Azureネットワークとサブネットをやさしく整理する
AZ-900では、Azureのネットワーク概念がよく出題されます。
特に 仮想ネットワーク(VNet) と サブネット は、クラウドの基礎として必ず押さえておきたい領域です。この記事では、AZ-900の学習者向けに「試験で問われるポイント」にフォーカスして解説します。
■ 1. 仮想ネットワーク(VNet)とは
VNet = Azure上に作るプライベートなネットワーク空間
オンプレのネットワークに近い概念ですが、クラウドならではの柔軟性があります。
試験で問われるポイント
- VNetは Azure上の論理的に分離されたネットワーク
- プライベートIPアドレス(RFC1918)を使用
- サブネットに分割してリソースを配置
- VPN Gateway や ExpressRoute でオンプレと接続可能
- NSG(Network Security Group)で通信制御ができる
■ 2. サブネットとは
次にサブネット。
サブネット = VNetをさらに細かく区切ったネットワーク
Web、AP、DBなど用途ごとに分けることで、セキュリティや管理がしやすくなります。
試験で問われるポイント
- サブネットは VNet内の分割単位
- サブネットごとにNSGやルートテーブルを適用できる
- 一部サービスは専用サブネットが必要(Azure Firewall など)
■ 3. Azureが予約するIPアドレス
| IP | 用途 |
|---|---|
| .0 | ネットワークアドレス |
| .1 | デフォルトゲートウェイ |
| .2〜.3 | Azure内部で使用 |
| .255 | ブロードキャスト(内部予約) |
→ サブネットは最低 /29 が必要(実務知識として覚えておくと良い)
■ 4. サブネットに設定できる主な機能
● NSG(Network Security Group)
- 仮想ファイアウォールのようなもの
- インバウンド/アウトバウンド通信を制御
- サブネット単位・NIC単位で適用可能
「NSGはネットワークレベルのアクセス制御を行う」
これを覚えておけば試験で困りません。
● ルートテーブル(UDR)
- 特定の通信を別の経路に流すための設定
- Azure Firewall や NVA を経由させるときに使う
● サービスエンドポイント / プライベートエンドポイント
- Azure Storage や SQL Database を VNet経由で安全にアクセス
- パブリックインターネットを通らない
「AzureサービスにプライベートIPでアクセスできる」
これがキーワードです。
■ 5. よくあるVNet構成
● シンプル構成
VNet
├─ Web Subnet
└─ DB Subnet
AZ-900では「サブネットはVNetの中に複数作れる」という理解で十分。
● ハブ&スポーク構成
Hub VNet
├─ Firewall Subnet
└─ Gateway Subnet
Spoke VNet A
└─ App Subnet
Spoke VNet B
└─ DB Subnet
AZ-900では「ハブ&スポーク構成はネットワークを整理するための一般的な構成」と覚えておけばOK。
■ 6. つまずきやすいポイント
❌ 「VNetとサブネットの違いが曖昧」
→ VNetは大枠、サブネットはその中の区画
❌ 「NSGとFirewallの違いがわからない」
→ NSGはネットワークレベルのアクセス制御、Firewallはより高度なセキュリティ機能
❌ 「プライベートエンドポイントの役割が曖昧」
→ AzureサービスにプライベートIPでアクセスできる仕組み
■ まとめ
- VNetはAzure上のプライベートネットワーク
- サブネットはVNetを用途ごとに分割したもの
- NSGはネットワークレベルのアクセス制御
- プライベートエンドポイントはAzureサービスにプライベートIPでアクセスする仕組み
- VNetとサブネットの関係性を理解しておくと試験で有利
AZ-900では細かい設定よりも「概念の理解」が重要です。
ネットワークは最初は難しく感じますが、図を描きながら学ぶと一気に理解が進みます。