Azure 仮想ネットワークとは
Azure Virtual Network は、Azure のプライベート ネットワークの基本的な構成要素を提供するサービスです。 サービスのインスタンス (仮想ネットワーク) は、さまざまな種類の Azure リソースが相互、インターネット、オンプレミスのネットワークとの安全な通信を実現します。 これらの Azure リソースには、仮想マシン (VM) が含まれます。
仮想ネットワークは、ご自身のデータセンターで運用している従来のネットワークに似ています。 しかし、スケール、可用性、分離など、Azure インフラストラクチャによってもたらされる他のメリットがあります。
Azure 仮想ネットワークを選択する理由
仮想ネットワークで実現できる主なシナリオは次のとおりです。
- インターネットを使用した Azure リソースの通信。
- Azure リソース間の通信。
- オンプレミス リソースとの通信。
- ネットワーク トラフィックのフィルター処理。
- ネットワーク トラフィックのルーティング。
- Azure サービスとの統合。
インターネットとの通信
仮想ネットワーク内のすべてのリソースでは、既定でインターネットへの送信方向の通信が可能です。 パブリック IP アドレス、NAT Gateway、またはパブリック ロード バランサーを使用して、送信接続を管理することもできます。 パブリック IP アドレスまたはパブリック ロード バランサーを割り当てることにより、リソースの受信通信が可能になります。
内部の標準ロード バランサーのみを使用する場合、送信接続をインスタンスレベルのパブリック IP アドレスまたはパブリック ロード バランサーと連携させる方法を定義するまで、送信接続は利用できません。
Azure リソース間の通信
次のいずれかの方法により、Azure のリソースは互いに安全に通信することができます。
- 仮想ネットワーク:仮想ネットワークに VM や他の種類の Azure リソースをデプロイすることができます。 リソースには、App Service Environment、Azure Kubernetes Service (AKS)、Azure Virtual Machine Scale Sets などが含まれます。 仮想ネットワークにデプロイできる Azure リソースの詳細なリストについては、「仮想ネットワークに専用の Azure サービスをデプロイする」を参照してください。
- 仮想ネットワーク サービス エンドポイント:直接接続を介して、仮想ネットワークのプライベート アドレス空間と仮想ネットワークのアイデンティティを、Azureサービス リソースに拡張できます。 リソースの例としては、Azure Storage アカウントや Azure SQL Database などがあります。 サービス エンドポイントを使用することで、重要な Azure サービス リソースを仮想ネットワークのみに固定することができます。 詳細については、「仮想ネットワーク サービス エンドポイント」を参照してください。
- 仮想ネットワーク ピアリング:仮想ピアリングを使用して仮想ネットワークどうしを接続できます。 その後、両方の仮想ネットワーク内のリソースも相互に通信できるようになります。 接続する仮想ネットワークを配置する Azure リージョンは、同じであっても異なっていてもかまいません。 詳細については、「仮想ネットワーク ピアリング」を参照してください。
オンプレミス リソースとの通信
次のオプションのいずれかを使用して、オンプレミスのコンピューターおよびネットワークを仮想ネットワークに接続できます。
- ポイント対サイトの仮想プライベート ネットワーク (VPN): 仮想ネットワークと、ネットワーク内の 1 台のコンピューターとの間で確立されます。 仮想ネットワークとの接続を確立する各コンピューターで、接続を構成する必要があります。 この接続の種類は、既存のネットワークへの変更がほとんど、またはまったく必要ないため、Azure を使い始めたばかりのユーザーまたは開発者にとって便利です。 コンピューターと仮想ネットワーク間の通信は、インターネット上の暗号化されたトンネルを通じて送信されます。 詳細については、「ポイント対サイト VPN について」を参照してください。
- サイト間 VPN:オンプレミスの VPN デバイスと、仮想ネットワークにデプロイされた Azure VPN ゲートウェイの間に確立されます。 この接続の種類を使用すると、承認した任意のオンプレミス リソースが仮想ネットワークにアクセスできます。 オンプレミス VPN デバイスと Azure VPN ゲートウェイ間の通信は、インターネット上の暗号化されたトンネルを通じて送信されます。 詳細については、サイト間 VPN に関するページを参照してください。
- Azure ExpressRoute: ExpressRoute のパートナーを介して、ネットワークと Azure の間で確立されます。 この接続はプライベート接続です。 トラフィックはインターネットを経由しません。 詳細については、「Azure ExpressRoute とは」を参照してください。
ネットワーク トラフィックのフィルター処理
次のオプションのいずれかまたは両方を使用して、サブネット間のネットワーク トラフィックをフィルター処理できます。
- ネットワーク セキュリティ グループ: ネットワーク セキュリティ グループとアプリケーション セキュリティ グループには、複数の受信および送信セキュリティ規則を含めることができます。 これらの規則を使用すると、送信元と送信先の IP アドレス、ポート、プロトコルによって、リソースで送受信されるトラフィックをフィルター処理できます。 詳細については、「ネットワーク セキュリティ グループ」または「アプリケーション セキュリティ グループ」を参照してください。
- ネットワーク仮想アプライアンス:ネットワーク仮想アプライアンスは、ファイアウォール、WAN 最適化などのネットワーク機能を実行する VM です。 仮想ネットワークにデプロイできる使用可能なネットワーク仮想アプライアンスの一覧については、「Azure Marketplace」を参照してください。
ネットワーク トラフィックをルーティングする
Azure は、既定で、サブネット、接続されている仮想ネットワーク、オンプレミス ネットワーク、およびインターネット間でトラフィックをルーティングします。 次のオプションのいずれかまたは両方を実装して、Azure が作成するデフォルト ルートをオーバーライドできます。
- ルート テーブル:サブネットごとにトラフィックのルーティング先を制御する、カスタム ルート テーブルを作成できます。
- Border Gateway Protocol (BGP) のルート:Azure VPN ゲートウェイまたは ExpressRoute 接続を使用して仮想ネットワークをオンプレミス ネットワークに接続する場合、オンプレミスの BGP ルートを仮想ネットワークに伝達できます。
Azure サービスと統合する
Azure サービスを Azure 仮想ネットワークに統合すると、仮想マシンまたは仮想ネットワーク内のコンピューティング リソースからサービスへのプライベート アクセスが可能になります。 この統合には、次のオプションを使用できます。
- サービスの専用インスタンスを仮想ネットワークにデプロイする。 サービスは、仮想ネットワーク内で、また、オンプレミス ネットワークからプライベート アクセスできます。
- Azure Private Link を使用して、仮想ネットワークおよびオンプレミス ネットワークからサービスの特定のインスタンスにプライベートにアクセスする。
- サービス エンドポイントを介して仮想ネットワークをサービスに拡張することによって、パブリック エンドポイントを使用してサービスにアクセスする。 サービス エンドポイントを使用することで、仮想ネットワークに対してサービス リソースをセキュリティで保護することができます。
制限
デプロイできる Azure リソースの数には制限があります。 Azure のネットワークの制限のほとんどは、最大値です。 ただし、特定のネットワーク制限を増やすことができます。 詳細については、「ネットワークの制限」を参照してください。
仮想ネットワークと可用性ゾーン
仮想ネットワークとサブネットは、リージョン内のすべての可用性ゾーンにまたがっています。 ゾーン リソースに対応するために、可用性ゾーンでそれらを分割する必要はありません。 たとえば、ゾーン VM を構成する場合、VM の可用性ゾーンを選択するときに仮想ネットワークを考慮する必要はありません。 他のゾーン リソースについても同様です。
価格
Azure Virtual Network の使用には料金はかかりません。 コストは無料です。 VM やその他の製品などのリソースには、標準料金が適用されます。 詳細については、仮想ネットワークの価格に関するページと Azure の「料金計算ツール」を参照してください。