サブネットを作成する

  • 3 分

サブネットを使うと、仮想ネットワーク内に論理的な境界を実装できます。 ネットワークをサブネットにセグメント化すると、セキュリティを強化し、パフォーマンスを向上させ、管理を容易にできます。

サブネットについて知っておく必要があること

サブネットを使ってセグメント化を適用するときは、仮想ネットワーク内の IP アドレスに関して特定の条件があります。

  • 各サブネットには、仮想ネットワーク アドレス空間に収まる IP アドレスの範囲が含まれています。

  • サブネットのアドレスの範囲は、仮想ネットワークのアドレス空間内で一意である必要があります。

  • 1 つのサブネットの範囲が、同じ仮想ネットワーク内の他のサブネットの IP アドレス範囲と重複することはできません。

  • サブネットの IP アドレス空間は、CIDR 表記を使って指定する必要があります。

  • 1 つの仮想ネットワークを、Azure portal 内の 1 つ以上のサブネットにセグメント化できます。 サブネットの IP アドレスに関する特性が一覧に表示されます。

    Azure portal 内の仮想ネットワークの複数のサブネットを示すスクリーンショット。

予約されるアドレス

サブネットごとに、Azure によって 5 つの IP アドレスが予約されます。 最初の 4 つのアドレスと最後のアドレスが予約されます。

IP アドレス範囲 192.168.1.0/24 で予約されるアドレスを調べてみましょう。

予約されるアドレス 理由
192.168.1.0 この値は、仮想ネットワーク アドレスを示します。
192.168.1.1 このアドレスは、Azure により既定のゲートウェイとして構成されます。
192.168.1.2 および 192.168.1.3 これらの Azure DNS IP アドレスは、Azure により仮想ネットワーク空間にマップされます。
192.168.1.255 この値は、仮想ネットワークのブロードキャスト アドレスを提供します。

サブネットを使うときに考慮する必要があること

仮想ネットワーク内でサブネット セグメントの追加を計画するときは、いくつかの要因を考慮する必要があります。 次のシナリオを考えてみます。

  • サービス要件を検討する。 仮想ネットワークに直接デプロイされるサービスごとに、ルーティングと、関連付けられているサブネットへの出入りを許可する必要があるトラフィックの種類に関して、固有の要件があります。 サービスでは、独自のサブネットが必要な場合や、作成される場合があります。 サービスの要件を満たすのに十分な未割り当て領域が必要です。 Azure VPN Gateway を使って、仮想ネットワークをオンプレミスのネットワークに接続するとします。 仮想ネットワークには、ゲートウェイ専用のサブネットが必要です。

  • ネットワーク仮想アプライアンスを検討する。 既定では、ネットワーク トラフィックは仮想ネットワーク内のすべてのサブネット間でルーティングされます。 Azure の既定のルーティングをオーバーライドし、Azure のサブネット間のルーティングを禁止できます。 既定の設定をオーバーライドして、サブネット間のトラフィックをネットワーク仮想アプライアンス経由でルーティングすることもできます。 同じ仮想ネットワーク内のリソース間のトラフィックのフローを、ネットワーク仮想アプライアンス経由にする必要がある場合は、リソースを異なるサブネットにデプロイします。

  • サービス エンドポイントを検討します。 Azure ストレージ アカウントや Azure SQL データベースなどの Azure リソースへのアクセスを、仮想ネットワーク サービス エンドポイントのある特定のサブネットに制限できます。 インターネットからのリソースへのアクセスを拒否することもできます。 複数のサブネットを作成し、一部のサブネットではサービス エンドポイントを有効にして、それ以外では無効にすることができます。

  • ネットワーク セキュリティ グループを検討します。 仮想ネットワーク内の各サブネットには、0 個または 1 個のネットワーク セキュリティ グループを関連付けることができます。 各サブネットに、同じ、または異なるネットワーク セキュリティ グループを、関連付けることができます。 各ネットワーク セキュリティ グループには、送信元と送信先の間でやり取りされるトラフィックを許可または拒否する規則が含まれます。

  • プライベート リンクを検討する。 Azure Private Link を使用すると、仮想ネットワークから Azure のサービスとしてのプラットフォーム (PaaS)、顧客所有、または Microsoft パートナーの各サービスへのプライベート接続が可能になります。 Private Link により、ネットワーク アーキテクチャが簡素化され、Azure 内のエンドポイント間の接続がセキュリティで保護されます。 このサービスにより、パブリック インターネットにデータが公開されなくなります。