オペレーショナル エクセレンスと Azure Virtual Network
プライベート ネットワークの基本的な構成要である Azure Virtual Network は、Azure リソースが他の Azure リソース、インターネット、オンプレミスの各ネットワークとの間の安全な通信環境を実現します。
Azure Virtual Network の主な機能は次のとおりです。
詳細については、「Azure Virtual Network とは」を参照してください
Azure Virtual Network でオペレーショナル エクセレンスがどのようにサポートされるかについては、次のトピックを参照してください。
- Azure Virtual Network の監視
- Azure Virtual Network データの監視に関するリファレンス
- Azure Virtual Network の概念とベスト プラクティス
設計上の考慮事項
Virtual Network (VNet) には、オペレーショナル エクセレンスに関し、設計上次のような事項を考慮する必要があります。
- オンプレミスと Azure リージョンの間で IP アドレス空間が重複すると、競合の大きな問題が生じます。
- Virtual Network アドレス空間は、作成後に追加できますが、その Virtual Network がピアリング経由で別の Virtual Network に既に接続されている場合、このプロセスでは停止時間が発生します。 Virtual Network ピアリングが削除されて再作成されるために、停止時間が必要になります。
- 一部の Azure サービスでは、次のような専用サブネットが必要です。
- Azure Firewall
- Azure Bastion
- 仮想ネットワーク ゲートウェイ
- サブネットを特定のサービスにデリゲートして、サブネット内にそのサービスのインスタンスを作成することができます。
- Azure では各サブネット内に 5 つの IP アドレスが予約されているため、Virtual Network とそれに含まれるサブネットのサイズを決定するときは、それらを考慮する必要があります。
チェック リスト
オペレーショナル エクセレンスを考慮して Azure Virtual Network を構成したかどうか
- Azure DDoS Standard Protection プランを使用して、お客様の Virtual Network 内でホストされているすべてのパブリック エンドポイントを保護します。
- エンタープライズのお客様は、考慮されているオンプレミスの場所と Azure リージョンの間で IP アドレス空間が重複しないように、Azure での IP アドレスを計画する必要があります。
- プライベート インターネットに対するアドレス割り当てから IP アドレスを使用します (Request For Comments (RFC) 1918)。
- 使用できるプライベート IP アドレス (RFC 1918) に制限がある環境では、IPv6 の使用を検討します。
- 不必要に大きな Virtual Network (例:
/16
) を作成して、IP アドレス空間に不要な無駄が生じないようにしてください。 - 前もって必要なアドレス空間を計画することなく、Virtual Network を作成することはやめてください。
- Virtual Network にはパブリック IP アドレスを使用しないでください。そのパブリック IP アドレスがお客様に属すのでない場合は特にそうです。
- VNet サービス エンドポイントを使用して、お客様の VNet 内から Azure Platform as a Service (PaaS) サービスへのアクセスをセキュリティで保護します。
- サービス エンドポイントでのデータ窃盗に関する問題に対処するには、ネットワーク仮想アプライアンス (NVA) のフィルター処理を使用するか、Azure Storage に対する VNet サービス エンドポイント ポリシーを使用します。
- Azure から Azure リソースへの通信を可能にするために強制トンネリングを実装しないでください。
- ExpressRoute プライベート ピアリングを使用して、オンプレミスから Azure PaaS サービスにアクセスします。
- VNet インジェクションまたは Private Link を使用できない場合にオンプレミス ネットワークから Azure PaaS サービスにアクセスするには、データ流出の懸念がなければ、Microsoft ピアリングで ExpressRoute を使用します。
- オンプレミスの境界ネットワーク (DMZ、非武装地帯、スクリーン サブネットとも呼ばれます) の概念とアーキテクチャを Azure にレプリケートしないでください。
- Virtual Network に挿入された Azure PaaS サービス間の通信が、ユーザー定義ルート (UDR) とネットワーク セキュリティ グループ (NSG) を使用して Virtual Network 内でロックダウンされていることを確認します。
- NVA フィルター処理を使用している場合を除き、データ窃盗の問題が存在する場合は、VNet サービス エンドポイントを使用しないでください。
- すべてのサブネットにおいて既定で VNet サービス エンドポイントを有効にしないでください。
構成に関する推奨事項
Azure Virtual Network を構成するときは、オペレーショナル エクセレンスに関する次の推奨事項を考慮してください。
推奨 | 説明 |
---|---|
前もって必要なアドレス空間を計画することなく、Virtual Network を作成することはやめてください。 | Virtual Network ピアリングを介して Virtual Network に接続した後は、アドレス空間を追加すると、停止時間が発生します。 |
VNet サービス エンドポイントを使用して、お客様の VNet 内から Azure Platform as a Service (PaaS) サービスへのアクセスをセキュリティで保護します。 | Private Link が使用できない場合、およびデータ流出の懸念がない場合のみにします。 |
ExpressRoute プライベート ピアリングを使用して、オンプレミスから Azure PaaS サービスにアクセスします。 | 専用の Azure サービスに対する VNet インジェクション、または使用可能な共有 Azure サービスに対する Azure Private Link を使用します。 |
VNet インジェクションまたは Private Link を使用できない場合にオンプレミス ネットワークから Azure PaaS サービスにアクセスするには、データ流出の懸念がなければ、Microsoft ピアリングで ExpressRoute を使用します。 | パブリック インターネット経由で転送しないでください。 |
オンプレミスの境界ネットワーク (DMZ、非武装地帯、スクリーン サブネットとも呼ばれます) の概念とアーキテクチャを Azure にレプリケートしないでください。 | Azure ではオンプレミスと同様のセキュリティ機能を利用できますが、実装とアーキテクチャは、ご利用のクラウドに適合させる必要があります。 |
Virtual Network に挿入された Azure PaaS サービス間の通信が、ユーザー定義ルート (UDR) とネットワーク セキュリティ グループ (NSG) を使用して Virtual Network 内でロックダウンされていることを確認します。 | Virtual Network に挿入された Azure PaaS サービスでは、パブリック IP アドレスを使用して管理プレーンの操作がまだ実行されます。 |