Azure Virtual Network についてよく寄せられる質問 (FAQ)
基本操作
仮想ネットワークとは
仮想ネットワークは、Azure Virtual Network サービスによって提供される、クラウド内の独自のネットワークを表しています。 仮想ネットワークは、ご使用のサブスクリプション専用の Azure クラウドを論理的に分離したものです。
仮想ネットワークを使って、Azure で仮想プライベート ネットワーク (VPN) をプロビジョニングおよび管理できます。 必要に応じて、Azure の他の仮想ネットワークまたはオンプレミスの IT インフラストラクチャと仮想ネットワークをリンクして、ハイブリッドまたはクロスプレミス ソリューションを作成できます。
作成する各仮想ネットワークには、独自の CIDR ブロックがあります。 CIDR ブロックが重複しない限り、仮想ネットワークを他の仮想ネットワークやオンプレミス ネットワークにリンクできます。 また、仮想ネットワーク用の DNS サーバーの設定と、仮想ネットワークのサブネットへのセグメント化も制御できます。
仮想ネットワークを使用して、次のことを行います。
クラウドのみの専用プライベート仮想ネットワークを作成します。 場合によって、ソリューションの、クロスプレミス構成は必要ありません。 仮想ネットワークを作成すると、仮想ネットワーク内のサービスと仮想マシン (TM) は、クラウド内で直接かつ安全に相互に通信できます。 VM と、ソリューションの一部としてインターネット通信を必要とするサービスとのエンドポイント接続を構成することができます。
データセンターを安全に拡張します。 仮想ネットワークを使用すると、従来型のサイト間 (S2S) VPN を構築し、セキュリティで保護された方法でデータセンターの容量をスケーリングできます。 S2S VPN は、IPsec を使用して、社内の VPN ゲートウェイと Azure 間の安全な接続を提供します。
ハイブリッド クラウドのシナリオを有効にします。 メインフレームや Unix システムなどの任意の種類のオンプレミス システムにクラウド ベースのアプリケーションを安全に接続することができます。
開始するには?
Azure Virtual Network のドキュメントにアクセスし、開始します。 このコンテンツには、すべての仮想ネットワーク機能の概要とデプロイに関する情報が示されています。
クロスプレミス接続なしで仮想ネットワークを使用できますか?
はい。 プレミスに接続せずに仮想ネットワークを使用することができます。 たとえば、Microsoft Windows Server Active Directory ドメイン コントローラーと SharePoint ファームを Azure 仮想ネットワークのみで実行できます。
仮想ネットワーク間、または仮想ネットワークとオンプレミス データセンターの間で WAN の最適化を実行できますか?
はい。 Azure Marketplace を通じて複数のベンダーから提供されている WAN 最適化のためのネットワーク仮想アプライアンスをデプロイできます。
構成
仮想ネットワークを作成するには、どのようなツールを使用しますか?
作成または仮想ネットワークを構成するのには、次のツールを使用できます。
- Azure Portal
- PowerShell
- Azure CLI
- ネットワーク構成ファイル (
netcfg
クラシック仮想ネットワークの場合のみ)
仮想ネットワークで使用できるアドレス範囲は何ですか?
RFC 1918 で列挙されている次のアドレス範囲を使用することをお勧めします。 IETF では、これらの範囲は、ルーティング不可能なプライベート アドレス空間用に確保されています。
- 10.0.0.0 - 10.255.255.255 (10/8 プレフィックス)
- 172.16.0.0 - 172.31.255.255 (172.16/12 プレフィックス)
- 192.168.0.0 - 192.168.255.255 (192.168/16 プレフィックス)
また、Azure ではプライベート IP アドレス空間として扱われる、RFC 6598 で予約されている共有アドレス空間をデプロイすることもできます。
- 100.64.0.0 - 100.127.255.255 (100.64/10 プレフィックス)
IETF で認識されるプライベートでルーティング不可能な他のすべてのアドレス空間を含む他のアドレス空間は、機能する可能性がありますが、望ましくない副作用が発生する可能性があります。
さらに、以下のアドレス範囲は追加できません。
- 224.0.0.0/4 (マルチキャスト)
- 255.255.255.255/32 (ブロードキャスト)
- 127.0.0.0/8 (ループバック)
- 169.254.0.0/16 (リンク ローカル)
- 168.63.129.16/32 (内部 DNS)
仮想ネットワークでパブリック IP アドレスを使用できますか?
はい。 パブリック IP アドレス範囲の詳細については、仮想ネットワークの作成に関する記事をご覧ください。 パブリック IP アドレスは、インターネットから直接アクセスできません。
仮想ネットワーク内のサブネットの数に制限はありますか。
はい。 詳細については、「ネットワークの制限」を参照してください。 サブネットのアドレス空間は、互いに重複できません。
これらのサブネット内の IP アドレスの使用に関する制限はありますか。
はい。 Azure では、各サブネット内で最初の 4 つのアドレスと最後のアドレスの合計 5 つの IP アドレスが予約されます。
たとえば、IP アドレスの範囲が 192.168.1.0/24 の場合、次のアドレスが予約されます。
- 192.168.1.0: ネットワーク アドレス。
- 192.168.1.1: 既定のゲートウェイ用に Azure によって予約されています。
- 192.168.1.2、192.168.1.3: Azure DNS IP アドレスを仮想ネットワーク空間にマップするために Azure によって予約されています。
- 192.168.1.255: ネットワーク ブロードキャスト アドレス。
仮想ネットワークとサブネットのサイズはどのくらい小さく、どの程度ですか?
サポートされる最小の IPv4 サブネットは /29、最大は /2 です (CIDR サブネット定義を使用)。 IPv6 のサブネットは、正確に /64 のサイズである必要があります。
仮想ネットワークを使用して、社内の VLAN を Azure に移行できますか?
不正解です。 仮想ネットワークはレイヤー 3 のオーバーレイです。 Azure では、任意のレイヤー 2 のセマンティクスはサポートされません。
仮想ネットワークとサブネットにカスタム ルーティング ポリシーを指定できますか?
はい。 ルート テーブルを作成してサブネットに関連付けることができます。 Azure でのルーティングの詳細については、「カスタム ルート」を参照してください。
サブネットに NSG と UDR の両方を適用すると、どのような動作になりますか?
受信トラフィックの場合、ネットワーク セキュリティ グループ (NSG) の受信規則が処理されます。 送信トラフィックの場合、NSG アウトバウンド規則に続いてユーザー定義ルート (UDR) 規則が処理されます。
VM の NIC とサブネットに NSG を適用すると、どのような動作になりますか?
ネットワーク アダプター (NIC) と VM のサブネットの両方で NSG を適用する場合:
- サブネット レベルの NSG に続いて NIC レベルの NSG が受信トラフィックに対して処理されます。
- NIC レベルの NSG に続いてサブネット レベルの NSG が送信トラフィックに対して処理されます。
仮想ネットワークでマルチキャストやブロードキャストはサポートされていますか?
不正解です。 マルチキャストとブロードキャストはサポートされていません。
仮想ネットワークではどのようなプロトコルを使用できますか?
仮想ネットワークでは、TCP、UDP、ESP、AH、ICMP TCP/IP プロトコルを使用することができます。
ユニキャストは仮想ネットワークでサポートされています。 マルチキャスト、ブロードキャスト、IP-in-IP のカプセル化されたパケット、Generic Routing Encapsulation (GRE) のパケットは、仮想ネットワークでブロックされます。 ユニキャスト (発信元ポート UDP/68、宛先ポート UDP/67) 経由で動的ホスト構成プロトコル (DHCP) は使用できません。 UDP 発信元ポート 65330 はホスト用に予約されています。
仮想ネットワークに DHCP サーバーをデプロイできますか?
Azure 仮想ネットワークは、Azure Virtual Machines に DHCP サービスと DNS を提供します。 ただし、DHCP サーバーを Azure VM にデプロイして、DHCP リレー エージェント経由でオンプレミスのクライアントにサービスを提供することもできます。
Azure でポート UDP/67 へのトラフィックがレート制限されていたため、Azure での DHCP サーバーは、以前は対象外と見なされていました。 しかし、最近のプラットフォーム更新プログラムでレート制限が削除され、この機能が有効になりました。
Note
オンプレミスのクライアントから DHCP サーバーへのトラフィック (ソース ポート UDP/68、宛先ポート UDP/67) は、インターセプトされ、異なる方法で処理されるため、このトラフィックは引き続き Azure ではサポートされません。 これにより、クライアントが Azure の DHCP サーバーに直接アクセスしようとすると、T1 での DHCP RENEW のときにタイムアウト メッセージが発生します。 DHCP リレー エージェントによって T2 に DHCP RENEW が試みられたときは、DHCP RENEW は成功します。 DHCP RENEW タイマー T1 および T2 の詳細については、RFC 2131 を参照してください。
仮想ネットワーク内の既定のゲートウェイに ping を実行できますか?
不正解です。 Azure が提供する既定のゲートウェイは、ping に応答しません。 ただし、仮想ネットワークで ping を使用して、VM 間の接続の確認とトラブルシューティングを行うことができます。
Tracert を使用して、接続を診断することができますか。
はい。
仮想ネットワークの作成後にサブネットを追加できますか?
はい。 これらの両方の条件に当てはまる限り、いつでも仮想ネットワークにサブネットを追加できます。
- サブネット アドレス範囲が別のサブネットの一部ではない。
- 仮想ネットワークのアドレス範囲に使用可能な領域がある。
作成した後、サブネットのサイズを変更できますか。
はい。 VM またはサービスがサブネット内にデプロイされていない場合は、サブネットを追加、削除、拡張、または縮小できます。
作成後に仮想ネットワークを変更できますか?
はい。 仮想ネットワークで使用される CIDR ブロックを追加、削除、変更できます。
仮想ネットワークで自社のサービスを実行しているときに、インターネットに接続できますか?
はい。 仮想ネットワークにデプロイしたすべてのサービスは、インターネットに送信接続できます。 Azure での送信インターネット接続の詳細については、「送信接続での送信元ネットワーク アドレス変換 (SNAT)を使用する」を参照してください。
Azure Resource Manager を使用してデプロイされたリソースに受信接続するには、リソースにパブリック IP アドレスが割り当てられている必要があります。 詳細については、「Azure パブリック IP アドレスを作成、変更、または削除する」を参照してください。
Azure にデプロイされたすべてのクラウド サービスには、アドレス指定可能な仮想 IP (VIP) がパブリックに割り当てられています。 サービスとしてのプラットフォーム (PaaS) ロールの入力エンドポイントと仮想マシンのエンドポイントを定義して、これらのサービスがインターネットからの接続を承諾できるようにします。
仮想ネットワークは IPv6 をサポートしていますか?
はい。 仮想ネットワークは IPv4 専用かデュアル スタック (IPv4+IPv6) になります。 詳細については、「Azure 仮想ネットワークの IPv6 とは」を参照してください。
仮想ネットワークはリージョンにまたがることができますか?
不正解です。 1 つの仮想ネットワークは、単一リージョンに制限されます。 しかし、仮想ネットワークは複数の可用性ゾーンにまたがります。 可用性ゾーンの詳細については、「Azure リージョンと可用性ゾーンとは」を参照してください。
仮想ネットワーク ピアリングを使用して、別々のリージョンにある仮想ネットワークを接続できます。 詳細については、「仮想ネットワーク ピアリング」を参照してください。
Azure で仮想ネットワークを別の仮想ネットワークに接続できますか?
はい。 次のいずれかを使用して、ある仮想ネットワークを別の仮想ネットワークに接続できます。
- 仮想ネットワーク ピアリング。 詳細については、「仮想ネットワーク ピアリング」を参照してください。
- Azure VPN ゲートウェイ。 詳細については、ネットワーク間 VPN ゲートウェイ接続の構成に関するページを参照してください。
名前解決 (DNS)
仮想ネットワークの DNS オプションは何ですか?
使用可能な DNS オプションについて確認するには、「Azure 仮想ネットワーク内のリソースの名前解決」にあるディシジョン テーブルを使用してください。
仮想ネットワークに対して DNS サーバーを指定できますか?
はい。 仮想ネットワークの設定で DNS サーバーの IP アドレスを指定できます。 設定は、仮想ネットワーク内のすべての VM の 1 つ以上の DNS サーバーとして適用されます。
DNS サーバーの数を指定できますか。
「ネットワークの制限」を参照してください。
ネットワークを作成した後、DNS サーバーを変更できますか?
はい。 仮想ネットワークの DNS サーバーの一覧はいつでも変更できます。
DNS サーバーの一覧を変更する場合は、仮想ネットワーク内の影響を受けるすべての VM 上で DHCP リースの更新を実行する必要があります。 新しい DNS 設定は、リースの更新後に有効になります。 Windows を実行している VM の場合は、VM 上で直接「ipconfig /renew
」を入力してリースを更新できます。 その他の OS の種類については、DHCP リースの更新に関するドキュメントを参照してください。
Azure で提供される DNS はどのようなもので、仮想ネットワークでも使用できますか?
Azure で提供される DNS は、Microsoft のマルチテナント DNS サービスです。 Azure は、すべての VM とクラウド サービス ロール インスタンスをこのサービスに登録します。 このサービスで、次の名前解決が提供されます。
- 同じクラウド サービス内の VM とロール インスタンスのホスト名による。
- 同じ仮想ネットワーク内の VM とロール インスタンスの完全修飾ドメイン メイン (FQDN) による。
DNS の解決の詳細については、「Azure 仮想ネットワーク内のリソースの名前解決」を参照してください。
Azure で提供される DNS 経由のテナント間名前解決は、仮想ネットワークの最初の 100 個のクラウド サービスまでに制限されます。 独自の DNS サーバーを使用している場合は、この制限は適用されません。
VM またはクラウド サービスごとに、DNS 設定をオーバーライドできますか?
はい。 VM またはクラウド サービスごとに DNS サーバーを設定し、既定のネットワーク設定をオーバーライドすることができます。 ただし、できるだけネットワーク全体の DNS を使用することをお勧めします。
独自の DNS サフィックスを取り込むことができますか。
不正解です。 ご使用の仮想ネットワークのカスタム DNS サフィックスを指定することはできません。
仮想マシンの接続
仮想ネットワークに VM をデプロイできますか?
はい。 Resource Manager デプロイ モデルを使用してデプロイされた VM に接続されているすべてのネットワーク アダプター (NIC) は、仮想ネットワークに接続されている必要があります。 必要に応じて、クラシック デプロイ モデルを使用してデプロイされた VM を仮想ネットワークに接続できます。
VM に割り当てることができる IP アドレスにはどのような種類がありますか?
プライベート: 静的または動的な方法を使用して、各 VM 内の各 NIC に割り当てられます。 プライベート IP アドレスは、仮想ネットワークのサブネット設定で指定した範囲から割り当てられます。
クラシック デプロイ モデルを使用してデプロイされたリソースは、仮想ネットワークに接続されていなくてもプライベート IP アドレスが割り当てられます。 割り当て方法の動作は、Resource Manager デプロイ モデルとクラシック デプロイ モデルのどちらを使用してリソースをデプロイしたかによって異なります。
- Resource Manager: 動的または静的な方法を使用して割り当てられたプライベート IP アドレスは、リソースが削除されるまで、仮想マシン (Resource Manager) に割り当てられたままになります。 異なるのは、静的な方法を使用する場合は割り当てるアドレスをユーザーが選択し、動的な方法を使用する場合は Azure が選択するという点です。
- クラシック: 動的な方法で割り当てられたプライベート IP アドレスは、仮想マシン (クラシック) が停止 (割り当て解除) 状態になった後で再起動されたときに変更される可能性があります。 クラシック デプロイ モデルを使用してデプロイされるリソースのプライベート IP アドレスを固定する必要がある場合は、静的な方法を使用してプライベート IP アドレスを割り当ててください。
パブリック: 必要に応じて、Resource Manager デプロイ モデルを使用してデプロイされた VM に接続されている NIC に割り当てられます。 静的または動的な割り当て方法を使用してアドレスを割り当てることができます。
クラシック デプロイ モデルを使用してデプロイされたすべての VM および Azure Cloud Services ロール インスタンスは、クラウド サービス内に存在します。 クラウド サービスには、動的なパブリック VIP アドレスが割り当てられています。 パブリックな静的 IP アドレスは、予約済み IP アドレスと呼ばれ、必要に応じて VIP として割り当てることができます。
パブリック IP アドレスは、クラシック デプロイ モデルを使用してデプロイされた個々の VM または Cloud Services ロール インスタンスに割り当てることができます。 これらのアドレスは、インスタンス レベルのパブリック IP アドレスと呼ばれ、動的に割り当てることができます。
後で作成する VM 用にプライベート IP アドレスを予約することはできますか?
不正解です。 プライベート IP アドレスを予約することはできません。 プライベート IP アドレスが使用可能な場合は、DHCP サーバーによって VM またはロール インスタンスに割り当てられます。 その VM は、プライベート IP アドレスを割り当てたい VM である場合も、そうでない場合もあります。 ただし、既存の VM のプライベート IP アドレスを、任意の使用可能なプライベート IP アドレスに変更することができます。
仮想ネットワーク内の VM のプライベート IP アドレスは変更されますか?
一概には言えません。 Resource Managerを使用して VM をデプロイした場合、静的と動的のどちらの割り当て方法を使用してアドレスを割り当てたかに関係なく、IP アドレスを変更することはできません。 クラシック デプロイ モデルを使用して VM をデプロイした場合、停止 (割り当て解除) 状態の VM を起動すると、動的 IP アドレスが変更される可能性があります。
このアドレスは、いずれかのデプロイ モデルを使用してデプロイされた VM を削除すると、その VM から解放されます。
VM オペレーティング システム内の NIC に手動で IP アドレスを割り当てることはできますか。
はい。しかし、必要な場合 (仮想マシンに複数の IP アドレスを割り当てる場合など) 以外はお勧めしません。 詳細については、「仮想マシンに複数の IP アドレスを割り当てる」を参照してください。
VM にアタッチされた Azure NIC に割り当てられている IP アドレスが変更され、VM オペレーティング システム内の IP アドレスと異なる場合は、VM への接続が失われます。
クラウド サービス デプロイ スロットを停止した場合や、オペレーティング システム内から VM をシャットダウンした場合、IP アドレスはどうなりますか?
何も起きない。 IP アドレス (パブリック VIP、パブリック、プライベート) は、クラウド サービス デプロイ スロットまたは VM に割り当てられたままとなります。
仮想ネットワーク内のサブネット間で再デプロイせずに VM を移動することはできますか?
はい。 詳細については、異なるサブネットへの VM またはロール インスタンスの移動に関するページを参照してください。
VM に静的な MAC アドレスを構成できますか。
不正解です。 MAC アドレスを静的に構成することはできません。
VM の MAC アドレスは、作成後は同じままになりますか?
はい。 MAC アドレスは、Resource Manager デプロイ モデルを使用してデプロイした VM とクラシック デプロイ モデルを使用してデプロイした VM のどちらの場合も、削除されるまで同じままです。
以前は、VM を停止 (割り当て解除) した場合、MAC アドレスが解放されていました。 しかし、VM が割り当て解除された状態になったときに、その MAC アドレスが保持されるようになりました。 次のいずれかのタスクを実行するまで、MAC アドレスはネットワーク アダプターに割り当てられたままになります。
- ネットワーク アダプターを削除する。
- プライマリ ネットワーク アダプターのプライマリ IP 構成に割り当てられているプライベート IP アドレスを変更する。
仮想ネットワークに接続する Azure サービス
Web Apps を仮想ネットワークと連動できますか?
はい。 App Service Environment を使用して、仮想ネットワーク内に Azure App Service の Web Apps 機能をデプロイできます。 次に以下のことを行えます。
- 仮想ネットワーク統合を使用して、アプリのバックエンドを仮想ネットワークに接続する。
- サービス エンドポイントを使用して、アプリへの受信トラフィックをロックダウンする。
詳細については、次の記事を参照してください。
- App Service のネットワーク機能
- App Service Environment を使用する
- アプリを Azure 仮想ネットワークに統合する
- Azure App Service のアクセス制限を設定する
仮想ネットワーク内に Web ロールとワーカー ロール (PaaS) と共に Cloud Services をデプロイできますか?
はい。 Cloud Services ロール インスタンスは、仮想ネットワークに (オプションで) デプロイできます。 そのためには、サービス構成のネットワーク構成セクションで、仮想ネットワークの名前と、ロールとサブネットのマッピングを指定します。 どのバイナリも更新する必要はありません。
仮想マシン スケール セットを仮想ネットワークに接続することはできますか?
はい。 仮想マシン スケール セットは仮想ネットワークに接続する必要があります。
仮想ネットワーク内にリソースをデプロイできる Azure サービスの完全な一覧はありますか?
はい。 詳細については、「仮想ネットワークに専用の Azure サービスをデプロイする」を参照してください。
仮想ネットワークから Azure PaaS リソースへのアクセスを制限するにはどうすればよいですか?
Azure Storage、Azure SQL Database などの一部の Azure PaaS サービスを使用してデプロイされたリソースは、仮想ネットワーク サービス エンドポイントまたは Azure Private Link の使用によって、仮想ネットワークへのネットワーク アクセスを制限できます。 詳細については、「仮想ネットワーク サービス エンドポイント」と、「Azure Private Link とは」を参照してください。
仮想ネットワークの内外でサービスを移動することはできますか?
不正解です。 サービスを仮想ネットワークに移動、または仮想ネットワークから移動することはできません。 リソースを別の仮想ネットワークに移動するには、リソースを削除して再デプロイする必要があります。
Security
仮想ネットワークのセキュリティ モデルは何ですか?
仮想ネットワークは、Azure インフラストラクチャ内でホストされている他の仮想ネットワークや他のサービスから分離されています。 仮想ネットワークは信頼境界です。
仮想ネットワークに接続されているリソースに対して受信または送信トラフィック フローを制限できますか?
はい。 仮想ネットワーク内の個々のサブネット、仮想ネットワークに接続された NIC、またはその両方にネットワーク セキュリティ グループを適用できます。
仮想ネットワークに接続されているリソース間にファイアウォールを実装できますか?
はい。 Azure Marketplace を通じて複数のベンダーから提供されているファイアウォール ネットワーク仮想アプライアンスをデプロイできます。
仮想ネットワークのセキュリティ保護に関する情報はありますか?
はい。 「Azure のネットワーク セキュリティの概要」を参照してください。
顧客データは仮想ネットワークに格納されるのですか?
不正解です。 仮想ネットワークに顧客データは格納されません。
FlowTimeoutInMinutes プロパティをサブスクリプション全体に設定することはできますか?
不正解です。 FlowTimeoutInMinutes プロパティは仮想ネットワークで設定する必要があります。 次のコードは、大規模なサブスクリプションに対してこのプロパティを自動的に設定するのに役立ちます。
$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking.
ForEach ($vnet in $Allvnet)
{
$vnet.FlowTimeoutInMinutes = $time
$vnet | Set-AzVirtualNetwork
}
API、スキーマ、およびツール
コードから仮想ネットワークを管理できますか?
はい。 Azure Resource Manager とクラシックのデプロイ モデルで、仮想ネットワーク用の REST API を使用できます。
仮想ネットワークのツールサポートはありますか?
はい。 次のツールを使用できます。
- Azure portal。Azure Resource Manager およびクラシック デプロイ モデルを使用して仮想ネットワークをデプロイするために使用します。
- PowerShell。Resource Manager デプロイ モデルを使用してデプロイされた仮想ネットワークを管理するために使用します。
- Azure CLI または Azure クラシック CLI。Resource Manager およびクラシック デプロイ モデルを使用してデプロイされた仮想ネットワークをデプロイおよび管理するために使用します。
仮想ネットワーク ピアリング
仮想ネットワーク ピアリングとはどのようなものですか?
仮想ネットワーク ピアリングを使用すると、仮想ネットワークを接続できます。 仮想ネットワーク間のピアリング接続では、IPv4 アドレスによってそれらの間でトラフィックをプライベートにルーティングできます。
ピアリングされた仮想ネットワーク内の仮想マシンは、同じネットワーク内にあるかのように相互に通信できます。 これらの仮想ネットワークは、同じリージョン内にあっても異なるリージョン内にあってもかまいません (グローバル仮想ネットワーク ピアリングとも呼ばれます)。
また、Azure サブスクリプション間で仮想ネットワーク ピアリング接続を作成することもできます。
別のリージョンの仮想ネットワークへのピアリング接続を作成できますか?
はい。 グローバル仮想ネットワーク ピアリングにより、異なるリージョンの仮想ネットワークをピアリングすることができます。 グローバル仮想ネットワーク ピアリングは、すべての Azure パブリック リージョン、China Cloud リージョン、Government Cloud リージョンで使用できます。 Azure パブリック リージョンから国内クラウド リージョンに、グローバルにピアリングすることはできません。
グローバル仮想ネットワーク ピアリングとロード バランサーに関連する制約は何ですか?
2 つのリージョンの 2 つの仮想ネットワークがグローバル仮想ネットワーク ピアリングでピアリングされている場合、ロード バランサーのフロント エンド IP 経由で Basic ロード バランサーの背後にあるリソースに接続することはできません。 Standard ロード バランサーの場合、この制限はありません。
次のリソースでは Basic ロード バランサーを利用できます。つまり、グローバル仮想ネットワーク ピアリングで、ロード バランサーのフロント エンド IP 経由でリソースに到達できません。 ただし、許可されている場合、グローバル仮想ネットワーク ピアリングを使用して、プライベート仮想ネットワーク IP 経由で直接、リソースに到達できます。
- Basic ロード バランサーの背後にある VM
- Basic ロード バランサーを使用する仮想マシン スケール セット
- Azure Cache for Redis
- Azure Application Gateway v1
- Azure Service Fabric
- Azure API Management stv1
- Microsoft Entra Domain Services
- Azure Logic Apps
- Azure HDInsight
- Azure Batch
- App Service Environment v1 および v2
これらのリソースには、Azure ExpressRoute 経由で接続することも、仮想ネットワーク ゲートウェイを介したネットワーク間接続で接続することもできます。
仮想ネットワークが別の Microsoft Entra テナント内のサブスクリプションに属する場合、仮想ネットワーク ピアリングを有効にできますか?
はい。 サブスクリプションが別の Microsoft Entra テナントに属している場合、仮想ネットワーク ピアリング (ローカルまたはグローバルのどちらでも) を確立できます。 この操作は Azure portal、PowerShell、または Azure CLI から実行できます。
仮想ネットワーク ピアリング接続が開始済み状態になっています。 接続できないのはなぜですか?
ピアリング接続が開始済み状態になっている場合は、作成したリンクが 1 つのみです。 接続を正常に確立するには、双方向のリンクを作成する必要があります。
VNetA から VNetB にピアリングするには、VNetA から VNetB、および VNetB から VNetA へのリンクを作成する必要があります。 両方のリンクを作成すると、状態が "接続済み" に変更されます。
仮想ネットワーク ピアリング接続が切断状態になっています。 ピアリング接続を作成できないのはなぜですか?
仮想ネットワーク ピアリング接続が切断状態になっている場合は、作成したリンクの 1 つが削除されました。 ピアリング接続を再確立するには、残りのリンクを削除し、両方を再作成する必要があります。
仮想ネットワークを別のサブスクリプションの仮想ネットワークとピアリングできますか?
はい。 サブスクリプションおよびリージョンをまたいで仮想ネットワークをピアリングできます。
アドレス範囲が一致するか重複している 2 つの仮想ネットワークをピアリングできますか?
不正解です。 アドレス空間が重複している場合、仮想ネットワーク ピアリングを有効にすることはできません。
両方のピアリングで [リモート ゲートウェイを使用する] オプションが有効になっている 2 つの仮想ネットワークに仮想ネットワークをピアリングできますか?
不正解です。 [リモート ゲートウェイを使用する] オプションは、仮想ネットワークのいずれかに対する 1 つのピアリングでのみ有効にすることができます。
ピアリング接続を持つ仮想ネットワークを別の仮想ネットワークに移動できますか?
いいえ。 ピアリング接続を持つ仮想ネットワークを別の仮想ネットワークに移動することはできません。 仮想ネットワークを移動する前に、ピアリング接続を削除する必要があります。
仮想ネットワーク ピアリング リンクの料金はどれくらいですか?
仮想ネットワーク ピアリング接続を作成するのに料金はかかりません。 ピアリング接続経由でのデータ転送には料金が発生します。 詳細については、Azure Virtual Network の価格ページを参照してください。
仮想ネットワーク ピアリングのトラフィックは暗号化されますか?
Azure のトラフィックが (Microsoft または Microsoft の代理によって制御されていない物理的境界の外部で) データセンター間を移動する場合、基になるネットワーク ハードウェアでは MACsec データリンク層暗号化が使用されます。 この暗号化は、仮想ネットワーク ピアリング トラフィックに適用されます。
ピアリング接続が "切断" 状態にあるのはなぜですか。
1 つの仮想ネットワーク ピアリング リンクが削除されると、仮想ネットワーク ピアリング接続は切断状態になります。 ピアリング接続を正常に再度確立するには、両方のリンクを削除する必要があります。
VNetA から VNetB にピアリングし、VNetB から VNetC にピアリングすると、VNetA と VNetC がピアリングされたことになりますか。
いいえ。 推移的なピアリングはサポートされません。 VNetA と VNetC を手動でピアリングする必要があります。
ピアリング接続に帯域幅制限はありますか。
不正解です。 ローカルであってもグローバルであっても、仮想ネットワーク ピアリングで帯域幅制限は課されません。 帯域幅は VM やコンピューティング リソースによってのみ制限されます。
仮想ネットワーク ピアリングに関する問題をトラブルシューティングするにはどうすればよいですか?
トラブルシューティング ガイドをお試しください。
仮想ネットワーク TAP
仮想ネットワーク TAP はどの Azure リージョンで利用できますか。
仮想ネットワーク ターミナル アクセス ポイント (TAP) のプレビューは、すべての Azure リージョンで利用できます。 監視対象のネットワーク アダプター、仮想ネットワーク TAP リソース、およびコレクターまたは分析ソリューションは、同じリージョンにデプロイする必要があります。
仮想ネットワーク TAP では、ミラー化されたパケットに対するフィルター処理機能がサポートされていますか?
仮想ネットワーク TAP のプレビュー版では、フィルター処理機能はサポートされていません。 TAP 構成をネットワーク アダプターに追加すると、ネットワーク アダプター上のすべてのイングレス トラフィックとエグレス トラフィックのディープ コピーが、TAP のターゲットにストリーミングされます。
監視対象のネットワーク アダプターに複数の TAP 構成を追加できますか?
監視対象のネットワーク アダプターに追加できる TAP 構成は 1 つだけです。 ユーザーが選択した分析ツールに TAP トラフィックの複数コピーをストリーム配信する機能については、個別のパートナー ソリューションを確認してください。
同じ仮想ネットワーク TAP リソースで、複数の仮想ネットワーク内の監視対象ネットワーク アダプターからのトラフィックを集約できますか?
はい。 同じ仮想ネットワーク TAP リソースを使用して、同じサブスクリプションまたは異なるサブスクリプションのピアリングされた仮想ネットワークにある監視対象ネットワーク アダプターからのミラー化されたトラフィックを集約できます。
仮想ネットワーク TAP リソースと、宛先ロード バランサーまたは宛先ネットワーク アダプターは、同じサブスクリプションに含まれる必要があります。 すべてのサブスクリプションが同じ Microsoft Entra テナントに存在する必要があります。
ネットワーク アダプターで仮想ネットワーク TAP 構成を有効にする場合、運用環境のトラフィックのパフォーマンスについて考慮することがありますか?
仮想ネットワーク TAP はプレビュー段階です。 プレビュー期間中は、サービス レベル アグリーメントはありません。 運用環境のワークロードにはこの機能を使用しないでください。
TAP 構成で仮想マシンのネットワーク アダプターを有効にすると、運用トラフィックを送信するために仮想マシンに割り当てられている Azure ホスト上の同じリソースを使用して、ミラーリング機能が実行され、ミラー化されたパケットが送信されます。 運用トラフィックとミラー化されたトラフィックを送信するのに十分なリソースを仮想マシンが利用できるように、Linux または Windows の適切な仮想マシン サイズを選択してください。
仮想ネットワーク TAP では、Linux または Windows に対する高速ネットワークはサポートされていますか。
Linux または Windows の高速ネットワークが有効になっている仮想マシンに接続されたネットワーク アダプターに TAP 構成を追加できます。 ただし、Azure 高速ネットワークでは現在、ミラーリング トラフィックのオフロードがサポートされていないため、TAP 構成を追加すると、仮想マシンのパフォーマンスと待機時間に影響します。
仮想ネットワーク サービス エンドポイント
Azure サービスに対するサービス エンドポイントを設定するにはどのような操作手順が正しいですか。
サービス エンドポイントを介して Azure サービス リソースをセキュリティ保護するには 2 つのステップがあります。
- Azure サービスに対するサービス エンドポイントを有効にします。
- Azure サービスで仮想ネットワーク アクセス制御リスト (ACL) を設定します。
最初のステップはネットワーク側の操作であり、2 番目のステップはサービス リソース側の操作です。 管理者ロールに付与されている Azure ロールベースのアクセス制御 (RBAC) のアクセス許可に基づいて、同じ管理者または異なる管理者がステップを実行できます。
Azure サービス側で仮想ネットワーク ACL を設定する前に、仮想ネットワークに対してサービス エンドポイントを有効にすることをお勧めします。 仮想ネットワーク サービス エンドポイントを設定するには、前のシーケンスの手順を実行する必要があります。
Note
Azure サービスへのアクセスを、許可された仮想ネットワークとサブネットに制限する前に、上記の両方の操作を完了する必要があります。 ネットワーク側で Azure サービスに対してサービス エンドポイントを有効にするだけでは、制限付きアクセスは提供されません。 Azure サービス側で仮想ネットワーク ACL を設定する必要もあります。
一部のサービス (Azure SQL、Azure Cosmos DB など) では、IgnoreMissingVnetServiceEndpoint
フラグを使用して上記の手順に対する例外を設定できます。 フラグを True
に設定した後、ネットワーク側でサービス エンドポイントを有効にする前に、Azure サービス側で仮想ネットワーク ACL を設定できます。 Azure サービスでこのフラグが提供されているのは、Azure サービスで特定の IP ファイアウォールが構成されている場合に、お客様を支援するためです。
ネットワーク側でサービス エンドポイントを有効にすると、送信元 IP がパブリック IPv4 アドレスからプライベート アドレスに変わるため、接続が断たれる可能性があります。 ネットワーク側でサービス エンドポイントを有効にする前に、Azure サービス側で仮想ネットワーク ACL を設定すると、接続が断たれるのを防ぐことができます。
Note
"Microsoft.AzureActiveDirectory" のような特定のサービスでサービス エンドポイントを有効にすると、サインイン ログに IPV6 アドレス接続が表示されます。 Microsoft では、この種類の接続に内部 IPV6 プライベート範囲を使用します。
すべての Azure サービスは、顧客が提供する Azure 仮想ネットワーク内に存在しますか? 仮想ネットワーク サービス エンドポイントは Azure サービスでどのように動作しますか?
すべての Azure サービスが顧客の仮想ネットワーク内に存在するわけではありません。 ほとんどの Azure データ サービス (Azure Storage、Azure SQL、Azure Cosmos DB など) は、パブリック IP アドレス経由でアクセスできるマルチテナント サービスです。 詳細については、「仮想ネットワークに専用の Azure サービスをデプロイする」を参照してください。
ネットワーク側で仮想ネットワーク サービス エンドポイントを有効にし、Azure サービス側で適切な仮想ネットワーク ACL を設定すると、Azure サービスへのアクセスは、許可された仮想ネットワークとサブネットに制限されます。
仮想ネットワーク サービス エンドポイントではどのようにセキュリティが提供されますか?
仮想ネットワーク サービス エンドポイントは、Azure サービスのアクセスを許可された仮想ネットワークとサブネットに制限します。 これにより、ネットワーク レベルのセキュリティと、Azure サービス トラフィックの分離が提供されます。
仮想ネットワーク サービス エンドポイントを使用するすべてのトラフィックが Microsoft のバックボーンを経由することで、パブリック インターネットからのもう 1 つの分離レイヤーが提供されます。 また、お客様は、Azure サービス リソースへのパブリック インターネット アクセスを完全に削除し、IP ファイアウォールと仮想ネットワーク ACL の組み合わせを経由する仮想ネットワークからのトラフィックだけを許可できます。 インターネット アクセスを削除すると、承認されていないアクセスから Azure サービス リソースを保護できます。
仮想ネットワーク サービス エンドポイントで保護されるのは、仮想ネットワーク リソースですか、それとも Azure サービス リソースですか?
仮想ネットワーク サービス エンドポイントは、Azure サービス リソースを保護するのに役立ちます。 仮想ネットワーク リソースは、ネットワーク セキュリティ グループを通して保護されます。
仮想ネットワーク サービス エンドポイントを使用するにはコストがかかりますか?
不正解です。 仮想ネットワーク サービス エンドポイントを使用するための追加コストはありません。
仮想ネットワークと Azure サービス リソースが異なるサブスクリプションに属している場合、仮想ネットワーク サービス エンドポイントを有効にして、仮想ネットワーク ACL を設定できますか?
はい、できます。 仮想ネットワークと Azure サービス リソースは、同じサブスクリプション配下でも別々のサブスクリプション配下でもかまいません。 唯一の要件は、仮想ネットワークと Azure サービス リソースの両方が、同じ Microsoft Entra テナントの下に存在する必要があることです。
仮想ネットワークと Azure サービス リソースが異なる Microsoft Entra テナントに属している場合、仮想ネットワーク サービス エンドポイントを有効にして、仮想ネットワーク ACL を設定できますか?
はい。Azure Storage と Azure Key Vault にサービス エンドポイントを使用する場合は可能です。 その他のサービスの場合、仮想ネットワーク サービス エンドポイントと仮想ネットワーク ACL は、Microsoft Entra テナント間ではサポートされません。
Azure 仮想ネットワーク ゲートウェイ (VPN) または ExpressRoute ゲートウェイを介して接続されているオンプレミス デバイスの IP アドレスで、仮想ネットワーク サービス エンドポイント経由で Azure PaaS サービスにアクセスできますか?
既定では、仮想ネットワークからのアクセスに限定された Azure サービス リソースは、オンプレミスのネットワークからはアクセスできません。 オンプレミスからのトラフィックを許可する場合は、オンプレミスまたは ExpressRoute からのパブリック IP アドレス (通常は NAT) を許可する必要もあります。 これらの IP アドレスは、Azure サービス リソースの IP ファイアウォール構成を使用して追加できます。
または、サポートされているサービスにプライベート エンドポイントを実装することもできます。
仮想ネットワーク サービス エンドポイントを使用して、Azure サービスへのアクセスを 1 つの仮想ネットワーク内または複数の仮想ネットワークにまたがる複数のサブネットに限定できますか?
Azure サービスへのアクセスを 1 つの仮想ネットワーク内または複数の仮想ネットワークにまたがる複数のサブネットに限定するには、ネットワーク側でサブネットごとに個別にサービス エンドポイントを有効にします。 次に、Azure サービス側で適切な仮想ネットワーク ACL を設定して、Azure サービス リソースへのアクセスをすべてのサブネットに限定します。
仮想ネットワークから Azure サービスへの送信トラフィックをフィルター処理しながら、サービス エンドポイントを使用するには、どうすればよいですか。
仮想ネットワークから Azure サービスへのトラフィックを検査またはフィルター処理する場合は、仮想ネットワーク内にネットワーク仮想アプライアンスをデプロイします。 その後、ネットワーク仮想アプライアンスがデプロイされているサブネットにサービス エンドポイントを適用し、仮想ネットワーク ACL を使用してこのサブネットのみに Azure サービス リソースへのアクセスを限定します。
また、このシナリオは、ネットワーク仮想アプライアンス フィルタリングを使用して、ご利用の仮想ネットワークから Azure サービスへのアクセスを特定の Azure リソースにのみ制限する場合に役立ちます。 詳細については、「高可用性 NVA をデプロイする」を参照してください。
仮想ネットワーク ACL が有効になっている Azure サービス アカウントに、だれかが仮想ネットワークの外部からアクセスするとどうなりますか?
サービスからは HTTP 403 または HTTP 404 エラーが返されます。
他のリージョンで作成された仮想ネットワークのサブネットは、別のリージョンの Azure サービス アカウントにアクセスできますか。
はい。 ほとんどの Azure サービスについて、異なるリージョンで作成された仮想ネットワークから、仮想ネットワーク サービス エンドポイント経由で別のリージョンの Azure サービスにアクセスできます。 たとえば、Azure Cosmos DB アカウントが米国西部または米国東部リージョンにあり、仮想ネットワークが複数のリージョンにある場合、仮想ネットワークは Azure Cosmos DB にアクセスできます。
Azure SQL は例外であり、リージョン内のみで使用します。 仮想ネットワークと Azure サービスの両方が同じリージョンに存在する必要があります。
Azure サービスで仮想ネットワーク ACL と IP ファイアウォールの両方を使用できますか?
はい。 仮想ネットワーク ACL と IP ファイアウォールは共存できます。 分離とセキュリティが確実になるように、機能が相互に補完します。
Azure サービス用のサービス エンドポイントが有効になっている仮想ネットワークまたはサブネットを削除するとどうなりますか?
仮想ネットワークの削除とサブネットの削除は、独立した操作です。 これらは、Azure サービスのサービス エンドポイントを有効にした場合でもサポートされます。
Azure サービスの仮想ネットワーク ACL を設定した場合、仮想ネットワーク サービス エンドポイントが有効になっている仮想ネットワークまたはサブネットを削除すると、それらの Azure サービスに関連付けられている ACL 情報は無効になります。
仮想ネットワーク サービス エンドポイントが有効になっている Azure サービス アカウントを削除するとどうなりますか?
Azure サービス アカウントの削除は独立した操作です。 ネットワーク側でサービス エンドポイントを有効にし、Azure サービス側で仮想ネットワーク ACL を設定した場合でも、サポートされます。
仮想ネットワーク サービス エンドポイントが有効になったリソース (サブネット内の VM など) の送信元 IP アドレスはどうなりますか?
仮想ネットワーク サービス エンドポイントを有効にした場合、仮想ネットワークのサブネット内にあるリソースの送信元 IP アドレスは、Azure サービスへのトラフィックで、パブリック IPV4 アドレスを使用するのではなく Azure 仮想ネットワークのプライベート IP アドレスを使用するように切り替えられます。 この切り替えによって、Azure サービスで以前にパブリック IPv4 アドレスに対して設定されている特定の IP ファイアウォールが失敗する可能性があることに注意してください。
サービス エンドポイントのルートは常に優先されますか。
サービス エンドポイントでは、Border Gateway Protocol (BGP) ルートより優先されるシステム ルートが追加され、サービス エンドポイントのトラフィックに対して最適なルーティングが提供されます。 サービス エンドポイントでは常に、ユーザーの仮想ネットワークから Microsoft Azure のバックボーン ネットワーク上のサービスへのサービス トラフィックが、直接受け取られます。
Azure でのルートの選択方法の詳細については、「仮想ネットワーク トラフィックのルーティング」を参照してください。
サービス エンドポイントは ICMP で機能しますか。
不正解です。 サービス エンドポイントが有効になっているサブネットから送信される ICMP トラフィックは、目的のエンドポイントへのサービス トンネル パスを使用しません。 サービス エンドポイントでは TCP トラフィックのみが処理されます。 サービス エンドポイントを使用してエンドポイントへの待機時間または接続をテストする場合、ping や tracert などのツールでは、サブネット内のリソースが使用する実際のパスは表示されません。
サービス エンドポイントではサブネット上の NSG はどのように動作しますか?
Azure サービスに到達するには、NSG で送信接続を許可する必要があります。 NSG がすべてのインターネット送信トラフィックに対して開かれている場合、サービス エンドポイントのトラフィックは動作するはずです。 サービス タグを使用して、サービス IP アドレスのみに送信トラフィックを制限することもできます。
サービス エンドポイントを設定するにはどのようなアクセス許可が必要ですか。
そのネットワークへの書き込みアクセス権がある場合は、仮想ネットワーク上のサービス エンドポイントを個別に構成できます。
Azure サービス リソースへのアクセスを仮想ネットワークに限定するには、追加するサブネットの Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action アクセス許可を持っている必要があります。 このアクセス許可は、既定では組み込みのサービス管理者のロールに含まれ、カスタム ロールを作成することで変更できます。
組み込みロールと、特定のアクセス許可をカスタム ロールに割り当てる方法の詳細については、「Azure カスタム ロール」を参照してください。
サービス エンドポイント経由での Azure サービスへの仮想ネットワーク トラフィックをフィルター処理できますか?
仮想ネットワーク サービス エンドポイント ポリシーを使用して、Azure サービスへの仮想ネットワーク トラフィックをフィルター処理し、サービス エンドポイント経由で特定の Azure サービス リソースのみを許可することができます。 エンドポイント ポリシーでは、Azure サービスへの仮想ネットワーク トラフィックから詳細なアクセス制御が提供されます。
詳細については、「Azure Storage の仮想ネットワーク サービス エンドポイント ポリシー」を参照してください。
Microsoft Entra ID で仮想ネットワーク サービス エンドポイントはサポートされていますか?
サービス エンドポイントは Microsoft Entra ID でネイティブにはサポートされていません。 仮想ネットワーク サービス エンドポイントをサポートしている Azure サービスの一覧については、「仮想ネットワーク サービス エンドポイント」を参照してください。
その一覧で、サービス エンドポイントをサポートするサービスの下にリストされている Microsoft.AzureActiveDirectory タグは、Azure Data Lake Storage Gen1 へのサービス エンドポイントをサポートするために使用されます。 Data Lake Storage Gen1 の仮想ネットワーク統合では、仮想ネットワークと Microsoft Entra ID との間で仮想ネットワーク サービス エンドポイント セキュリティを利用して、アクセス トークン内に追加のセキュリティ要求が生成されます。 これらの要求は、ご利用の Data Lake Storage Gen1 アカウントに対して仮想ネットワークを認証し、アクセスを許可するために使用されます。
仮想ネットワークから設定できるサービス エンドポイントの数に制限はありますか?
仮想ネットワーク内のサービス エンドポイントの合計数に制限はありません。 Azure サービス リソース (Azure Storage アカウントなど) の場合、リソースへのアクセスに使用されるサブネットの数がサービスによって制限される場合があります。 制限の例を次の表に示します。
Azure サービス | 仮想ネットワーク規則の制限 |
---|---|
Azure Storage | 200 |
Azure SQL | 128 |
Azure Synapse Analytics | 128 |
Azure Key Vault | 200 |
Azure Cosmos DB | 64 |
Azure Event Hubs | 128 |
Azure Service Bus | 128 |
Note
制限は、Azure サービスの判断で変更される可能性があります。 詳細については、それぞれのサービスのドキュメントを参照してください。
クラシック ネットワーク リソースを Resource Manager に移行する
Azure Service Manager とはどのようなもので、"クラシック" という用語はどのような意味ですか?
Azure Service Manager は、リソースの作成、管理、削除を担っていた Azure の以前のデプロイ モデルです。 ネットワークサービスにおいての「クラシック」とは、Azure Service Manager モデルによって管理されるリソースを指します。 詳細については、デプロイ モデル間の比較のページを参照してください。
Azure Resource Manager とは
Azure Resource Manager は、Azure サブスクリプション内のリソースの作成、管理、削除を担う最新のデプロイおよび管理モデルです。 詳細については、「Azure Resource Manager とは」を参照してください。
リソースが Resource Manager にコミットされた後に移行を元に戻すことはできますか。
リソースがまだ準備状態にある場合は、移行をキャンセルすることができます。 コミット操作によってリソースを正常に移行した後は、以前のデプロイ モデルへのロールバックはサポートされません。
コミット操作が失敗した場合に移行を元に戻すことはできますか。
コミット操作が失敗した場合、移行を元に戻すことはできません。 コミット操作を含むすべての移行操作は、開始後に変更することはできません。 しばらくしてから操作をもう一度試すことをお勧めします。 操作が引き続き失敗する場合は、サポート要求を送信します。
サブスクリプションまたはリソースを検証し、移行が可能かどうかを確認できますか?
はい。 移行の準備の最初の手順は、リソースを移行できることの検証です。 検証が失敗した場合、なぜ移行を完了できないかの理由すべてについてメッセージを受信します。
Application Gateway リソースは、クラシックから Resource Manager への仮想ネットワーク移行の一環として移行されますか?
Azure Application Gateway のリソースは、仮想ネットワーク移行プロセスの一環として自動的に移行されません。 仮想ネットワーク内に存在するものがある場合、移行は成功しません。 Resource Manager に Application Gateway リソースを移行するには、移行完了後に Application Gateway インスタンスを削除して再作成する必要があります。
VPN Gateway リソースは、クラシックから Resource Manager への仮想ネットワーク移行の一環として移行されますか?
Azure VPN Gateway のリソースは、仮想ネットワーク移行プロセスの一環として移行されます。 その他の要件はありませんが、移行は一度に1つの仮想ネットワークで完了します。 移行手順は、VPN ゲートウェイを使用せずに仮想ネットワークを移行する場合と同じです。
クラシック VPN ゲートウェイの Resource Manager への移行に関連したサービスの中断はありますか?
Resource Manager への移行時に、VPN 接続でサービスの中断が発生することはありません。 既存のワークロードは、移行中に完全なオンプレミスの接続を維持したまま引き続き機能します。
VPN ゲートウェイが Resource Manager に移行された後に、オンプレミスのデバイスを再構成する必要がありますか?
VPN ゲートウェイに関連付けられているパブリック IP アドレスは、移行後も同じです。 オンプレミスのルーターを再構成する必要はありません。
クラシックから Resource Manager への VPN ゲートウェイの移行では、どのようなシナリオがサポートされていますか?
クラシックから Resource Manage への移行は、一般的な VPN 接続シナリオの大部分に対応しています。 次のようなシナリオがサポートされます。
ポイントからサイトへの接続。
オンプレミスの場所に接続している VPN ゲートウェイのサイト間接続。
VPN ゲートウェイを使用する 2 つの仮想ネットワーク間のネットワーク間接続。
同じオンプレミスの場所に接続されている複数の仮想ネットワーク。
複数サイト接続。
強制トンネリングが有効になっている仮想ネットワーク。
クラシックから Resource Manager への VPN ゲートウェイの移行でサポートされていないシナリオは何ですか?
サポートされていないシナリオは次のとおりです。
ExpressRoute ゲートウェイと VPN ゲートウェイの両方を含む仮想ネットワーク。
別のサブスクリプションの回線に接続されている ExpressRoute ゲートウェイを使用した仮想ネットワーク。
VM 拡張機能がオンプレミスのサーバーに接続している場合のトランジット シナリオ。
クラシックから Resource Manager への移行に関する詳細情報はどこで確認できますか?
「クラシックから Azure Resource Manager への移行に関してよく寄せられる質問」を参照してください。
問題を報告するにはどうすればよいですか?
移行の問題に関する質問は、Microsoft Q&A ページに投稿できます。 すべての質問はこのフォーラムに投稿することをお勧めします。 サポート契約をお持ちの場合は、サポートリクエストを申請することもできます。