Azure 仮想ネットワークの概要について

Azure 仮想ネットワークとは

Azure 仮想ネットワークとは、Azure 上にプライベートのネットワーク基盤を作成できるAzure サービスです。通常、ネットワーク基盤を構築する場合、各種ネットワーク機器、環境などの準備が必要となります。サービスごとにそのようなネットワーク基盤を用意する場合、コストや時間を多く必要とします。これらのコストや時間をかけず、ネットワーク基盤をAzure 上に作成できるサービスがAzure 仮想ネットワークとなります。Azure 上にネットワーク基盤を作成することで、各種Azure リソースやオンプレミスの機器、インターネットと安全に通信を行えたり、ネットワークトラフィックのフィルタリングやルーティング、Azure リソースとの統合を行うことができます。

仮想ネットワークの通信について

既定では仮想ネットワーク内のサブネット間でプライベートな通信が可能となっています。サブネット間のルーティングを制御したい場合はルートテーブルを作成しサブネットに関連付ける必要があります。また、仮想ネットワーク間で通信を行うには、仮想ネットワーク間のピアリング作成やVPN ゲートウェイを使用したVPN 接続などが必要となります。

仮想ネットワークの作成・操作について

Azure 仮想ネットワークは以下のツールから操作できます。

• Azure Portal
• Azure CLI、PowerShell などのCLI ツール
• ARM、Bicep、Terraform などのIaC ツール

価格について

Azure 仮想ネットワークは無料で使用できます。仮想ネットワークに属する各種リソースや一部機能において料金が発生します。

• Virtual Network の価格

Azure 仮想ネットワークの機能

Azure 仮想ネットワークではネットワーク基盤の構築以外に次のような機能があります。

• NSG、ASG を使用した仮想ネットワークのトラフィック制御
• 仮想ネットワーク間のピアリング接続
• DDos 保護やAzure Policy などを使用したセキュリティ機能
• Azure サービスの統合
• VPN、ExpressRoute を使用したオンプレミスネットワークとの接続

NSG、ASG を使用した仮想ネットワークのトラフィック制御

仮想ネットワーク内のトラフィック制御を行うには、NSG (ネットワークセキュリティグループ) やASG (アプリケーションセキュリティグループ) を使用します。NSG やASG を使用することで優先度や送信元 (送信先) の指定やプロトコル、ポートの範囲といった詳細なトラフィック制御を行うことができます。

仮想ネットワーク間のピアリング接続

仮想ネットワーク間で通信を行うには、各仮想ネットワーク間でピアリングを作成する必要があります。ピアリングについては、同じリージョンの仮想ネットワーク間や異なるリージョンの仮想ネットワークのいずれも可能です。また、ピアリングの接続はMicrosoft のバックボーンを使用するため、仮想ネットワーク間で安全に通信することができます。

DDos 保護やAzure Policy などを使用したセキュリティ機能

仮想ネットワークでは、Azure DDos Protection を使用したDDos 攻撃の保護やAzure Policy を使用したネットワークに関するコンプライアンスの準拠も行うことができます。また、セキュリティについては前述のNSG やASG、後述のPrivate Link やサービスエンドポイント、サービスタグを使用することで仮想ネットワークの通信を安全に行うことができます。

Azure サービスの統合

Azure 仮想ネットワークでは、仮想ネットワーク内に各種Azure サービスのデプロイができます。仮想ネットワーク内にデプロイすることで、Azure サービスに対しプライベートIP アドレスでの通信やNSG を使用したトラフィック制御も可能となります。ただし、サービスによっては専用のサブネットを必要とするなど注意が必要です。

Azure サービスのデプロイ以外にも、サブネットとAzure サービスを直接接続するPrivate Link や個々のインスタンスなどに接続するサービスエンドポイント、Azure サービスのトラフィック制御を行うサービスタグなどもあります。

VPN、ExpressRoute を使用したオンプレミスネットワークとの接続

仮想ネットワーク内に仮想ゲートウェイを作成しVPN 、ExpressRoute を使用することでインターネットを介さずオンプレミスのネットワークと直接接続することができます。これらのサービスを使用することで、インターネットを経由して接続したくないシステムなどに対し、安全に通信を行うことができます。

Azure 仮想ネットワークの制限

仮想ネットワーク、サブネットの上限数

仮想ネットワークはサブスクリプション内のリージョン単位で分けられており、1つのリージョンで最大1,000 個の仮想ネットワークを作成できます。例えば、SubscriptionA のサブスクリプション内で東日本リージョンにVirtual Network を作成する場合、東日本リージョンでは最大1000 個の仮想ネットワークを作成できることになります。また、リージョン単位で分かれているため、東日本リージョンで仮想ネットワークを1000 個作成後、西日本リージョンで仮想ネットワークを新規作成することも可能です。サブネットは1つの仮想ネットワークあたりにつき最大3000 個のサブネットを作成できます。仮想ネットワーク、サブネットの上限緩和を行う場合、サブスクリプション単位で上限増加のリクエストを申請する必要があります。

仮想ネットワーク、サブネットのプレフィックス、IP アドレスの制約

仮想ネットワークで作成可能なプレフィックスはIPv4 で最大「/2」、最小「/29」です。最小のプレフィックスが「/29」となるのは、サブネット内で5つのIP アドレスが予約されているためです。例えば、「192.168.10.0/24」では、以下5つのIP アドレスが予約されます。

• 192.168.10.0: ネットワークアドレス
• 192.168.10.1: 既定のゲートウェイ用アドレス
• 192.168.10.2、192.168.10.3: Azure DNS IP を仮想ネットワークにマッピングするためのアドレス
• 192.168.10.255: ブロードキャストアドレス

上記IP アドレスが予約されるため、仮想ネットワークで「/29」未満のプレフィックスを指定すると、IP アドレス不足によりサブネットを作成できずエラーとなります。IPv6 の場合は最大「/7」、最小「128」となります。

RFC 1918 で指定されたプライベートアドレスのプレフィックス以外でも仮想ネットワークは作成可能ですが、作成時に「入力したアドレス範囲 'X.X.X.X/X' は、正しく動作しないおそれがあります。～」と警告が表示されます。

まとめ

• Azure 仮想ネットワークを使用することで、Azure 上にプライベートなネットワーク基盤を構築できる。
• NSG やASG、Private Link、サービスエンドポイント、サービスタグを使用することで、仮想ネットワークのトラフィック制御やAzure サービス間の安全な通信を行うことができる。
• 仮想ネットワーク間でピアリングを行うことで、仮想ネットワーク間の通信を行うことができる。
• VPN、ExpressRoute を使用することで、オンプレミスネットワークと仮想ネットワーク間を直接接続できる。

参考資料

• Azure 仮想ネットワークとは
• ネットワーク分離のために Azure サービスと仮想ネットワークを統合する
• 仮想ネットワーク ピアリング
• ネットワーク セキュリティ グループ
• Azure サブスクリプションとサービスの制限、クォータ、制約