本記事は Microsoft Learn の「仮想ネットワークを構成する」というモジュールをまとめたものである。
仮想ネットワークを計画する
クラウド導入の大きな理由の一つは、IT部門がサーバーリソースをクラウドに移行できること。クラウドに移すことでコスト削減や管理の簡素化が可能になり、高価なデータセンターや冗長電源、クラスター化サーバーを自前で維持する必要がなくなる。特に、中小企業では堅牢なインフラを自力で維持する専門知識が不足している場合が多く、クラウド移行のメリットは大きい。
Azure の仮想ネットワークについて知っておくべきこと
Azure Virtual Networkを実装すると、クラウド内にお客様のネットワークの仮想表現を作成でき、計画次第でリソース間の接続を最適化できる。
- Azure 仮想ネットワークは、クラウド上のリソースを論理的に分離する仕組み
- 仮想ネットワークを利用して、Azure 上で仮想プライベート ネットワーク (VPN) をプロビジョニング・管理可能
- 各仮想ネットワークには独自の CIDR ブロックがあり、他の仮想ネットワークやオンプレミス ネットワークとリンク可能
- CIDR ブロックが重複しなければ、オンプレミス IT インフラと接続してハイブリッド・クロスプレミスの構成が作れる
- DNS サーバー設定やサブネットのセグメント化はユーザーが管理・制御可能
図は、2台の仮想マシンを含むサブネットを持つ仮想ネットワークを示しており、このネットワークはオンプレミスのインフラや他の仮想ネットワークと接続されている。
仮想ネットワークを使用するときに考慮すべきこと
| シナリオ | 説明 |
|---|---|
| 専用プライベートクラウドのみの仮想ネットワーク | クロスプレミス接続が不要な場合、仮想ネットワーク内のサービスや仮想マシンはクラウド内で安全に通信可能。必要に応じてインターネット接続用のエンドポイントも構成可能。 |
| 仮想ネットワークでデータセンターを安全に拡張 | サイト間 VPN を構築して、データセンターの処理能力を安全にスケール。IPsec を用いて会社の VPN ゲートウェイと Azure をセキュアに接続。 |
| ハイブリッドクラウドの実現 | 仮想ネットワークを通じて、メインフレームや Unix システムなど任意のオンプレミスシステムとクラウドアプリケーションを安全に接続可能。 |
サブネットを作成する
Azure サブネットは、仮想ネットワーク内の論理的な区画を作成する仕組みを提供する。サブネットでネットワークを分割することで、セキュリティの強化、通信パフォーマンスの向上、管理の簡素化が可能になる。
サブネットについて知っておく必要があること
サブネットを使ってセグメント化を適用するときは、仮想ネットワーク内の IP アドレスに関して特定の条件がある。
- 各サブネットは、仮想ネットワークのアドレス空間内の IP アドレス範囲を持つ
- サブネットのアドレス範囲は仮想ネットワーク内で一意である必要がある
- 同じ仮想ネットワーク内でサブネットの IP アドレス範囲が重複してはいけない
- サブネットの IP アドレス空間は CIDR 表記で指定する
- 1 つの仮想ネットワークを複数のサブネットに分割でき、サブネットの IP 特性が確認できる
予約されるアドレス
サブネットごとに、Azure によって 5 つの IP アドレスが予約される。 最初の 4 つのアドレスと最後のアドレスが予約される。
例: IP 範囲 192.168.1.0/24
| 予約されるアドレス | 理由 |
|---|---|
| 192.168.1.0 | 仮想ネットワーク アドレスとして使用 |
| 192.168.1.1 | Azure が既定のゲートウェイとして構成 |
| 192.168.1.2 | Azure DNS 用 IP |
| 192.168.1.3 | Azure DNS 用 IP |
| 192.168.1.255 | 仮想ネットワークのブロードキャスト アドレス |
サブネットを使うときに考慮する必要があること
-
サービス要件の検討
- 仮想ネットワークにデプロイされるサービスごとに、ルーティングやサブネット間トラフィックの許可要件を確認
- サービスによっては専用サブネットが必要
- 十分な未割り当て IP 空間が必要
- Azure VPN Gateway を利用する場合、ゲートウェイ専用サブネットが必要
-
ネットワーク仮想アプライアンスの検討
- 既定では仮想ネットワーク内のサブネット間でルーティング可能
- 必要に応じて既定ルーティングをオーバーライドし、サブネット間トラフィックを禁止可能
- トラフィックをネットワーク仮想アプライアンス経由にする場合は、リソースを別サブネットに配置
-
ネットワーク セキュリティ グループ (NSG) の検討
- 各サブネットに 0 または 1 個の NSG を関連付け可能
- サブネットごとに同じまたは異なる NSG を設定可能
- NSG は送信元・送信先間のトラフィックを許可または拒否する規則を含む
-
プライベート リンクの検討
- Azure Private Link により、仮想ネットワークから PaaS、顧客所有、Microsoft パートナーサービスへのプライベート接続が可能
- ネットワークアーキテクチャが簡素化され、Azure 内のエンドポイント間接続がセキュリティ保護される
- データはパブリックインターネットに公開されない
仮想ネットワークを作成する
仮想ネットワークの作成について知っておくべきこと
- 仮想ネットワーク作成時にネットワークの IP アドレス空間を定義する必要がある
- 使用する IP アドレス空間は組織内で未使用のものを計画する
- ネットワークのアドレス空間はオンプレミスまたはクラウドのどちらかで使用可能(両方は不可)
- 一度作成した IP アドレス空間は変更できない
- クラウド専用仮想ネットワークの場合、後でオンプレミスサイトと接続可能
- 仮想ネットワークには少なくとも 1 つのサブネットを定義する必要がある
- 各サブネットは仮想ネットワーク内の IP アドレス範囲を持つ
- サブネットの IP 範囲は仮想ネットワーク内で一意である必要がある
- サブネットの IP 範囲は同じ仮想ネットワーク内で他のサブネットと重複できない
- Azure portal で仮想ネットワークを作成可能(サブスクリプション、リソースグループ、ネットワーク名、リージョンを指定)
IP アドレス指定を計画する
Azureリソースは、他のAzureリソースやオンプレミス、インターネットと通信するためにIPアドレスを割り当てられる。IPアドレスにはプライベートとパブリックの2種類があり、プライベートIPは仮想ネットワークやオンプレミスとの内部通信に使用され、パブリックIPはインターネット接続や公共向けサービスへのアクセスに利用される。
IP アドレスについて知っておくべき事項
- IPアドレスは静的または動的に割り当て可能
- 動的・静的IPを異なるサブネットに分割できる
- 静的IPアドレスの特徴と利用シーン:
- DNS名の解決に最適(IPが変わるとホストレコード更新が必要)
- IPアドレスベースのセキュリティモデルを使用するアプリやサービス
- IPアドレスにリンクされたTLS/SSL証明書
- IP範囲でトラフィックを制御するファイアウォール規則
- ドメインコントローラーやDNSサーバーなどロールベースのVM
パブリック IP アドレス指定を作成する
Azure portal でリソースのパブリック IP アドレスを作成でき、 たとえば、仮想マシンのパブリック IP アドレスを作成できる。
パブリック IP アドレスを作成する際の考慮事項
- IPバージョン: IPv4、IPv6、または両方を選択
- SKU: BasicまたはStandard。使用するロードバランサーのSKUと一致させる必要あり
- 名前: リソースグループ内で一意の名前を設定
-
IPアドレスの割り当て: 静的または動的を選択
- 動的: リソースに関連付けられた時に割り当て。リソース停止・削除で変化する場合あり
- 静的: 作成時に割り当て。リソースが削除されるまで解放されない。関連付け済みリソースでは変更不可の場合あり
パブリック IP アドレスを関連付ける
パブリックIPアドレスは、仮想マシンのネットワークインターフェイスやインターネット接続用のロードバランサー、VPNゲートウェイ、アプリケーションゲートウェイに関連付け可能で、動的・静的の両方の割り当てに対応する。
パブリック IP アドレスを関連付ける際の考慮事項
| リソース | パブリック IP アドレスの関連付け | 動的 IP アドレス | 静的 IP アドレス |
|---|---|---|---|
| 仮想マシン | NIC | はい | はい |
| Load Balancer | フロント エンド構成 | はい | はい |
| VPN Gateway | VPN ゲートウェイ IP 構成 | はい | はい * |
| アプリケーションゲートウェイ | フロント エンド構成 | はい | はい * |
※ 静的 IP アドレスは特定の SKU でのみ使用できる
パブリック IP アドレスの SKU
パブリック IP アドレス作成時に Basic SKU か Standard SKU を選択する。SKU の選択は、IP の割り当て方法、セキュリティレベル、対応リソース、冗長性オプションに影響する。
| 特徴 | Basic SKU | Standard SKU |
|---|---|---|
| IP 割り当て | 静的または動的 | 静的のみ |
| セキュリティ | デフォルトで受信トラフィックが開放 | デフォルトで受信トラフィックは閉じられ、安全性が高い |
| 対応リソース | NIC、VPN ゲートウェイ、アプリゲートウェイ、インターネット接続ロードバランサー | NIC、Standard パブリックロードバランサーのみ |
| 冗長性 | ゾーン冗長なし | ゾーン冗長あり(高可用性) |
このように整理すると、Basic は柔軟で簡単に使えるが冗長性やセキュリティは控えめ、Standard は静的で安全・冗長性あり、と理解しやすくなる。
プライベート IP アドレスを割り当てる
プライベート IP アドレスは、仮想マシンのネットワーク インターフェイス、内部ロードバランサー、アプリケーションゲートウェイに関連付け可能。割り当ては Azure による動的割り当ても、ユーザーが指定する静的割り当ても選べる。
プライベート IP アドレスを関連付ける際の考慮事項
| リソース | プライベート IP の関連付け | 動的 IP | 静的 IP |
|---|---|---|---|
| 仮想マシン | ネットワークインターフェイス (NIC) | はい | はい |
| 内部ロードバランサー | フロントエンド構成 | はい | はい |
| アプリケーションゲートウェイ | フロントエンド構成 | はい | はい |
プライベート IP アドレスの割り当て
プライベート IP アドレスは、仮想ネットワークのサブネット内から割り当てられる。割り当て方法には動的と静的がある。
-
動的: Azure がサブネット内の次に利用可能な未割り当て IP を自動で割り当てる。既定の方法
- 例: 10.0.0.4~10.0.0.9 が使用中なら、次のリソースには 10.0.0.10 が割り当てられる
-
静的: 利用可能な未割り当て IP を自分で選択して割り当てる
- 例: サブネット 10.0.0.0/16 で 10.0.0.4~10.0.0.9 が使用中の場合、10.0.0.10~10.0.255.254 の範囲から選択可能
演習: 仮想ネットワークを作成して構成する
組織が Web ベースのアプリケーションを Azure に移行している。最初のタスクは仮想ネットワークとサブネットを配置すること。さらに、仮想ネットワークを安全にピアリングする必要がある。
- 必要な仮想ネットワークは app-vnet と hub-vnet の 2 つ
- 仮想ネットワークは ハブ アンド スポーク ネットワーク アーキテクチャ をシミュレート
-
app-vnet はアプリケーションをホスト
- フロントエンドサブネット:Web サーバー用
- バックエンドサブネット:データベース用
- hub-vnet はファイアウォール用サブネットのみ
- 2 つの仮想ネットワークは 仮想ネットワーク ピアリング を使用し、安全かつ非公開で通信
- 両方の仮想ネットワークは 同じリージョン に配置
アーキテクチャ図
ハブ&スポーク型の仮想ネットワークとサブネットを作成する
Azure 仮想ネットワークは、さまざまな Azure リソースが互いに、安全に通信できる仕組みを提供する。インターネットやオンプレミスのネットワークとも接続可能。仮想ネットワーク内のすべてのリソースは、サブネットに配置される。
- Azure ポータルにサインイン - https://portal.azure.com
- Virtual Networks を検索して選択
- + 作成 を選択し、app-vnet の構成を完了する。この仮想ネットワークには、frontend サブネットと backend サブネットの 2 つのサブネットが必要
注意:その他の設定はすべてデフォルトのままにする。完了したら レビュー + 作成 を選択し、作成をクリック
- Hub-vnet 仮想ネットワークの構成を作成する。この仮想ネットワークには firewall サブネットが含まれる
- デプロイが完了したら、仮想ネットワーク を検索して選択する
- 仮想ネットワークとサブネットが正しくデプロイされたことを確認する
仮想ネットワーク間のピアリング関係を構成する
仮想ネットワーク ピアリングは、Azure 内の 2 つ以上の仮想ネットワークをシームレスに接続できる機能
-
app-vnet仮想ネットワークを検索して選択 - 設定ブレードで Peerings を選択
- + Add をクリックして、2 つの仮想ネットワーク間のピアリングを作成
注意: 他の設定はすべてデフォルトのままにする
Add を選択して仮想ネットワーク ピアリングを作成
- デプロイが完了したら、ピアリングのステータスが Connected になっていることを確認
