仮想ネットワークを計画する

実験的に仮想ネットワークを作成することは簡単ですが、おそらく、組織の運用ニーズに対応するために、時間の経過とともに複数の仮想ネットワークをデプロイすることになります。 ある程度の計画を立てることで、より効率的に仮想ネットワークをデプロイし、必要なリソースを接続することができます。 この記事の情報は、既に仮想ネットワークに精通し、それらの使用経験がある場合に最も役に立ちます。 仮想ネットワークに慣れていない場合は、仮想ネットワークの概要に関する記事を参照することをお勧めします。

命名

Azure のすべてのリソースには名前があります。 名前はスコープ内で一意にする必要があります。スコープはリソースの種類によって異なる場合があります。 たとえば、仮想ネットワークの名前は、リソース グループ内では一意である必要がありますが、サブスクリプション内または Azure リージョン内では重複する名前を使用することは可能です。 リソースの名前を付けるときに一貫して使用できる名前付け規則を定義することは、長期間にわたって複数のネットワーク リソースを管理する場合には有効です。 推奨事項については、「名前付け規則」を参照してください。

リージョン

すべての Azure リソースは、Azure リージョンと Azure サブスクリプションの内部に作成されます。 リソースを作成できるのは、リソースと同じリージョンおよびサブスクリプションに存在する仮想ネットワーク内だけです。 ただし、異なるサブスクリプションおよびリージョンに存在する仮想ネットワークに接続することはできます。 詳細については、「接続」を参照してください。 リソースをデプロイするリージョンを決める際には、リソースの使用者の物理的な居場所を考慮します。

• ネットワーク待ち時間が短いですか? リソースの使用者は、通常、リソースに対するネットワーク待機時間が最短になることを望みます。 特定の場所と Azure リージョンの間の相対的な待機時間を確認する方法については、相対待機時間の確認に関するページをご覧ください。
• データの保存場所、管轄、コンプライアンス、回復性に関する要件はありますか? ある場合は、要件に合ったリージョンを選ぶことが大事です。 詳しくは、「Azure の地域」をご覧ください。
• デプロイするリソースに対して同じ Azure リージョン内にある Azure の可用性ゾーン全体での回復性は必要ですか? 同じ仮想ネットワーク内の複数の異なる可用性ゾーンに、仮想マシン (VM) などのリソースをデプロイできます。 可用性ゾーンをサポートしていない Azure リージョンもあります。 可用性ゾーンとそれをサポートするリージョンについて詳しくは、可用性ゾーンに関するページをご覧ください。

サブスクリプション

制限の範囲内であれば、各サブスクリプション内に必要なだけいくつでも仮想ネットワークをデプロイできます。 たとえば、部門ごとに異なるサブスクリプションを使用している組織もあります。 サブスクリプションに関する詳細と考慮事項については、サブスクリプションのガバナンスに関するページをご覧ください。

セグメント化

サブスクリプションごとおよびリージョンごとに、複数の仮想ネットワークを作成できます。 各仮想ネットワーク内には複数のサブネットを作成することができます。 必要な仮想ネットワークとサブネットの数を決める際には、以下の点を考慮すると役に立ちます。

仮想ネットワーク

仮想ネットワークは、仮想的で分離された、Azure のパブリック ネットワークの一部です。 各仮想ネットワークは、特定のサブスクリプション専用です。 サブスクリプションに1 つの仮想ネットワークを作成するか、複数の仮想ネットワークを作成するかを決定する際には、以下の点について考慮してください。

• 組織にはトラフィックを異なる仮想ネットワークに分離するセキュリティ要件がありますか? 仮想ネットワークを接続するかどうかを選択できます。 仮想ネットワークを接続する場合は、ファイアウォールなどのネットワーク仮想アプライアンスを実装して、仮想ネットワーク間のトラフィックのフローを制御できます。 詳細については、「セキュリティ」および「接続」を参照してください。
• 組織には、仮想ネットワークを異なるサブスクリプションまたはリージョンに分離する要件がありますか?
• ネットワーク インターフェイスの要件はありますか? ネットワーク インターフェイスを介して、VM と他のリソースの通信ができます。 各ネットワーク インターフェイスには、1 つ以上のプライベート IP アドレスが割り当てられています。 仮想ネットワークでは、ネットワーク インターフェイスとプライベート IP アドレスがいくつ必要ですか? 1 つの仮想ネットワークに設定できるネットワーク インターフェイスとプライベート IP アドレスの数には制限があります。
• 仮想ネットワークを別の仮想ネットワークまたはオンプレミス ネットワークに接続しますか? 仮想ネットワークを相互に接続したり、オンプレミスのネットワークに接続したりすることはできますが、それ以外には接続できません。 詳細については、「接続」を参照してください。 別の仮想ネットワークまたはオンプレミスのネットワークに接続する各仮想ネットワークは、一意のアドレス空間を持っている必要があります。 各仮想ネットワークのアドレス空間には、1 つまたは複数のパブリック アドレス範囲またはプライベート アドレス範囲が割り当てられます。 アドレス範囲は、クラスレス ドメイン間ルーティング (CIDR) 形式 (10.0.0.0/16 など) で指定されます。 詳しくは、仮想ネットワークのアドレス範囲に関するページをご覧ください。
• 組織には、異なる仮想ネットワークのリソースに対する管理要件がありますか? ある場合は、異なる仮想ネットワークにリソースを分離することによって、組織内のユーザーに対するアクセス許可の割り当てを簡素化したり、異なる仮想ネットワークに異なるポリシーを割り当てたりすることができます。
• 独自の仮想ネットワークを作成できるリソースの要件はありますか? Azure サービス リソースを仮想ネットワークにデプロイすると、独自の仮想ネットワークが作成されます。 Azure サービスが独自の仮想ネットワークを作成するかどうかを確認するには、仮想ネットワークにデプロイできるサービスに関する記事を参照してください。

サブネット

仮想ネットワークは、制限の範囲内で 1 つ以上のサブネットにセグメント化できます。 サブスクリプションに1 つのサブネットを作成するか、複数の仮想ネットワークを作成するかを決定する際には、以下の点について考慮してください。

• 仮想ネットワークのアドレス空間内で、各サブネットに対して CIDR 形式で指定された一意のアドレス範囲を指定します。 仮想ネットワーク内の他のサブネットと重なるアドレス範囲は使用できません。
• 仮想ネットワークに Azure サービス リソースをデプロイする場合、独自のサブネットがリソースによって必要とされる、または作成される可能性があるので注意してください。 そのための十分な未割り当て領域が必要です。 Azure サービスが独自のサブネットを作成するかどうかを確認するには、仮想ネットワークにデプロイできるサービスに関する記事を参照してください。 たとえば、Azure VPN Gateway を使用してオンプレミスのネットワークに仮想ネットワークを接続する場合、仮想ネットワークにはゲートウェイに専用のサブネットが必要です。 詳しくは、「ゲートウェイ サブネット」をご覧ください。
• 仮想ネットワーク内のすべてのサブネット間のネットワーク トラフィックの既定のルーティングをオーバーライドします。 たとえば、Azure のサブネット間のルーティングを禁止したり、ネットワーク仮想アプライアンスを通してサブネット間でトラフィックをルーティングしたりしたい場合があります。 同じ仮想ネットワーク内のリソース間のトラフィックを、ネットワーク仮想アプライアンス (NVA) を通してフローさせる必要がある場合は、異なるサブネットにリソースをデプロイします。 詳細については、「セキュリティ」を参照してください。
• Azure Storage アカウントや Azure SQL Database などの Azure リソースへのアクセスを、仮想ネットワーク サービス エンドポイントのある特定のサブネットに制限します。 インターネットからのリソースへのアクセスを拒否することもできます。 複数のサブネットを作成し、一部のサブネットではサービス エンドポイントを有効にして、それ以外では無効にすることができます。 詳細については、サービス エンドポイントおよびサービス エンドポイントを有効にできる Azure リソースに関する記事を参照してください。
• 仮想ネットワーク内の各サブネットに、0 個または 1 個のネットワーク セキュリティ グループを関連付けます。 各サブネットに関連付けるネットワーク セキュリティ グループは、同じでも、異なっていてもかまいません。 各ネットワーク セキュリティ グループには規則が含まれ、送信元と送信先の間でやり取りされるトラフィックを許可または拒否できます。 ネットワーク セキュリティ グループの詳細を確認する。

セキュリティ

仮想ネットワーク内のリソースが送受信するネットワーク トラフィックを、ネットワーク セキュリティ グループおよびネットワーク仮想アプライアンスを使ってフィルター処理できます。 サブネットからのトラフィックを Azure がルーティングする方法を制御できます。 また、仮想ネットワーク内のリソースを使用できる組織内のユーザーを制限することもできます。

トラフィックのフィルター処理

• 仮想ネットワーク内のリソース間のネットワーク トラフィックをフィルター処理するには、ネットワーク セキュリティ グループと、ネットワーク トラフィックをフィルター処理する NVA のどちらか一方または両方を使用します。 ファイアウォールなどの NVA をデプロイしてネットワーク トラフィックをフィルター処理するには、Azure Marketplace を参照してください。 NVA を使用する場合は、サブネットから NVA にトラフィックをルーティングするためのカスタム ルートも作成します。 詳しくは、「トラフィックのルーティング」をご覧ください。
• ネットワーク セキュリティ グループには、リソースが送受信するトラフィックを許可または拒否する、複数の既定のセキュリティ規則が含まれます。 ネットワーク セキュリティ グループは、ネットワーク インターフェイスと、ネットワーク インターフェイスが含まれるサブネットのどちらか一方または両方に関連付けることができます。 セキュリティ規則の管理を簡単にするため、可能なかぎり、ネットワーク セキュリティ グループをサブネット内の個々のネットワーク インターフェイスではなく個別のサブネットに関連付けることをお勧めします。
• サブネット内の VM ごとに異なるセキュリティ規則を適用する必要がある場合は、VM 内のネットワーク インターフェイスを、1 つまたは複数のアプリケーション セキュリティ グループに関連付けることができます。 セキュリティ規則では、送信元と送信先のどちらか一方または両方のアプリケーション セキュリティ グループを指定できます。 その規則は、アプリケーション セキュリティ グループのメンバーであるネットワーク インターフェイスにのみ適用されます。 詳しくは、ネットワーク セキュリティ グループおよびアプリケーション セキュリティ グループに関するページをご覧ください。
• ネットワーク セキュリティ グループがサブネット レベルで関連付けられている場合は、サブネットの外部からのトラフィックだけでなく、サブネット内のすべてのネットワーク インターフェイス コントローラーにも適用されます。 サブネットに含まれる VM 間のトラフィックも影響を受ける可能性があります。
• Azure では、各ネットワーク セキュリティ グループ内に複数のセキュリティ規則が既定で作成されます。 既定の規則の 1 つでは、仮想ネットワーク内のすべてのリソース間で、すべてのトラフィックのフローが許可されます。 この動作をオーバーライドするには、ネットワーク セキュリティ グループと、NVA にトラフィックをルーティングするためのカスタム ルーティングの、どちらか一方または両方を使います。 Azure のすべての既定のセキュリティ規則と、ネットワーク セキュリティ グループの規則がどのようにリソースに適用されるかについて、十分に理解することをお勧めします。

NVA を使用して Azure とインターネットの間に境界ネットワーク (DMZ とも呼ばれます) を実装するためのサンプル設計を表示できます。

トラフィックのルーティング

Azure では、サブネットからの送信トラフィックに対して複数のルートが既定で作成されます。 ルート テーブルを作成してサブネットに関連付けることにより、Azure の既定のルーティングをオーバーライドできます。 Azure の既定のルーティングをオーバーライドする一般的な理由としては、次のようなものがあります。

• サブネット間のトラフィックが NVA を経由するようにしたい場合。 詳細については、トラフィックを強制的に NVA 経由にするようルート テーブルを構成する方法に関する記事を参照してください。
• インターネットにバインドされたすべてのトラフィックを、強制的に Azure VPN Gateway を介して NVA 経由 (つまりオンプレミス) にする必要がある場合。 検査とログのためにインターネット トラフィックを強制的にオンプレミスにすることを、強制トンネリングと呼ぶことがよくあります。 詳しくは、強制トンネリングの構成方法に関するページをご覧ください。

カスタム ルーティングを実装する必要がある場合は、Azure でのルーティングについて十分に理解することをお勧めします。

接続

仮想ネットワークは、仮想ネットワーク ピアリングを使用して他の仮想ネットワークに、または Azure VPN Gateway を使用してオンプレミスのネットワークに接続できます。

ピアリング

仮想ネットワーク ピアリングを使用する場合は、サポートされる Azure リージョンであれば、仮想ネットワークは同じリージョンに配置することも、異なるリージョンに配置することもできます。 仮想ネットワークは、同じ Azure サブスクリプションに配置することも、異なる Azure サブスクリプション (異なる Microsoft Entra テナントに属するサブスクリプションでも) に配置することもできます。

ピアリングの作成は、ピアリングのすべての要件と制約を十分に理解してから行うことをお勧めします。 同じリージョン内でピアリングされる仮想ネットワーク内のリソース間の帯域幅は、リソースが同じ仮想ネットワーク内にある場合と同じです。

VPN Gateway

Azure VPN Gateway を利用すると、サイト間 VPN を使用して、または Azure ExpressRoute による専用接続を使用して、オンプレミスのネットワークに仮想ネットワークを接続できます。

ピアリングと VPN Gateway を組み合わせて、ハブとスポークのネットワークを作成できます。この場合、たとえば、スポークの仮想ネットワークはハブの仮想ネットワークに接続し、ハブはオンプレミスのネットワークに接続します。

名前解決

1 つの仮想ネットワーク内のリソースは、Azure の組み込みドメイン ネーム システム (DNS) を使用して、ピアリングされた仮想ネットワーク内のリソースの名前を解決することはできません。 ピアリングされた仮想ネットワーク内の名前を解決するには、独自の DNS サーバーをデプロイするか、Azure DNS プライベート ドメインを使用します。 仮想ネットワーク内のリソースとオンプレミス ネットワークのリソースの間で名前を解決するには、独自の DNS サーバーをデプロイする必要もありします。

アクセス許可

Azure では、Azure のロールベースのアクセス制御が使用されます。 アクセス許可は、管理グループ、サブスクリプション、リソース グループ、および個々のリソースの階層内のスコープに割り当てられます。 階層について詳しくは、リソースの整理に関するページをご覧ください。

Azure 仮想ネットワークと、ピアリング、ネットワーク セキュリティ グループ、サービス エンドポイント、ルート テーブルなどの関連するすべての機能を使用するには、組織のメンバーを組み込みの所有者、共同作業者、またはネットワーク共同作業者ロールに割り当てます。 その後、ロールを適切なスコープに割り当てます。 仮想ネットワーク機能のサブセットに特定のアクセス許可を割り当てる場合は、カスタム ロールを作成し、以下に対して必要な特定のアクセス許可を割り当てます。

• 仮想ネットワーク
• サブネットとサービス エンドポイント
• ネットワーク インターフェイス
• ピアリング
• ネットワークとアプリケーションのセキュリティ グループ
• ルート テーブル

ポリシー

Azure Policy を使用して、ポリシーの定義の作成、割り当て、管理を行うことができます。 ポリシー定義は、リソースにさまざまな規則を適用し、組織の標準とサービス レベル アグリーメントへのリソースの準拠が維持されるようにします。 Azure Policy は、リソースの評価を実行します。 ポリシー定義に準拠していないリソースがスキャンされます。

たとえば、特定のリソース グループまたはリージョン内でのみ仮想ネットワークの作成を許可するようなポリシーを定義して適用することができます。 または、すべてのサブネットにネットワーク セキュリティ グループが関連付けられていることを要求するポリシーを作成できます。 その後、リソースを作成および更新するときにポリシーが評価されます。

ポリシーは、管理グループ、サブスクリプション、およびリソース グループという階層に適用されます。 詳しくは、Azure Policy に関するページを参照するか、仮想ネットワークの Azure Policy 定義をデプロイしてください。

関連するコンテンツ

以下のすべてのタスク、設定、およびオプションについても参照してください。

• 仮想ネットワーク
• サブネットとサービス エンドポイント
• ネットワーク インターフェイス
• ピアリング
• ネットワークとアプリケーション セキュリティ グループ
• ルート テーブル