Cloud Service
Azure Virtual Network
Azure 上に作る自分専用の仮想ネットワーク。サブネット・ルーティング・NSG で通信を設計する土台。AWS の Amazon VPC に相当。
中級セキュリティ信頼性パフォーマンス効率
最終更新: 2026-06-03公式ドキュメント ↗
TL;DR要点だけ先に
- 1.Azure 上に作る自分専用の仮想ネットワークの土台。
- 2.サブネット・NSG・UDR で通信範囲とルーティングを設計。
- 3.箱自体は無料。AWS の VPC に相当する基盤。
解決する課題
物理ネットワーク機器を調達せず、ソフトウェア定義で隔離された通信環境をすぐ用意できます。
- リソースをネットワーク的に隔離し、外部から触れる範囲を最小化
- 「公開する層」と「隠す層」をサブネットで分離(Web ⇄ DB など)
- オンプレや他 VNet と安全に接続(ピアリング / VPN / ExpressRoute)
主要概念と用語
- アドレス空間 (CIDR): VNet の IP 範囲(例
10.0.0.0/16)。RFC1918 のプライベート範囲を使うのが基本。複数 CIDR を後から追加可能 - サブネット: VNet をさらに区切った区画(例
10.0.1.0/24)。VNet と同じリージョン内に閉じる - ネットワークセキュリティグループ (NSG): サブネットや NIC に紐づけるステートフルなファイアウォール(AWS の SG に近いがサブネット単位にも適用可)
- ルートテーブル (UDR / ユーザー定義ルート): 既定経路を上書きしてトラフィックを制御
- パブリック IP: リソースをインターネットに公開するための IP。VNet そのものではなくリソースに付与
- NAT Gateway: プライベートなリソースから外向きのみ通信させるマネージド SNAT
- サービスエンドポイント / プライベートエンドポイント: PaaS(Storage / SQL 等)へインターネットを経由せず接続
仕様・制限・クォータ
- VNet は単一リージョン・単一サブスクリプションに属する。リージョンを跨ぐ通信はピアリングや接続サービスが必要
- 各サブネットで先頭・末尾の5 個の IP を Azure が予約(
.0ネットワーク、.1既定ゲートウェイ、.2/.3Azure DNS、末尾のブロードキャスト) - サブネットは作成後にアドレス範囲を縮小・変更しにくい → 設計時に余裕を持たせる
- VNet 数・サブネット数・NSG ルール数などにサブスクリプション単位の上限(多くは引き上げ申請可)
内部の仕組み
Azure VNet はホスト OS の**ハイパーバイザ層で動作する SDN(ソフトウェア定義ネットワーク)**として実装され、物理ネットワーク上にオーバーレイで仮想ネットワークを構成します。
- 既定で同一 VNet 内の全サブネットは相互通信可能(暗黙のシステムルートがある)。分離したければ NSG / UDR で明示的に制限する
- 「パブリックサブネット」という設定項目はなく、リソースにパブリック IP を付けるか、NAT Gateway 経由かでインターネット到達性が決まる
- 2026年3月31日より後の API で作る新規 VNet は、サブネットがプライベート既定となり、インターネットなどの公開エンドポイントへ出るには NAT Gateway・Standard Load Balancer の送信規則・パブリック IP・Firewall/NVA などの明示的な送信方法が必要。既存 VNet や古い API では既定の送信アクセスが残る場合がある
NSG と AWS の SG/NACL の違い
NSG はステートフル(戻り通信を自動許可)。AWS では SG(インスタンス単位)と NACL(サブネット単位)に分かれますが、Azure は NSG 一つで NIC・サブネットの両方に適用できます。サブネット NSG → NIC NSG の順に両方評価される点に注意。
設計パターン / ベストプラクティス
- ハブ&スポーク: 共有サービス(ファイアウォール・DNS・VPN GW)を「ハブ VNet」に集約し、業務系の「スポーク VNet」をピアリング接続
- 3 層構成: フロント(Application Gateway)/ アプリ / DB をサブネットで分け、ゾーン分散で可用性を確保
- プライベートエンドポイント優先: Storage / SQL 等の PaaS は Private Link でプライベート IP 化し、パブリック公開を無効化
- 強制トンネリング: UDR で
0.0.0.0/0を Azure Firewall や NVA に向け、全送信を検査
運用・監視
- VNet フローログで許可・拒否トラフィックを記録(AWS の VPC Flow Logs 相当)。NSG フローログは新規作成が終了しており、既存設定も 2027年9月30日の退役までに移行する
- 「繋がらない」時の確認順: 有効ルート(Effective routes)→ 有効な NSG ルール(Effective security rules)→ DNS → ピアリング状態
- Connection Monitor / Network Watcher の IP フロー検証・NSG 診断で到達性を静的・動的に解析
コスト
| 要素 | 課金 | ポイント |
|---|---|---|
| VNet / サブネット / NSG / UDR | 無料 | ネットワークの箱自体は課金されない |
| VNet ピアリング | 受信・送信データ量に課金 | 同一/別リージョンで単価が異なる |
| NAT Gateway | 時間 + 処理データ量 | 送信集約に便利だが常時課金 |
| パブリック IP | 個数 + 一部は時間課金 | Standard SKU は割り当てで課金 |
| VPN / ExpressRoute Gateway | ゲートウェイ時間 + 転送量 | 接続サービスのコスト主因 |
コスト削減
PaaS への通信は**サービスエンドポイント(無料)**でも内部経路化できます。プライベートエンドポイント(有料)は逆向き解決やオンプレからの到達が必要な場合に選びます。
セキュリティ
- 最小公開: DB などにはパブリック IP を付けず、プライベートサブネット相当に配置
- NSG は許可ルールを最小限に。アプリケーションセキュリティグループ (ASG) で IP ではなく役割(タグ)ベースに整理
- 管理アクセスはAzure Bastionでブラウザから RDP/SSH(公開 IP・踏み台レス)
- 高度な検査が必要ならAzure Firewall / DDoS Protectionを組み合わせる
アンチパターン
管理用に NSG で RDP(3389)/SSH(22) をインターネット全体(0.0.0.0/0)に開放するのは NG。ブルートフォースの標的になります。Azure Bastion か Just-In-Time VM アクセスを使い、常時開放をなくしましょう。
関連サービス・比較(AWS との対応)
| 観点 | Azure Virtual Network | Amazon VPC |
|---|---|---|
| 位置づけ | Azure の基本仮想ネットワーク | AWS の基本仮想ネットワーク |
| スコープ | 単一リージョン(サブネットもリージョン内) | リージョン(サブネットは単一 AZ) |
| 仮想FW | NSG(NIC/サブネット両対応・ステートフル) | SG(ステートフル)+ NACL(ステートレス) |
| 送信専用通信 | NAT Gateway | NAT Gateway |
| VNet/VPC間接続 | VNet ピアリング | VPC ピアリング |
| 多数接続のハブ | Virtual WAN / ハブ&スポーク | Transit Gateway |
| PaaSへの私設接続 | プライベートエンドポイント(Private Link) | インターフェース型VPCエンドポイント |
| 専用線 | ExpressRoute | Direct Connect |
ハンズオン / CLI例
# リソースグループを作成
az group create --name demo-rg --location japaneast
# VNet と最初のサブネットを同時に作成
az network vnet create \
--resource-group demo-rg \
--name demo-vnet \
--address-prefix 10.0.0.0/16 \
--subnet-name web-subnet \
--subnet-prefix 10.0.1.0/24
# プライベート用サブネットを追加
az network vnet subnet create \
--resource-group demo-rg \
--vnet-name demo-vnet \
--name db-subnet \
--address-prefix 10.0.2.0/24
# NSG を作成し、社内 IP からのみ SSH を許可(全開放は避ける)
az network nsg create --resource-group demo-rg --name web-nsg
az network nsg rule create \
--resource-group demo-rg --nsg-name web-nsg \
--name allow-ssh --priority 100 \
--access Allow --protocol Tcp --direction Inbound \
--source-address-prefixes 203.0.113.0/24 \
--destination-port-ranges 22
# NSG をサブネットに関連付け
az network vnet subnet update \
--resource-group demo-rg --vnet-name demo-vnet \
--name web-subnet --network-security-group web-nsg
Azure Service
Azure Virtual Networkを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
ネットワーキング
比較で見る軸
クラウド: Azure / カテゴリ: ネットワーキング / 難易度: intermediate
導入後に効く点
サブネット・NSG・UDR で通信範囲とルーティングを設計。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
数字・仕様の読み方
- クラウド
- Azure
- カテゴリ
- ネットワーキング
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- security / reliability / performance
判断チェックリスト
- 自社の用途が「ネットワーキング / security」に近いか確認する。
- 強みである「Azure 上に作る自分専用の仮想ネットワークの土台。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。
他クラウドの同等サービス
役割が近いサービスです。設計の置き換えや比較検討の参考に。