前提
・アカウント作成済み
・サブスクリプション作成済み
・リソースグループ作成済み
基本情報
| 項目 | 説明 |
|---|---|
| サブスクリプション | Azureリソースの料金管理や請求情報の単位。 |
| リソースグループ | 複数のAzureリソースを論理的にグループ化して管理する単位。 |
| 仮想ネットワーク名 | 仮想ネットワークの名前。 |
| リージョン | リソースをデプロイするAzureの地理的な場所。 |
セキュリティ
| 項目 | 有効化/無効化 | 説明 |
|---|---|---|
| 仮想ネットワークの暗号化 | 無効化 | 高速化ネットワークを有効化する必要があり、仮想ネットワーク内でのみ有効化される。データリンク層の暗号化になり、MACsecを使用し暗号化される。 |
| Azure Bastion を有効にする | 無効化 | Vnet作成と同時に作成できる。あとで作成する。 |
| Azure Firewall を有効にする | 無効化 | 画像[1]を参照。今回は小規模のインフラ環境を作成する予定のため、Basicを想定。こちらは後で作成する。 |
| Azure DDoS ネットワーク保護 | 無効化 | VnetのL3~L7を保護できる。こちらも後で作成する。 |
仮想ネットワーク暗号化間関連の参照先
仕組みとしてvirtual switchを通過の有無の違い。
https://learn.microsoft.com/ja-jp/azure/virtual-network/virtual-network-encryption-overview
Azure Firewallの参考先[1]
IPアドレス
サブネットを追加する
| 項目 | 説明 |
|---|---|
| サブネットの目的 | デフォルトを選択。汎用目的のサブネットとして利用。 |
| 名前 | サブネットの名前を定義。Azureの命名規則に従う |
| IPv4 アドレス空間を含める | 必須。サブネット内で通信するためのIPv4アドレスを有効にする。 |
| IPv4 アドレスの範囲 | サブネットのアドレス範囲をCIDR形式(例: 10.0.1.0/24)で定義。 |
| 開始アドレス | CIDR範囲内の開始アドレスをプルダウンメニューまたは手動で指定 |
| サイズ | 使用可能なIPアドレス数をCIDR範囲 |
| IPv6 アドレス空間を含める | IPv6アドレスが必要な場合、別途赤枠の設定セクションで定義。デフォルトでは無効化されている。 |
| プライベート サブネットを有効にする (既定の送信アクセスなし) | 必須。インターネットへの既定の送信アクセスを無効化する。 |
| NAT ゲートウェイ | 推奨。プライベートサブネットからインターネットに接続する場合、後からNATゲートウェイを追加することを推奨 |
| ネットワーク セキュリティ グループ | 推奨。サブネット単位で管理が効率的。 |
| ルート テーブル | 無効化。VPNゲートウェイやカスタムルートを使用しない場合はデフォルトのシステムルートを利用。 |
| サービス エンドポイント(サービス) | 無効化。Azure SQL Databaseなどのサービスをサブネット内から直接利用する場合に有効化するが、今回は汎用目的のサブネットとして設定。 |
| サブネットをサービスに委任 | 無効化。特定のAzureサービスがサブネット内を専用管理する場合に使用(例: Azure Kubernetes Service など)。今回は汎用サブネットのため無効化。 |
| プライベート エンドポイント ネットワーク ポリシー | 無効化。プライベートエンドポイントを利用しないため、ネットワークポリシーを適用しない設定を使用 |
タグ
レビューと選択
確認し、作成をクリックする
作成後
・ARMテンプレートで作成後、"privateLinkServiceNetworkPolicies": "Enabled"が自動的に有効化されている。
・Azureポータル上でこの設定を有効化するオプションが公式には確認できず、デフォルトで有効化されるように見える。
・初めてVNetを作成すると、リソースグループNetworkWatcherRGが自動的に作成され、さらにそのリソースグループ内にNetworkWatcher_japaneastが作成される。
・これらのリソースは削除することが推奨されていない。ネットワーク監視とトラブルシューティングのために必要なリソースであり、削除しない方が良い。