AZ-900

【AZ-900】Azure仮想ネットワークとは?基本的なネットワーキングサービスまとめ

【AZ-900】Azure仮想ネットワークとは?基本的なネットワーキングサービスまとめ

どうも、フリーランスエンジニアのMakotoです。

Azureで仮想マシンなどを利用する場合、Azure上にあるサーバ同士を連携させたり、オンプレミス環境やインターネットと接続することはよくあります。

従来の物理環境の場合、ルータやスイッチと呼ばれるネットワーク機器を設置し、それらをコンピュータとLANケーブルで結線して接続しますが、クラウドの場合は仮想化技術によりそういったネットワークを簡単に作成することができます。

今回は、Azureの基本的なネットワーキングサービスの概要について解説します。

それではいってみましょう!

仮想ネットワーク(VNet)とは?

仮想ネットワーク(Virtual Network)は、Azure内にプライベートネットワークを構成するための基本となるサービスです。

仮想マシンなどの様々なリソースを他のAzureリソース、インターネット、オンプレミスと接続するために利用します。(以降、仮想マシン前提で記載します)

Azureポータルで表示されるサービス名は「仮想ネットワーク」で、VNetと略して呼ぶことも多いです。

仮想ネットワーク(VNet)とは

VNetには 10.0.0.0/16 などのプライベートアドレス空間を割り当てて、そのアドレス空間をさらに 10.0.1.0/24 など1つ以上のサブネットに分割します。仮想マシンはこのサブネットに配置することになります。

VNet内の仮想マシン同士はサブネットが異なっていても通信できますが、別のVNetに所属する仮想マシンとはデフォルトでは接続できないようになっています。

サブネットの分割について補足すると、こちらの記事で解説したように、VNet内のトラフィックを制御するためのネットワークセキュリティグループ(NSG)はサブネットに割り当てる場合が多いので、許可/拒否するパターンに応じたセキュリティ観点での分割がオススメです。

【AZ-900】ネットワークセキュリティグループとは?仕組みと注意点を解説!
【AZ-900】ネットワークセキュリティグループとは?仕組みと注意点を解説!どうも、フリーランスエンジニアのMakotoです。 今回は、ネットワークセキュリティグループについて解説します。その名の通り、ネッ...

なお、図中では明示していませんが、デフォルトでインターネットとの接続は可能です。インターネット宛や同一VNet内の接続が初めから可能なのは、Azureによってサブネットごとに自動作成されるシステムルートのおかげです。(ただし、既定の送信アクセスが廃止されるとパブリックIPアドレスの割り当てが必要)

Azureシステムルート

出典:仮想ネットワーク トラフィックのルーティング

2025 年 9 月 30 日に「既定の送信アクセス」が廃止される予定です。仮想マシンにパブリックIPアドレスが割り当てられていない場合、インターネットに接続するには次のいずれかが必要になります。

  • 仮想マシンにパブリックIPアドレスを割り当て
  • NATゲートウェイ
  • パブリックロードバランサー

参考:Azure での既定の送信アクセス

そしてもう一点補足。
AWSを学んだことがある人は勘違いしやすいポイントですが、Azureのサブネットは可用性ゾーン(AZ)が固定されません(指定しません)ので、1つのサブネットで異なるAZに仮想マシンを配置することができます。

VNetを他の場所とつなぐ方法

デフォルトではVNet内とインターネットには接続できますが、それ以外の場所と接続するためのサービスも用意されています。

VNetをどことつなぐためのサービスか?を意識しながら読み進めてみてください。

仮想ネットワークピアリング

仮想ネットワークピアリングは、仮想ネットワーク同士を接続するためのサービスです。デフォルトでは別のVNetと接続できないことを先に述べましたが、ピアリングを使うと接続できるようになります。

仮想ネットワークピアリングとは

こちらの図では、VNetが3つあり次の2か所をピアリングで接続しています。

  • VNetA ⇔ VNetB
  • VNetB ⇔ VNetC

注意点として、VNetA → VnetCへの経路もVNetBを経由して接続できそうに思えるかもしれませんがそれはできません。ピアリングの機能ではルーティングは考慮されないためです。VNetA ⇔ VNetCを繋ぎたい場合はココもピアリングで接続します。

VPNゲートウェイ

VPNゲートウェイは、主にAzureとオンプレミスをVPN(暗号化通信)で接続するために必要な仮想ルータです。

インターネット回線を利用するので、後述するExpressRouteと比べて安価に構築できる点が特徴です。

VPNゲートウェイとは

VPNゲートウェイを利用した接続形態は実は3種類あり、オンプレミス以外とも接続できます。

  • サイト間接続(Site to Site: S2S)
  • ポイント対サイト接続(Point to Site: P2P)
  • VNet間接続

サイト間接続は、拠点と拠点を結ぶイメージです。この図でいうと、Azure⇔オンプレミスの接続、具体的にはVPNゲートウェイとオンプレミスにある物理デバイスの接続です。

ポイント対サイト接続は、人(のデバイス)= ピンポイントのデバイスと拠点を結ぶイメージです。在宅勤務など社外からリモートアクセスしたい場合に利用します。この図でいうと、Azure⇔社外環境の接続、具体的にはVPNゲートウェイとパソコン(のVPN接続機能)との接続です。

VNet間接続は、Azure上のVNet同士の接続ですが、仮想ネットワークピアリングでも実現できるためここでは割愛します。

それぞれの接続パターンの詳細は公式ドキュメントのVPN Gateway の設計を参照してください。

仮想ネットワークピアリングとVPNゲートウェイのVnet間接続の使い分けについては以下の公式ドキュメントを参考にしてください。

仮想ネットワーク ピアリングと VPN ゲートウェイのいずれかを選択

ExpressRoute

ExpressRoute(エクスプレスルート)は、主にAzureとオンプレミスを帯域が確保された閉域網接続サービスで接続するためのサービスです。

先にご紹介したVPNゲートウェイと違い、インターネットには出ません。NTTやEquinixなど専門の回線事業者と契約した上で閉域ネットワークを通じて接続されます。※別契約が必要なのでAzureだけでは完結しないということです

ExpressRouteとは

インターネット回線を利用する場合、ベストエフォート型のためネットワークの混雑状況などにより回線の品質が左右されてしまいます。

ExpressRouteでは、50Mbps、100Mbpsなど回線の帯域幅を選択して利用するようになっておりその帯域が保証されます。

もちろん帯域幅に比例してコストも高くなりますが、高速かつ低遅延の高品質なネットワークで接続したい場合の選択肢となります。

なお、ExpressRouteではオンプレミス⇔Azure以外にも、オンプレミス⇔Microsoft 365などMicrosoftの他のクラウドサービスとの接続にも利用できます。

Azure ExpressRoute とは

出典:Azure ExpressRoute とは

まとめ

今回はAzureの基本的なネットワーキングサービスの概要について解説しました。

Azureのコンピューティングサービスでは仮想ネットワークの利用が前提になっていたり、あるいは、仮想ネットワークとの統合がオプションとして用意されています。Azureのネットワークに関する基本サービスとしてVnetがある点をおさえておきましょう。

また、Vnetを他の場所をつなぐオプションについて簡単にまとめると次のようになります。

サービス名主な用途設定の難易度
仮想ネットワークピアリングVNet同士の接続
VPNゲートウェイインターネットVPNでオンプレミスと接続
ExpressRoute閉域ネットワークでオンプレミスと接続

AZ-900の試験対策としては概要をおさえておけば十分だと思います。それぞれの用途をしっかり覚えておきましょう!

Azure入門コースを見る