Azureネットワークとは|主なサービスや構築するうえでの注意点を解説

Azureネットワークとは|主なサービスや構築するうえでの注意点を解説

近年、企業の働き方改革により、社員が自宅や遠距離の支店などの外部から社内アクセスするケースが増えてきました。より複雑化する社内ネットワークの課題を解決すべく、クラウドサービスを利用した仮想ネットワークサービスが注目されています。今回は、Microsoft社が提供するAzureネットワークについて、分かりやすく解説します。

目次

Azureネットワークとは

Azure(読み方:アジュール)とは、マイクロソフト社が提供するパブリッククラウドのプラットフォームです。Azureネットワーク(VNet)とは、Azure上に仮想的に構築できるネットワークのことです。Azure複数のサブネットに分割でき、通信のフィルタリングが可能です。また、ルーティング設定をせずに、仮想ネットワーク内やインターネットの通信が可能です。初期設定のルーティング設定を上書きすることで、ルーティングを変更することも可能です。

Azureネットワークに、別のサービスであるAzure Cloud ServicesやAzure Virtual Machinesなどを組み合わせれば、PaaS(読み方:パース)を利用したシステム構築もできます。PaaSは、サーバーやストレージ、ファイアウォール、OSや開発ツール、BIなどを構成可能なプラットフォームです。

他の同じようなプラットフォームサービスに、AmazonグループのAWS(読み方:エー・ダブリュー・エス)があります。また、同グループのAzureネットワークに似たサービスは、Amazon VPC(読み方:アマゾン・ブイ・ピー・シー)といいます。

Azureネットワークの種類

Azureネットワークは、大きく以下の4つに分けられます。

  • Private IP (Azure VNet) のネットワーク
  • Public IP (VNet外) のネットワーク
  • Azure 基板側のネットワーク
  • Azure 外に存在するネットワーク

Azureネットワークの主なサービス

ここでは、Azureネットワークの主なサービスについて紹介します。

【Azureネットワークのサービス一覧】

サービスの種類 サービス名
接続サービス
  • Virtual Network (VNet)
  • Virtual WAN
  • ExpressRoute
  • VPN Gateway
  • Virtual Network NAT Gateway
  • Azure DNS
  • Peering Service
  • Route Server
  • Azure Bastion
アプリケーション保護サービス
  • DDoS 保護
  • Private Link
  • Firewall
  • Web Application Firewall
  • ネットワーク セキュリティ グループ
  • 仮想ネットワーク サービス エンドポイント
アプリケーション配信サービス
  • Content Delivery Network
  • Azure Front Door Service
  • Traffic Manager
  • Load Balancer
  • Application Gateway
ネットワークの監視
  • Azure Network Watcher
  • Azure Monitor Network Insights
  • Azure Monitor
  • ExpressRoute Monitor

数あるAzureネットワークサービスの中でも、把握すべきサービスについて以降で解説します。

Virtual Network

Azure Virtual Network (VNet) は、Azure内のプライベート ネットワークを構築できるサービスです。

主に以下のようなことができます。

  • Azure リソース間の通信

Azure上に、仮想マシンや他の数種類のリソース (Azure App Service Environment、Azure Kubernetes Service など)を配置できます。

  • 相互通信

仮想ネットワークを相互接続することで、ピアリングによって任意の仮想ネットワークのリソースが相互通信できるようになります。

  • インターネットとの通信

VNet 内のすべてのリソースを、インターネットへの送信のみの通信が可能です。 リソースにパブリック IP アドレスやパブリック ロードバランサーを割り当てれば受信も可能です。

  • オンプレミス ネットワークとの通信

VPN Gateway や ExpressRoute を使用すれば、オンプレミス ネットワークとの通信も可能です。

ExpressRoute

Express Routeは、プロバイダー提供のプライベート接続を経由し、オンプレミスのネットワークをMicrosoftのクラウドへ拡張できます。インターネットを経由せず、プライベート接続が可能です。 接続可能なクラウドサービスは、Azure、Microsoft 365、Dynamics 365 などです。

AzureFirewall

Azure Firewall は、リソースを保護するマネージドネットワークセキュリティです。 アプリケーションとネットワークの接続ポリシーを、契約サービス単位ごとに一元的に作成し、記録を残すこともできます。

Application Gateway

Application Gateway は、Webアプリケーションへのトラフィックを管理できるWebトラフィックロードバランサーです。 アプリケーションデリバリーコントローラー(ADC)を提供し、さまざまな負荷分散機能をアプリケーションで利用できるようにします。

Azure Monitor

Azure Monitorは、クラウドやオンプレミスの利用状況を収集・分析して、課題に対してソリューションを提供します。それにより、アプリケーションの可用性やパフォーマンスの最大化を図ります。 また分析によって、アプリケーションの問題点を事前に把握することも可能です。

Azureネットワークを構築で知っておきたいポイント

Azureネットワークを構築する上で、知っておきたい基本的なポイントについて解説します。

アドレス空間とサブネット

VNet内には、ネットワークセグメントが重複しなければ複数のアドレス空間とサブネットを作成できます。アドレス空間とは、一定の連続した識別番号(IPアドレス)で構成される範囲のことです。最低で1つ以上のアドレス空間の割り当てが必要で、クラスA(10.0.0.0/8)、 B(172.16.0.0/12)、 C(192.168.0.0/16) などのプライベートIPアドレスの指定も可能です。

サブネットは、1つのアドレス空間に対して最低1つのサブネットが必要です。サブネットとは、大規模なネットワークの中の、小さなネットワークのことです。アドレス空間内では、設定をしなくともサブネット間の通信は可能ですが、サブネットを分ければルーティングの設定や、セキュリティ設定をサブネットごとに設定できます。

ルーティング

ルーティングとは、通信したい相手へデータを送信する際、効率の良い最適な通信ルートを決定することです。Azure では、システムルートと呼ばれるデフォルトのルートテーブルが、サブネットごとに自動で作成されます。システムルートは、ユーザーにて作成や削除はできませんが、カスタムルートによって設定変更が可能です。

名前解決

名前解決とは、IPアドレスなどコンピューターが識別しやすい形式を人がわかりやすい名前、いわゆるドメイン名へDNS(読み方:ディー・エヌ・エス)によって変換すること、またはその逆を意味します。DNSとはDomain Name Systemの略語で、 ドメイン名を管理・運用するためのシステムです。

Azureで、仮想マシンと仮想ネットワーク内に配置されたリソースを相互に通信できるようにするため、 IP アドレスを使用するよりもドメイン名を使用する方がはるかに容易です。

名前解決を実施する場合、以下の4つの方法があります。

  • Azure DNS プライベート ゾーン
  • Azure で提供される名前解決
  • 独自の DNS サーバーを使用する名前解決
  • Azure DNS Private Resolver

通信方法

Azureネットワークを構築していく上で必要となる通信方法は、以下にあげる3つの方法があります。

  • クライアントコンピュータとの通信方法
  • オンプレミスとの通信方法
  • インターネットとの通信

それぞれ解説します。

クライアントコンピュータとの通信方法

Azureネットワークとクライアントコンピュータとの通信では、P2S VPN(読み方:ピー・ツー・ピー・ブイ・ピー・エヌ) 接続の方式が必要です。

P2S VPNとは、ポイント対サイト接続を意味し、クライアントコンピュータからVPNによって、Azureネットワークへ接続できる構成です。 Azure VPN Gatewayへ接続する際、固定IPアドレスや、VPN用のルータも必要ありません。端末上の VPN クライアントより、VPN Gatewayへ接続を要求すれば通信できます。

オンプレミスとの通信方法

オンプレミスとの通信には、以下2つの方法があります。

  • S2S VPN 接続

    S2Sとは、サイト対サイトを意味し、オンプレミスとAzureネットワークをサイト間VPN接続します。オンプレミスのグローバル IP アドレスとアドレス空間を、仮想ネットワーク上のローカルネットワークゲートウェイに指定し接続します。

  • Express Routeを介した接続

    通信事業者が用意した専用線や閉域網を経由して接続します。一般のインターネット回線を活用しないので、高セキュアで安定した通信を確保できます。

インターネットとの通信

Azureネットワーク内のリソースに、パブリックIPアドレスの設定、またはパブリックロードバランサーを経由して接続することで、インターネットからの接続が可能となります。

Azureネットワークを構築する上での注意点

ここでは、Azureネットワークを構築するうえでの注意点について解説します。

Azureネットワークを構築する上での注意点は主に以下の3つです。

  • VPN接続出来るのはVNetのみ
  • 複数のリージョンを跨いだ利用ができない
  • 2種類のVNetデプロイモデルの異なる項目に注意

VPN接続出来るのはVNet のみ

Azure Storage などのPaaSへVPN 接続したい場合、接続できるのはVNet(Azureネットワーク)のみとなり、Public IPへ接続する場合は、ExpressRouteのMicrosoft Peeringが必要となります。なおMicrosoft Peeringとは、AzureとMicrosoftオンラインサービスにおいて、通信事業者のネットワークとMicrosoftのグローバルネットワーク間の相互接続のことです。

複数のリージョンを跨いだ利用ができない

Azureネットワークを構築する際、基本的に複数のリージョンをまたいだ利用ができません。あたかも同じネットワーク上にあるかのように、異なるリージョンのリソースを利用する場合、 V2V 接続やGlobal VNet Peering を実施する必要があります。なおV2V接続とは、VNet間接続とも呼ばれ、S2S接続と類似した実装方法です。

2種類のVNetデプロイモデルの異なる項目に注意

VNetには、クラシックデプロイモデル(Azure 仮想マシン V1 )と、 Azure Resource Manager(Azure仮想マシンV2)の 2種類のデプロイモデルがあります。それぞれ、サブネットの規定数・上限数と仮想ネットワーク数が異なるため注意が必要です。

まとめ

Azureネットワークとは、Microsoft社が提供するクラウドサービスAzure上に構築する、仮想ネットワークです。Azure上のリソースと、オンプレミス環境を接続することも可能なため、クラウド化できない社内システムと連携することも可能です。

Azureネットワークと接続するのに最適なインターネットVPNとして、NECのClovernet Standardがおすすめです。Clovernet Standardは、市場シェア第1位を誇るインターネットVPNです。コストの安いブロードバンド回線を使用するため運用コストを抑えつつ、IPSecによるセキュアな通信も実現ができるため、Azureとのネットワーク構築を実現するならClovernet Standardをぜひ検討してみてください。

>>NECのClovernet Standardサービスを見てみる