます。
アドレス空間
仮想ネットワークを設定するときに、クラスレス ドメイン間ルーティング (CIDR) 形式で内部のアドレス空間を定義します。 このアドレス空間は、サブスクリプション内と接続する他のネットワーク内で固有である必要があります。
最初の仮想ネットワークに 10.0.0.0/24 のアドレス空間を選択したとします。 このアドレス空間で定義したアドレスは、10.0.0.1 から 10.0.0.254 の範囲になります。 次に、2 つ目の仮想ネットワークを作成して、10.0.0.0/8 のアドレス空間を選択します。 このアドレス空間のアドレスは、10.0.0.1 から 10.255.255.254 の範囲になります。 アドレスの一部が重複し、2 つの仮想ネットワークに使用することはできません。
しかし、10.0.0.0/16 (10.0.0.1 から 10.0.255.254 の範囲のアドレス) を使用し、10.1.0.0/16 (10.1.0.1 から 10.1.255.254 の範囲のアドレス) を使用できます。 アドレスの重複がないため、これらのアドレス空間を仮想ネットワークに割り当てることができます。
注意
仮想ネットワークを作成したら、アドレス空間を追加できます。
サブスクリプション
選択するサブスクリプションが複数ある場合にのみ適用されます。
リソース グループ
他の Azure リソースと同様、仮想ネットワークはリソース グループ内に配置する必要があります。 既存のリソース グループを選択するか、新しいリソース グループを作成できます。
場所
仮想ネットワークを配置する場所を選択します。
サブネット
各仮想ネットワークのアドレス範囲内で、仮想ネットワークのアドレス空間をパーティション分割するサブネットを、1 つまたは複数作成できます。 次に、サブネット間のルーティングは既定のトラフィックのルーティングに依存するか、またはカスタム ルートを定義できます。 または、すべての仮想ネットワークのアドレス範囲を含むサブネットを 1 つ定義できます。
注意
サブネット名は、先頭にはアルファベットまたは数字、末尾にはアルファベット、数字、またはアンダースコアを使用する必要があります。また、アルファベット、数字、アンダースコア、ピリオド、ハイフンのみを含めることができます。
分散型サービス拒否 (DDoS) 保護
Basic または Standard のいずれかの DDoS 保護を選択できます。 Standard の DDoS Protection はプレミアム サービスです。 「Azure DDoS Protection の概要」では、DDoS Protection の詳細について示します。
サービス エンドポイント
ここでは、サービス エンドポイントを有効にした後、有効にする Azure サービス エンドポイントを一覧から選択します。 オプションには、Azure Cosmos DB、Azure Service Bus、Azure Key Vault などが含まれます。
これらの設定を構成したら、[作成] を選択します。
その他の設定を定義する
仮想ネットワークを作成したら、さらに追加設定を定義できます。 設定は次のとおりです。
ネットワーク セキュリティ グループ
ネットワーク セキュリティ グループのセキュリティ規則を使用して、仮想ネットワーク サブネットとネットワーク インターフェイスに出入りできるネットワーク トラフィックの種類をフィルター処理できます。 ネットワーク セキュリティ グループを個別に作成した後、これを仮想ネットワークに関連付けます。
ルート テーブル
Azure では、Azure 仮想ネットワークのサブネットごとにルート テーブルが自動的に作成され、既定のシステム ルートがテーブルに追加されます。 ただし、カスタム ルート テーブルを追加して、仮想ネットワーク間のトラフィックを変更できます。
また、サービス エンドポイントを修正することもできます。
仮想ネットワークを構成する
仮想ネットワークを作成したら、その他の設定はすべて、Azure portal の [仮想ネットワーク] ウィンドウから変更できます。 または、PowerShell コマンドや Cloud Shell のコマンドを使用して変更を加えることもできます。
その後、サブウィンドウで追加設定の確認と変更を行うことができます。 設定は次のとおりです。
アドレス空間: 最初の定義にさらなるアドレス空間を追加できます。
接続デバイス: 仮想ネットワークを使用してマシンを接続します。
サブネット: さらにサブネットを追加します。
ピアリング: ピアリングの配置で仮想ネットワークをリンクします。
また、仮想ネットワークの監視やトラブルシューティングを行ったり、現在の仮想ネットワークを生成するために自動化スクリプトを作成したりすることもできます。
仮想ネットワークは、Azure 内のエンティティを接続するための強力なメカニズムであり、自由に構成することができます。 Azure リソースを相互に接続したり、またはオンプレミスのリソースに接続したりできます。 ネットワーク トラフィックの分離、フィルター処理、ルーティングを実行できます。また、必要に応じて Azure でセキュリティを強化することができます。