信頼性と Azure Virtual Network
プライベート ネットワークの基本的な構成要素である Azure Virtual Networkにより、Azure リソースは相互、インターネット、およびオンプレミス ネットワークと安全に通信できます。
Azure Virtual Networkの主な機能は次のとおりです。
詳細については、「Azure Virtual Networkとは」を参照してください。
Azure Virtual Networkが信頼性の高いワークロードをサポートする方法を理解するには、次のトピックを参照してください。
設計上の考慮事項
Virtual Network (VNet) には、信頼性の高い Azure ワークロードに関する次の設計上の考慮事項が含まれています。
- オンプレミスと Azure リージョンの間で IP アドレス空間が重複すると、競合の大きな問題が生じます。
- Virtual Networkアドレス空間は作成後に追加できますが、Virtual Networkがピアリングを介して別のVirtual Networkに既に接続されている場合、このプロセスは停止する必要があります。 Virtual Network ピアリングが削除されて再作成されるため、停止が必要です。
- ピアリングされた仮想ネットワークのサイズ変更は パブリック プレビュー 段階です (2021 年 8 月 20 日)。
- 一部の Azure サービスでは、次のような 専用サブネットが必要です。
- Azure Firewall
- Azure Bastion
- Virtual Network ゲートウェイ
- サブネットを特定のサービスにデリゲートして、サブネット内にそのサービスのインスタンスを作成することができます。
- Azure では、各サブネット内に 5 つの IP アドレスが予約されます。これは、仮想ネットワークと包含サブネットのサイズを変更するときに考慮する必要があります。
チェック リスト
信頼性を念頭に置いて Azure Virtual Networkを構成しましたか?
- Azure DDoS Standard Protection プランを使用して、顧客の仮想ネットワーク内でホストされているすべてのパブリック エンドポイントを保護します。
- 企業のお客様は、オンプレミスの場所と Azure リージョン間で重複する IP アドレス空間がないように、Azure での IP アドレス指定を計画する必要があります。
- プライベート インターネットのアドレス割り当てから IP アドレスを使用します (コメント要求 (RFC) 1918)。
- 使用できるプライベート IP アドレス (RFC 1918) に制限がある環境では、IPv6 の使用を検討します。
- 不必要に大きな仮想ネットワーク (例:
/16) を作成して、IP アドレス空間の不要な無駄がないことを確認しないでください。 - 必要なアドレス空間を事前に計画せずに仮想ネットワークを作成しないでください。
- 特にパブリック IP アドレスが顧客に属していない場合は、仮想ネットワークにパブリック IP アドレスを使用しないでください。
- VNet サービス エンドポイントを使用して、顧客の VNet 内から Azure Platform as a Service (PaaS) サービスへのアクセスをセキュリティで保護します。
- サービス エンドポイントに関するデータ流出の問題に対処するには、Azure Storage のネットワーク仮想アプライアンス (NVA) フィルター処理と VNet サービス エンドポイント ポリシーを使用します。
- Azure から Azure リソースへの通信を可能にするために強制トンネリングを実装しないでください。
- ExpressRoute プライベート ピアリングを介してオンプレミスから Azure PaaS サービスにアクセスします。
- VNet インジェクションまたはPrivate Linkを使用できない場合にオンプレミス ネットワークから Azure PaaS サービスにアクセスするには、データ流出の問題がない場合は、Microsoft ピアリングで ExpressRoute を使用します。
- オンプレミスの境界ネットワーク (DMZ、非武装地帯、スクリーン サブネットとも呼ばれます) の概念とアーキテクチャを Azure にレプリケートしないでください。
- ユーザー定義ルート (UDR) とネットワーク セキュリティ グループ (NSG) を使用して、Virtual Networkに挿入された Azure PaaS サービス間の通信がVirtual Network内でロックダウンされていることを確認します。
- NVA フィルター処理を使用しない限り、データ流出の懸念がある場合は、VNet サービス エンドポイントを使用しないでください。
- 既定では、すべてのサブネットで VNet サービス エンドポイントを有効にしないでください。
構成に関する推奨事項
Azure Virtual Networkを構成するときに信頼性を最適化するには、次の推奨事項を検討してください。
| 推奨 | Description |
|---|---|
| 必要なアドレス空間を事前に計画せずに仮想ネットワークを作成しないでください。 | Virtual Network ピアリングを介してVirtual Networkが接続されると、アドレス空間を追加すると停止が発生します。 |
| VNet サービス エンドポイントを使用して、顧客の VNet 内から Azure Platform as a Service (PaaS) サービスへのアクセスをセキュリティで保護します。 | Private Linkが使用できない場合と、データ流出の懸念がない場合のみ。 |
| ExpressRoute プライベート ピアリングを介してオンプレミスから Azure PaaS サービスにアクセスします。 | 専用の Azure サービスには VNet インジェクションを使用するか、使用可能な共有 Azure サービスにはAzure Private Linkを使用します。 |
| VNet インジェクションまたはPrivate Linkを使用できない場合にオンプレミス ネットワークから Azure PaaS サービスにアクセスするには、データ流出の問題がない場合は、Microsoft ピアリングで ExpressRoute を使用します。 | パブリック インターネット経由での転送を回避します。 |
| オンプレミスの境界ネットワーク (DMZ、非武装地帯、スクリーン サブネットとも呼ばれます) の概念とアーキテクチャを Azure にレプリケートしないでください。 | お客様は Azure でオンプレミスと同様のセキュリティ機能を利用できますが、実装とアーキテクチャをクラウドに適合させる必要があります。 |
| ユーザー定義ルート (UDR) とネットワーク セキュリティ グループ (NSG) を使用して、Virtual Networkに挿入された Azure PaaS サービス間の通信がVirtual Network内でロックダウンされていることを確認します。 | Virtual Networkに挿入された Azure PaaS サービスは、引き続きパブリック IP アドレスを使用して管理プレーン操作を実行します。 |