どうも、フリーランスエンジニアのMakotoです。
Azureで仮想マシンなどを利用する場合、Azure上にあるサーバ同士を連携させたり、オンプレミス環境やインターネットと接続することはよくあります。
従来の物理環境の場合、ルータやスイッチと呼ばれるネットワーク機器を設置し、それらをコンピュータとLANケーブルで結線して接続しますが、クラウドの場合は仮想化技術によりそういったネットワークを簡単に作成することができます。
今回は、Azureの基本的なネットワーキングサービスの概要について解説します。
それではいってみましょう!
仮想ネットワーク(VNet)とは?
仮想ネットワーク(Virtual Network)は、Azure内にプライベートネットワークを構成するための基本となるサービスです。
仮想マシンなどの様々なリソースを他のAzureリソース、インターネット、オンプレミスと接続するために利用します。(以降、仮想マシン前提で記載します)
Azureポータルで表示されるサービス名は「仮想ネットワーク」で、VNetと略して呼ぶことも多いです。
VNetには 10.0.0.0/16 などのプライベートアドレス空間を割り当てて、そのアドレス空間をさらに 10.0.1.0/24 など1つ以上のサブネットに分割します。仮想マシンはこのサブネットに配置することになります。
VNet内の仮想マシン同士はサブネットが異なっていても通信できますが、別のVNetに所属する仮想マシンとはデフォルトでは接続できないようになっています。
サブネットの分割について補足すると、こちらの記事で解説したように、VNet内のトラフィックを制御するためのネットワークセキュリティグループ(NSG)はサブネットに割り当てる場合が多いので、許可/拒否するパターンに応じたセキュリティ観点での分割がオススメです。
なお、図中では明示していませんが、デフォルトでインターネットとの接続は可能です。インターネット宛や同一VNet内の接続が初めから可能なのは、Azureによってサブネットごとに自動作成されるシステムルートのおかげです。(ただし、既定の送信アクセスが廃止されるとパブリックIPアドレスの割り当てが必要)
2025 年 9 月 30 日に「既定の送信アクセス」が廃止される予定です。仮想マシンにパブリックIPアドレスが割り当てられていない場合、インターネットに接続するには次のいずれかが必要になります。
- 仮想マシンにパブリックIPアドレスを割り当て
- NATゲートウェイ
- パブリックロードバランサー
そしてもう一点補足。
AWSを学んだことがある人は勘違いしやすいポイントですが、Azureのサブネットは可用性ゾーン(AZ)が固定されません(指定しません)ので、1つのサブネットで異なるAZに仮想マシンを配置することができます。
VNetを他の場所とつなぐ方法
デフォルトではVNet内とインターネットには接続できますが、それ以外の場所と接続するためのサービスも用意されています。
VNetをどことつなぐためのサービスか?を意識しながら読み進めてみてください。
仮想ネットワークピアリング
仮想ネットワークピアリングは、仮想ネットワーク同士を接続するためのサービスです。デフォルトでは別のVNetと接続できないことを先に述べましたが、ピアリングを使うと接続できるようになります。
こちらの図では、VNetが3つあり次の2か所をピアリングで接続しています。
- VNetA ⇔ VNetB
- VNetB ⇔ VNetC
注意点として、VNetA → VnetCへの経路もVNetBを経由して接続できそうに思えるかもしれませんがそれはできません。ピアリングの機能ではルーティングは考慮されないためです。VNetA ⇔ VNetCを繋ぎたい場合はココもピアリングで接続します。
VPNゲートウェイ
VPNゲートウェイは、主にAzureとオンプレミスをVPN(暗号化通信)で接続するために必要な仮想ルータです。
インターネット回線を利用するので、後述するExpressRouteと比べて安価に構築できる点が特徴です。
VPNゲートウェイを利用した接続形態は実は3種類あり、オンプレミス以外とも接続できます。
- サイト間接続(Site to Site: S2S)
- ポイント対サイト接続(Point to Site: P2P)
- VNet間接続
サイト間接続は、拠点と拠点を結ぶイメージです。この図でいうと、Azure⇔オンプレミスの接続、具体的にはVPNゲートウェイとオンプレミスにある物理デバイスの接続です。
ポイント対サイト接続は、人(のデバイス)= ピンポイントのデバイスと拠点を結ぶイメージです。在宅勤務など社外からリモートアクセスしたい場合に利用します。この図でいうと、Azure⇔社外環境の接続、具体的にはVPNゲートウェイとパソコン(のVPN接続機能)との接続です。
VNet間接続は、Azure上のVNet同士の接続ですが、仮想ネットワークピアリングでも実現できるためここでは割愛します。
それぞれの接続パターンの詳細は公式ドキュメントのVPN Gateway の設計を参照してください。
仮想ネットワークピアリングとVPNゲートウェイのVnet間接続の使い分けについては以下の公式ドキュメントを参考にしてください。
ExpressRoute
ExpressRoute(エクスプレスルート)は、主にAzureとオンプレミスを帯域が確保された閉域網接続サービスで接続するためのサービスです。
先にご紹介したVPNゲートウェイと違い、インターネットには出ません。NTTやEquinixなど専門の回線事業者と契約した上で閉域ネットワークを通じて接続されます。※別契約が必要なのでAzureだけでは完結しないということです
インターネット回線を利用する場合、ベストエフォート型のためネットワークの混雑状況などにより回線の品質が左右されてしまいます。
ExpressRouteでは、50Mbps、100Mbpsなど回線の帯域幅を選択して利用するようになっておりその帯域が保証されます。
もちろん帯域幅に比例してコストも高くなりますが、高速かつ低遅延の高品質なネットワークで接続したい場合の選択肢となります。
なお、ExpressRouteではオンプレミス⇔Azure以外にも、オンプレミス⇔Microsoft 365などMicrosoftの他のクラウドサービスとの接続にも利用できます。
まとめ
今回はAzureの基本的なネットワーキングサービスの概要について解説しました。
Azureのコンピューティングサービスでは仮想ネットワークの利用が前提になっていたり、あるいは、仮想ネットワークとの統合がオプションとして用意されています。Azureのネットワークに関する基本サービスとしてVnetがある点をおさえておきましょう。
また、Vnetを他の場所をつなぐオプションについて簡単にまとめると次のようになります。
| サービス名 | 主な用途 | 設定の難易度 |
|---|---|---|
| 仮想ネットワークピアリング | VNet同士の接続 | 低 |
| VPNゲートウェイ | インターネットVPNでオンプレミスと接続 | 中 |
| ExpressRoute | 閉域ネットワークでオンプレミスと接続 | 高 |
AZ-900の試験対策としては概要をおさえておけば十分だと思います。それぞれの用途をしっかり覚えておきましょう!
