用語

• リソースグループ(RG)
• VNET(AzureVertualNetwork)
• SubNET
• ピアリング
• ネットワークセキュリティグループ(NSG)
• ゲートウェイ(GW)
• プライベートエンドポイント
• プライベートDNS
• 仮想ネットワークリンク

とりあえず

最初はマシンの場所など。東京に3カ所あるみたいなので、可用性を考慮して配置。
VM確保したのち、中にRG作っていきます。部屋借りて仕切りするみたいな感じ。
DRや構成についてはこちらが大変わかりやすい。

だいたいこういう感じで領域を作ります。
RG, VNET, SUBNETにはそれぞれ任意の命名をします。
az cliやazure potalから操作可能
ここの例ではVNETをクラスCにしてますので、中のSUBNETの割当てに影響します。

疎通

VNET間同士で通信を行う場合、ネットワーク範囲が異なるため別途設定が必要になります。
Azureではピアリングを行うことで、VNET間通信を可能にします。おそらくルーティングしてるだけ。
例えばRG1にwebサーバ、RG2にDBを立てた場合VNET間疎通が必要になります。
アプリケーション側の立場で見たエンドポイントはいかにもローカルホストって感じですが、実は別ネットワークなんですね。

隠す

セキュリティの時代。
ファイアウォールやDMZみたいなものがGWです、ネットワークの制限がNSG。
アプリケーションゲートウェイやVPNゲートウェイがあります。ちょっと適当に例をあげるとこう。

それっぽくなってきましたね。
RG1は80/443のみ許可、RG2はパブリックを排除、とかってNSGしとけば安全そう。
さらにVPNでないとRG1に入れず、とかってイメージです。

例えばAzureStorage(AWSでいうS3みたいなストレージ)など、サービスを追加する場合、基本はパブリックになります。
パブリックアドレスを公開したくない場合、プライベートにすることが可能ですが
接続のため、プライベートエンドポイントを作成します。
しかし、このアドレスはDHCP的に流動なため、名前解決する必要があります。
プライベートDNSを配置し、ゾーンに仮想ネットワークのプライベートリンクを設定します。
プライベートリンクは、プライベートエンドポイント経由でアクセスするためのやつです。個人的にはシムリンクみたいなものだと思ってます。

ここまで

まだまだ粒度が低いですし、他にももっといろいろありますが
いったんこの辺で。