Azure Virtual Network Managerとは
公式ドキュメントより
Azure Virtual Network Manager は、サブスクリプション全体でグローバルに仮想ネットワークをグループ化、構成、デプロイ、管理できる管理サービスです。 Virtual Network Manager では、ネットワーク グループを定義して、仮想ネットワークを識別し、論理的に分割することができます。 次に、必要な接続とセキュリティの構成を決定し、ネットワーク グループ内の選択したすべての仮想ネットワークで一度に適用します。
主な利点は簡単に言うと以下かなと思います
- リージョンやサブスクリプション(マルチテナント可)を跨いだvNet間で、ハブ&スポーク構成とメッシュ構成を簡単にデプロイ、管理できる
- 今までは各vNet同士でピアリングを構成する必要があった
- ネットワーク セキュリティ グループの規則を上書きするネットワーク セキュリティ規則を作成することができる
- 各サブネットやNICにそれぞれNSG規則を作成せずにネットワークに対するセキュリティを一元管理できる
2023年3月22日に一部リージョンでGAが発表されました。
Azure Virtual Network Manager は現在、Virtual Network Manager とハブ アンド スポークの接続構成で一般提供されています。
メッシュ接続の構成とセキュリティ管理ルールは、パブリック プレビューのままです。 このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。
また、使用するリージョンによってもリリースの状態が異なりますのでご確認ください。
https://azure.microsoft.com/en-us/explore/global-infrastructure/products-by-region/?products=virtual-network-manager®ions=all
試してみよう
前提条件
Azure Virtual Network Manager(以下、AVNM)のリソースを作成
- スコープで対象の管理グループかサブスクリプションを選択します
- 機能は「接続」、「セキュリティ管理」を選択できますが、今回はどちらも試したいので両方選択します。
接続対象のvNet群を作成
AVNMはあくまで既存のネットワークを管理するものなので、事前に管理対象のリソースを作成する必要があります。
| 項目 | 設定値① | 設定値② | 設定値③ | 設定値④ |
|---|---|---|---|---|
| 名前 | vNet-A | vNet-B | vNet-C | hub-vNet |
| リージョン | East US | East US | East US | East US |
| アドレス空間 | 10.0.0.0/16 | 10.1.0.0/16 | 10.2.0.0/16 | 10.3.0.0/16 |
| サブネット名 | subnet-A | subnet-B | subnet-C | subnet-D |
| サブネットアドレス空間 | 10.0.0.0/24 | 10.1.0.0/24 | 10.2.0.0/24 | 10.3.0.0/24 |
| VM名 | VM-A | VM-B | VM-C | |
| VM NICアドレス | 10.0.0.4 | 10.1.0.4 | 10.2.0.4 |
ネットワークグループの作成
ネットワークグループは接続するVNETをグルーピングします。
グループのメンバーに先程作成したvNetを手動で追加
※グループメンバーの追加にはAzure Policyを利用した動的な追加方法もあります
ハブ&スポーク構成
構成の作成
AVNMのブレードから「構成」⇒「接続構成」
トポロジで「ハブおよびスポーク」を選択し、ハブにhub-vNetを選択
ネットワークグループは先程作成したtest-groupを選択
デプロイ
「構成」は作成しただけでは適用されず、必ずデプロイする必要があります(構成変更時も同様)
デプロイが成功すると、各vNetとhub-vNetの間にピアリングが作成されます。
疎通確認
VM-AにBastionで接続し、pingを叩いてみます。
B,CのVMに疎通ができていることが分かります。
構成の削除
次にメッシュ構成を試したいのでhun-amd-spoke構成は削除しておきます。
メッシュ構成
構成の作成
トポロジで「メッシュ」を選択し、ネットワークグループは同じくtest-groupを選択
デプロイ
デプロイはハブ&スポーク構成の時と同じ
成功すると今回はピアリングが作成されるわけではなく、各vNetの「ネットワークマネージャー」ブレードに接続構成が表示される。
※メッシュ構成はプレビューだからかもしれない
疎通確認
結果はハブ&スポーク構成と同じなので省略
セキュリティ管理の構成
お次はセキュリティの設定方法をみていきます。
AVNMのブレードから「構成」⇒「セキュリティ管理の構成」
ルールコレクションを作成し、ルールをぶら下げる方式です。
今回は試しにVM-AからVM-Cへのpingを拒否してみます。
デプロイ
セキュリティ構成も接続構成と同じくデプロイが必要です。
デプロイが成功すると、VM側の「ネットワーク」にルールが表示されるようになります。
疎通確認
VM-B(10.1.0.4)には疎通ができるが、VM-C(10.2.0.4)には繋がらないことが分かります。
最後に
複数のネットワークを接続したり、管理する際に非常に便利に使えそうです。
時間があればテナント間接続なども試してみたいと思います。
以上、参考になれば幸いです。