クイックスタート: Azure Virtual Network Manager でメッシュ ネットワーク トポロジを作成する - Azure portal

Azure portal を使用して、すべての仮想ネットワークの接続を管理することで、Azure Virtual Network Manager の使用を開始します。

このクイックスタートでは、3 つの仮想ネットワークをデプロイし、Azure Virtual Network Manager を使用してメッシュ ネットワーク トポロジを作成します。 次に、接続構成が適用されたことを確認します。

前提条件

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
• 動的ネットワーク グループを変更するには、アクセス権の付与が Azure RBAC ロールの割り当てのみを使用して行われている必要があります。 従来の管理者/レガシ承認はサポートされていません。

Virtual Network Manager インスタンスを作成する

必要なスコープとアクセスが定義された Virtual Network Manager インスタンスをデプロイします。 Virtual Network Manager インスタンスは、Azure portal、Azure PowerShell、または Azure CLI を使用して作成できます。 この記事では、Azure portal を使用して Virtual Network Manager インスタンスを作成する方法を示します。

1. Azure portal にサインインします。

2. [+ リソースの作成] を選択し、 [ネットワーク マネージャー] を検索します。 次に、[ネットワーク マネージャー] > [作成] を選択して、Virtual Network Manager の設定を開始します。

3. [基本] タブで、次の情報を入力または選択して、[確認と作成] を選択します。

   

   設定	値
   サブスクリプション	Virtual Network Manager をデプロイするサブスクリプションを選択します。
   リソース グループ	[新規作成] を選択し、「rg-learn-eastus-001」と入力します。
   名前	「vnm-learn-eastus-001」と入力します。
   リージョン	「eastus」または任意のリージョンを入力します。 Virtual Network Manager は、任意のリージョンの仮想ネットワークを管理できます。 選択されたリージョンが、Virtual Network Manager インスタンスが配置される場所です。
   説明	(省略可能) この Azure Virtual Network Manager インスタンスと、それが管理するタスクの説明を指定します。
   機能	ドロップダウン リストから [接続性] と [Security Admin] (セキュリティ管理) を選択します。 [接続性] を選択すると、スコープ内の仮想ネットワーク間に完全なメッシュまたはハブおよびスポークのネットワーク トポロジを作成できます。 [セキュリティ管理] を選択すると、グローバル ネットワーク セキュリティ規則を作成できます。

4. [管理スコープ] タブまたは [次へ: 管理スコープ] を選択し、次に進みます。

5. [管理スコープ] タブで、[+ 追加] を選びます。

6. [スコープの追加] ペインで Virtual Network Manager をデプロイするサブスクリプションを選択し、[選択] を選択します。

7. [確認および作成]、[作成] の順に選択し、Virtual Network Manager インスタンスをデプロイします。

仮想ネットワークを作成する

ポータルを使用して 3 つの仮想ネットワークを作成します。 各仮想ネットワークには、動的メンバーシップに使用される networkType タグがあります。 メッシュ構成に既存の仮想ネットワークがある場合は、表に一覧されているタグを仮想ネットワークに追加してから、次のセクションに進んでください。

1. [ホーム] 画面で [+ Create a resource] (+ リソースの作成) を選択し、[仮想ネットワーク] を検索します。 次に [作成] を選択して、仮想ネットワークの構成を開始します。

2. [基本] タブで、次の情報を入力または選択します。

   設定	値
   サブスクリプション	この仮想ネットワークをデプロイするサブスクリプションを選択します。
   リソース グループ	rg-learn-eastus-001 を選択します。
   仮想ネットワーク名	「vnet-learn-prod-eastus-001」と入力します。
   リージョン	[(米国) 米国東部] を選択します。

3. [次へ] または [IP アドレス] タブを選択し、次のネットワーク アドレス空間を構成してから、[確認と作成] を選択します。

   設定	値
   IPv4 アドレス空間	10.0.0.0/16
   サブネット名	default
   サブネットのアドレス空間	10.0.0.0/24

4. 構成の検証に合格したら、[作成] を選択して仮想ネットワークをデプロイします。

5. 上記の手順を繰り返して、次の情報を含む仮想ネットワークをさらに作成します。

   設定	値
   サブスクリプション	手順 2 で選択したものと同じサブスクリプションを選択します。
   リソース グループ	rg-learn-eastus-001 を選択します。
   名前	他の仮想ネットワークに「vnet-learn-prod-eastus-002」、「vnet-learn-test-eastus-003」と入力します。
   リージョン	[(米国) 米国東部] を選択します。
   vnet-learn-prod-eastus-002 の IP アドレス	IPv4 アドレス空間: 10.1.0.0/16 サブネット名: 既定値 サブネット アドレス空間: 10.1.0.0/24
   vnet-learn-test-eastus-003 の IP アドレス	IPv4 アドレス空間: 10.2.0.0/16 サブネット名: 既定値 サブネット アドレス空間: 10.2.0.0/24

ネットワーク グループを作成する

Virtual Network Manager は、ネットワーク グループに仮想ネットワークを配置することで、仮想ネットワークのグループに構成を適用します。 ネットワーク グループを作成するには、次のようにします。

1. リソース グループ rg-learn-eastus-001 に移動し、ネットワーク マネージャー インスタンス vnm-learn-eastus-001 を選択します。

2. [設定] で [ネットワーク グループ] を選択します。 次に、[+ 作成] を選択します。

3. [ネットワーク グループの作成] ペインで [作成] を選択します。

   設定	Value
   名前	「ng-learn-prod-eastus-001」と入力します。
   説明	(省略可能) このネットワーク グループに関する説明を入力します。
   メンバーの種類	ドロップダウン メニューから [仮想ネットワーク] を選択します。

   次に、作成を選択します。

4. 新しいネットワーク グループが [ネットワーク グループ] ペインに表示されるようになったことを確認します。

接続構成のメンバーシップを定義する

ネットワーク グループを作成したら、仮想ネットワークをメンバーとして追加します。 メッシュ メンバーシップ構成の次のオプションの 1 つを選択します。

手動メンバーシップ

メンバーシップを手動で追加する

このタスクでは、メッシュ構成用の 2 つの仮想ネットワークをネットワーク グループに手動で追加します。

1. ネットワーク グループのリストから、ng-learn-prod-eastus-001 を選択します。 [ng-learn-prod-eastus-001] ペインの [メンバーを手動で追加する] で、[仮想ネットワークの追加] を選択します。

2. [メンバーを手動で追加する] ペインで、vnet-learn-prod-eastus-001 と vnet-learn-prod-eastus-002 を選択し、[追加] を選択します。

3. [ネットワーク グループ] ペインの [設定] で、[グループ メンバー] を選択します。 手動で選択したグループのメンバーシップを確認します。

   

Azure Policy

動的メンバーシップのポリシー定義を作成する

Azure Policy を使用して、仮想ネットワークの名前に prod が含まれている場合に、ネットワーク グループに 2 つの仮想ネットワークを動的に追加する条件を定義します。

1. ネットワーク グループのリストから、ng-learn-prod-eastus-001 を選択します。 [メンバーを動的に追加するポリシーの作成]で、[Azure Policy の作成] を選択します。

2. [Azure Policy の作成] ペインで、次の情報を選択または入力してから、[Preview Resources] (リソースのプレビュー) を選択します。

   

   設定	値
   ポリシー名	「azpol-learn-prod-eastus-001」と入力します。
   スコープ	[スコープの選択] を選択してから、現在のサブスクリプションを選択します。
   パラメーター	ドロップダウン リストから [名前] を選択します。
   [オペレーター]	ドロップダウン リストから [値を含む] を選択します。
   Condition	「-prod」と入力します。

3. [有効な仮想ネットワーク] ペインには、Azure Policy で定義した条件に基づいてネットワーク グループに追加される仮想ネットワークが表示されます。 準備ができたら、 [閉じる] を選択します。

   

4. [保存] を選択して、グループ メンバーシップをデプロイします。 ポリシーが有効になり、ネットワーク グループに追加されるまでに最大で 1 分かかることがあります。

5. [設定] の [ネットワーク グループ] ペインで、[グループ メンバー] を選択し、Azure Policy で定義した条件に基づいてグループのメンバーシップを表示します。 [送信元] に azpol-learn-prod-eastus-001 - subscriptions/subscription_id がリストされていることを確認します。

   

構成を作成する

ネットワーク グループを作成し、仮想ネットワークでそのメンバーシップを更新したら、メッシュ ネットワーク トポロジ構成を作成します。 <subscription_id> をサブスクリプションで置き換えます。

1. [設定] で [構成] を選択します。 [作成] を選択します。

2. ドロップダウン メニューから [接続構成] を選択して、接続構成の作成を開始します。

3. [基本] タブで、次の情報を入力してから、[次へ :トポロジ] を選択します。

   設定	値
   名前	「cc-learn-prod-eastus-001」と入力します。
   説明	(省略可能) この接続構成に関する説明を入力します。

4. [トポロジ] タブで [メッシュ] トポロジを選択し、[リージョン間のメッシュ接続を有効にする] チェックボックスはオフのままにします。 すべての仮想ネットワークが同じリージョン内にあるので、リージョン間接続はこの設定には必要ありません。 準備ができたら、[追加] > [Add network group] (ネットワーク グループの追加) を選択します。

5. [ネットワーク グループ] で、ng-learn-prod-eastus-001 を選択します。 [選択] を選択して、ネットワーク グループを構成に追加します。

6. [視覚化] タブを選択して、構成のトポロジを表示します。 このタブには、構成に追加したネットワーク グループのビジュアル表示が示されます。

   

7. [次へ: 確認および作成] > [作成] の順に選択して構成を作成します。

8. デプロイが完了したら、[更新] を選択します。 [構成] ペインに新しい接続構成が表示されます。

   

接続構成をデプロイする

環境に構成を適用するには、デプロイによって構成をコミットする必要があります。 仮想ネットワークがデプロイされている米国東部リージョンに構成をデプロイします。

1. [設定] で [デプロイ] を選択します。 次に、[構成のデプロイ] を選択します。

2. 次の設定を選択してから、[次へ] を選択します。

   設定	値
   構成	[目標の状態に接続構成を含める] を選択します。
   接続の構成	cc-learn-prod-eastus-001 を選択します。
   ターゲット リージョン	デプロイ リージョンとして [米国東部] を選択します。

3. [デプロイ] を選んで、デプロイを完了します。

4. 選択したリージョンのリストにデプロイが表示されていることを確認します。 構成のデプロイが完了するまでに、数分かかる場合があります。

   

構成のデプロイを確認する

各仮想ネットワークの [ネットワーク マネージャー] セクションを使用して、構成をデプロイしたことを確認します。

1. vnet-learn-prod-eastus-001 仮想ネットワークに移動します。

2. [設定] で [ネットワーク マネージャー] を選択します。

3. [接続構成] タブで、cc-learn-prod-eastus-001 がリストに表示されていることを確認します。

   

4. vnet-learn-prod-eastus-002 で上記の手順を繰り返します。

リソースをクリーンアップする

Azure Virtual Network Manager が不要になった場合、すべての構成、デプロイ、ネットワーク グループを削除した後で削除できます。

1. リージョンからすべての構成を削除するには、Virtual Network Manager から [構成のデプロイ] を選択します。 次の設定を選択してから、[次へ] を選択します。

   

   設定	値
   構成	[目標の状態に接続構成を含める] を選択します。
   接続の構成	[なし - 既存の接続構成を削除] を選択します。
   ターゲット リージョン	デプロイ先のリージョンとして [米国東部] を選択します。

2. [デプロイ] を選択してデプロイの削除を完了します。

3. 構成を削除するには、Virtual Network Manager の左側のペインに進みます。 [設定] で [構成] を選択します。 削除する構成の横にあるチェック ボックスをオンにし、リソース ペインの上部にある [削除] を選択します。

4. [構成を削除する] ペインで、次のオプションを選択して [削除] を選択します。

   

   設定	値
   削除オプション	[リソースとすべての依存リソースを強制的に削除する] を選択します。
   削除の確定	構成の名前を入力します。 この例では、cc-learn-prod-eastus-001 です。

5. ネットワーク グループを削除するには、Virtual Network Manager の左側のペインに進みます。 [設定] で [ネットワーク グループ] を選択します。 削除するネットワーク グループの横にあるチェック ボックスをオンにし、リソース ペインの上部にある [削除] を選択します。

6. [ネットワーク グループの削除] ペインで、次のオプションを選択して [削除] を選択します。

   設定	値
   削除オプション	[リソースとすべての依存リソースを強制的に削除する] を選択します。
   削除の確定	ネットワーク グループの名前を入力します。 この例では、ng-learn-prod-eastus-001 です。

7. [はい] を選択してネットワーク グループの削除を確認します。

8. すべてのネットワーク グループを削除した後、Virtual Network Manager の左側のペインに進みます。 [Overview](概要) 、 [Delete](削除) を順にクリックします。

9. [ネットワーク マネージャーの削除] ペインで、次のオプションを選択して [削除] を選択します。

   設定	値
   削除オプション	[リソースとすべての依存リソースを強制的に削除する] を選択します。
   削除の確定	Virtual Network Manager インスタンスの名前を入力します。 この例では、vnm-learn-eastus-001 です。

10. [はい] を選択して、削除を確認します。

11. リソース グループと仮想ネットワークを削除するには、rg-learn-eastus-001 を見つけて、[リソース グループの削除] を選択します。 テキスト ボックスに「rg-learn-eastus-001」と入力して削除を確認し、[削除] を選択します。

次のステップ

Azure Virtual Network Manager を使用してネットワーク トラフィックをブロックする