Azure Virtual Network は、Azure のプライベート ネットワークの基本的な構成要素です。 これにより、Azure リソースは、互い、インターネット、およびオンプレミスネットワークと安全に通信できます。
仮想ネットワークは、独自のデータ センターで運用する従来のネットワークに似ています。 ただし、スケール、可用性、分離など、Azure のインフラストラクチャの追加の利点があります。
仮想ネットワークの概念と次のベスト プラクティスを理解することは、堅牢で安全でスケーラブルなネットワーク アーキテクチャを設計するのに役立ちます。 既存のワークロードを Azure に移行する場合でも、新しいクラウドネイティブ アプリケーションを構築する場合でも、パフォーマンス、セキュリティ、コストの最適化には適切なネットワーク設計が不可欠です。
この記事では、クラウドベースのアプリケーションの効率的で安全でスケーラブルなネットワーク インフラストラクチャを設計するのに役立つ、Azure Virtual Network の主要な概念とベスト プラクティスについて説明します。 Azure ネットワーク戦略を最適化するアドレス空間、サブネット、セキュリティ グループ、アーキテクチャ ガイドラインについて説明します。
Virtual Network の概念
アドレス空間: 仮想ネットワークを作成する場合は、パブリック アドレスとプライベート (RFC 1918) アドレスを使用して、カスタム プライベート IP アドレス空間を指定する必要があります。 Azure は、ユーザーが割り当てたアドレス空間のプライベート IP アドレスを仮想ネットワーク内のリソースに割り当てます。 たとえば、アドレス空間 10.0.0.0/16 の仮想ネットワークに VM をデプロイすると、10.0.0.4 のようなプライベート IP が仮想マシンに割り当てられます。
サブネット: サブネットを使用すると、仮想ネットワークを 1 つ以上のサブネットワークに分割し、仮想ネットワークのアドレス空間の一部を各サブネットに割り当てることができます。 その後、特定のサブネット内に Azure リソースをデプロイできます。 従来のネットワークのように、サブネットでは、組織の内部ネットワークに適したセグメントに仮想ネットワーク アドレス空間をセグメント分割することができます。 セグメント化により、アドレスの割り当ての効率が向上します。 ネットワーク セキュリティ グループを使用して、サブネット内のリソースを保護できます。 詳細については、「ネットワーク セキュリティ グループ」を参照してください。
リージョン: 仮想ネットワークは 1 つのリージョン/場所に範囲が制限されますが、仮想ネットワーク ピアリングを使用すれば、異なるリージョンの複数の仮想ネットワークを相互に接続することができます。
サブスクリプション: 仮想ネットワークはサブスクリプションに範囲が制限されます。 各 Azure サブスクリプションと Azure リージョン内に複数の仮想ネットワークを実装できます。
Best practices
Azure でネットワークを構築するときに、次の汎用的な設計原則に留意することが重要です。
アドレス空間が重複していないことを確認します。 仮想ネットワーク アドレス空間 (CIDR ブロック) が組織の他のネットワークの範囲と重複しないようにします。
サブネットは、仮想ネットワークのアドレス空間全体を対象としてはなりません。 事前に計画し、将来に備えてアドレス空間の一部を予約します。
複数の小さな仮想ネットワークではなく、いくつかの大規模な仮想ネットワークを使用して、管理オーバーヘッドを削減します。
仮想ネットワークの下のサブネットにネットワーク セキュリティ グループ (NSG) を割り当てて仮想ネットワークを保護します。 ネットワーク セキュリティの概念について詳しくは、「Azure のネットワーク セキュリティの概要」をご覧ください。
Next steps
仮想ネットワークの使用を開始するには、仮想ネットワークを作成し、いくつかの VM をそこにデプロイし、VM 間で通信します。 その方法については、仮想ネットワークの作成に関するクイック スタートを参照してください。