Azure Communications Gateway を独自の仮想ネットワークに接続するための準備を行う (プレビュー)

  • [アーティクル]

この記事では、Azure Communications Gateway 用の VNet インジェクションを使って、Azure Communications Gateway を独自の仮想ネットワークに接続するために必要な手順について説明します (プレビュー)。 この手順は、制御対象のサブネットに Azure Communications Gateway をデプロイするために必須であり、オンプレミス ネットワークを ExpressRoute Private Peering または Azure VPN Gateway 経由で接続するときに使用されます。 Azure Communications Gateway には、それぞれが独自の接続性を備えた 2 つのサービス リージョンがあり、これらの各リージョンで仮想ネットワークとサブネットを提供する必要があることを意味します。

次の図は、VNet インジェクションを使ってデプロイされた Azure Communications Gateway の概要を示したものです。 ユーザーのネットワークに接続される Azure Communications Gateway 上のネットワーク インターフェイスはユーザーのサブネットにデプロイされ、バックエンド通信サービスに接続されるネットワーク インターフェイスは Microsoft によって引き続き管理されます。

2 つの Azure リージョンにデプロイされた Azure Communications Gateway を示すネットワーク図。各リージョンの Azure Communications Gateway リソースは、オペレーターが制御する IP を使ってオペレーターの仮想ネットワークに接続します。

前提条件

  • お使いの Azure サブスクリプションで、Azure Communications Gateway を有効にします
  • 独自の仮想ネットワークを使用する予定であることをオンボード チームに通知します。
  • 各 Azure リージョン内に、Azure Communications Gateway サービス リージョンとして使用する Azure 仮想ネットワークを作成します。 仮想ネットワークの作成方法を参照してください。
  • 各 Azure 仮想ネットワーク内に、Azure Communications Gateway 専用のサブネットを作成します。 これらの各サブネットには、IP アドレスが 16 個以上 (/28 IPv4 範囲以上) 必要です。 このサブネットは、他の用途には決して使用しないでください。 サブネットの作成方法を参照してください。
  • Azure アカウントに、これらの仮想ネットワークに対するネットワーク共同作成者ロール (またはその親ロール) が付与されていることを確認します。
  • 選択した接続ソリューション (例: ExpressRoute) を Azure サブスクリプションにデプロイし、使用する準備ができた状態にします。

ヒント

ラボのデプロイにはサービス リージョンが 1 つしかないため、この手順の間に設定する必要があるリージョンは 1 つだけです。

仮想ネットワーク サブネットを委任する

Azure Communications Gateway でユーザーの仮想ネットワークを使うには、Azure Communications Gateway にサブネットを委任する必要があります。 サブネットの委任では、サブネットにサービス固有のリソース (ネットワーク インターフェイス (NIC) など) を作成するための明示的なアクセス許可が Azure Communications Gateway に付与されます。

Azure Communications Gateway で使うためにサブネットを委任するには、次の手順のようにします。

  1. 仮想ネットワークに移動し、Azure Communications Gateway 用の最初のサービス リージョンで使う仮想ネットワークを選びます。

  2. [サブネット] を選択します。

  3. Azure Communications Gateway に委任するサブネットを選びます。

    重要

    使うサブネットは、Azure Communications Gateway 専用である必要があります。

  4. [サブネットをサービスに委任]Microsoft.AzureCommunicationsGateway/networkSettings を選んでから、[保存] を選びます。

  5. サブネットの [委任先] 列に Microsoft.AzureCommunicationsGateway/networkSettings が表示されることを確認します。

  6. 他の Azure Communications Gateway サービス リージョンの仮想ネットワークとサブネットに対して、上記の手順を繰り返します。

ネットワーク セキュリティ グループを構成する

Azure Communications Gateway を仮想ネットワークに接続するときは、ユーザーのネットワークから Azure Communications Gateway へのトラフィックを許可するように、ネットワーク セキュリティ グループ (NSG) を構成する必要があります。 NSG には、トラフィックの方向、プロトコル、ソース アドレスとポート、および送信先アドレスとポートに基づいて、トラフィックを許可または拒否するアクセス制御ルールが含まれています。

NSG のルールは、いつでも変更でき、変更は関連付けられているすべてのインスタンスに適用されます。 NSG の変更が有効になるまでに最大 10 分かかる場合があります。

重要

ネットワーク セキュリティ グループを構成しない場合、トラフィックは Azure Communication Gateway のネットワーク インターフェイスにアクセスできなくなります。

ネットワーク セキュリティ グループの構成は 2 つのステップで構成され、サービス リージョンごとに実行します。

  1. 目的のトラフィックを許可するネットワーク セキュリティ グループを作成します。
  2. ネットワーク セキュリティ グループを仮想ネットワークのサブネットに関連付けます。

NSG を使用して、仮想ネットワーク内の 1 つまたは複数の仮想マシン (VM)、ロール インスタンス、ネットワーク アダプター (NIC)、またはサブネットに対するトラフィックを制御できます。 NSG には、トラフィックの方向、プロトコル、ソース アドレスとポート、および送信先アドレスとポートに基づいて、トラフィックを許可または拒否するアクセス制御ルールが含まれています。 NSG のルールは、いつでも変更でき、変更は関連付けられているすべてのインスタンスに適用されます。

NSG の詳細については、「 what is an NSG (NSG の概要)」を参照してください。

関連するネットワーク セキュリティ グループを作成する

オンボード チームと協力して、仮想ネットワークに適したネットワーク セキュリティ グループの構成を決定します。 この構成は、接続の選択 (ExpressRoute など) と仮想ネットワークのトポロジによって異なります。

ネットワーク セキュリティ グループの構成では、Azure Communications Gateway で使われている必要なポート範囲へのトラフィックを許可する必要があります。

ヒント

ネットワーク セキュリティ グループに関する推奨事項を使って、構成がセキュリティのベスト プラクティスと一致することを確認できます。

サブネットとネットワーク セキュリティ グループを関連付ける

  1. ネットワーク セキュリティ グループに移動して、[サブネット] を選びます。
  2. 上部のメニュー バーから [関連付け] を選択します。
  3. [仮想ネットワーク] では、お使いの仮想ネットワークを選択します。
  4. [サブネット] で、お使いの仮想ネットワーク サブネットを選びます。
  5. [OK] を選んで、仮想ネットワーク サブネットとネットワーク セキュリティ グループを関連付けます。
  6. 他のサービス リージョンに対して以上の手順を繰り返します。

次のステップ

Azure Communications Gateway をデプロイする準備をする