Azure Virtual Network Manager に関する FAQ

この記事では、Azure Virtual Network Manager についてよく寄せられる質問に回答します。

全般

どの Azure リージョンで Azure Virtual Network Manager がサポートされていますか?

リージョンのサポートに関する最新情報については、「リージョン別の利用可能な製品」を参照してください。

Azure Virtual Network Manager の一般的なユース ケースは何ですか。

• お使いの環境とその機能のセキュリティ要件を満たすために、ネットワーク グループを作成できます。 たとえば、運用環境とテスト環境のネットワーク グループを作成して、その接続とセキュリティ規則を大規模に管理できます。

  セキュリティ規則の場合は、2 つのコレクションを含むセキュリティ管理者構成を作成できます。 これらのコレクションは、それぞれ運用環境とテスト ネットワーク グループを対象とします。 デプロイ後、この構成では、運用環境のネットワーク リソースに対して 1 セットのセキュリティ規則が適用され、1 セットがテスト環境に適用されます。

• 接続構成を適用して、組織のサブスクリプション全体で多数の仮想ネットワークのメッシュまたはハブおよびスポーク ネットワーク トポロジを作成できます。

• 危険度の高いトラフィックを拒否できます。 企業の管理者は、トラフィックを通常許可するネットワーク セキュリティ グループ (NSG) ルールをオーバーライドする特定のプロトコルまたはソースをブロックできます。

• 常にトラフィックを許可できます。 たとえば、NSG ルールがトラフィックを拒否するように構成されている場合でも、特定のセキュリティ スキャナーが常にすべてのリソースへの受信接続を持つことを許可する場合があります。

Azure Virtual Network Manager を使用する場合のコストはどのくらいですか?

Azure Virtual Network Manager の料金は、アクティブな仮想ネットワーク マネージャー構成がデプロイされた仮想ネットワークを含むサブスクリプションの数に基づいています。 また、ピアリングの料金は、デプロイされた接続構成 (メッシュまたはハブ アンド スポークのいずれか) で管理される仮想ネットワークのトラフィック量に適用されます。

お住まいの地域の現在の価格は、[Azure Virtual Network Manager の価格] ページで確認できます。

Azure Virtual Network Manager をデプロイするにはどうすればよいですか?

Azure Virtual Network Manager のインスタンスと構成は、次のようなさまざまなツールを使用してデプロイおよび管理できます。

• Azure Portal
• Azure CLI
• Azure PowerShell
• Terraform

技術

仮想ネットワークは、複数の Azure Virtual Network Manager インスタンスに属することはできますか?

はい。仮想ネットワークは複数の Azure Virtual Network Manager インスタンスに属することができます。

グローバル メッシュ ネットワーク トポロジとは何ですか?

グローバル メッシュを使用すると、リージョン間の仮想ネットワークが相互に通信できます。 その効果は、グローバル仮想ネットワーク ピアリングの動作に似ています。

作成できるネットワーク グループの数に制限はありますか?

作成できるネットワーク グループの数に制限はありません。

適用されているすべての構成のデプロイを削除するにはどうすればよいですか?

構成が適用されているすべてのリージョンに [なし] 構成をデプロイする必要があります。

自分で管理していない別のサブスクリプションから仮想ネットワークを追加できますか?

はい (それらの仮想ネットワークにアクセスするための適切なアクセス許可がある場合)。

動的グループ メンバーシップとは何ですか?

「動的メンバーシップ」を参照してください。

動的メンバーシップと静的メンバーシップでは、構成のデプロイがどのように異なりますか?

「Azure Virtual Network Manager での構成のデプロイ」を参照してください。

Azure Virtual Network Manager コンポーネントを削除するにはどうすればよいですか?

「Azure Virtual Network Manager コンポーネントの削除および更新のチェックリスト」を参照してください。

Azure Virtual Network Manager には顧客データが格納されますか?

不正解です。 Azure Virtual Network Manager には、顧客データは格納されません。

Azure Virtual Network Manager インスタンスを移動できますか?

いいえ。 Azure Virtual Network Manager では現在、その機能はサポートされていません。 インスタンスを移動する必要がある場合は、それを削除し、Azure Resource Manager テンプレートを使用して別の場所にもう 1 つのインスタンスを作成することを検討できます。

トラブルシューティングのために適用済みの構成を確認するにはどうすればよいですか?

仮想ネットワークの [Network Manager] で、Azure Virtual Network Manager の設定を表示できます。 設定には、適用される接続とセキュリティ管理者の構成の両方が表示されます。 詳細については、「Azure Virtual Network Manager によって適用される構成の表示」を参照してください。

Virtual Network Manager インスタンスのあるリージョンで、すべてのゾーンがダウンするとどうなりますか?

地域的な停電が発生した場合、現在管理されている仮想ネットワーク リソースに適用されているすべての構成はそのまま維持されます。 停電中は、新しい構成を作成することも、既存の構成を変更することもできません。 停電が解消されれば、仮想ネットワーク リソースの管理は以前と同じように継続できます。

Azure Virtual Network Manager によって管理される仮想ネットワークは、管理対象外の仮想ネットワークとピアリングできますか?

はい。 Azure Virtual Network Manager は、ピアリングを使用した既存のハブ アンド スポーク トポロジのデプロイと完全に互換性があります。 スポークとハブの間の既存のピア接続を削除する必要はありません。 移行は、お客様のネットワークにダウンタイムが生じることなく行われます。

既存のハブ アンド スポーク トポロジを Azure Virtual Network Manager に移行できますか?

はい。 既存の仮想ネットワークを Azure Virtual Network Manager のハブ アンド スポーク トポロジに移行するのは簡単です。 ハブ アンド スポーク トポロジ接続構成を作成できます。 この構成をデプロイする時には、Virtual Network Manager によって必要なピアリングが自動的に作成されます。 既存のピアリングはそのまま残るので、ダウンタイムはありません。

仮想ネットワーク間の接続の確立に関して、接続グループは仮想ネットワーク ピアリングとどのような違いがありますか?

Azure では、仮想ネットワーク間の接続を確立する方法として、仮想ネットワーク ピアリングと接続グループの 2 つがあります。 ピアリングは、仮想ネットワーク間で 1 対 1 のマッピングを作成することによって機能します。一方、接続されたグループは、そのようなマッピングなしで接続を確立する新しいコンストラクトを使用します。

接続グループでは、すべての仮想ネットワークが個々のピアリング関係なしで接続されています。 たとえば、3 つの仮想ネットワークが同じ接続グループに属している場合、個々のピアリング関係を必要とせずに、各仮想ネットワーク間を接続できます。

セキュリティ管理規則に例外を作成できますか?

通常、セキュリティ管理規則は、仮想ネットワーク間のトラフィックをブロックするために定義されます。 ただし、特定の仮想ネットワークとそのリソースでは、管理またはその他のプロセスのためにトラフィックを許可する必要がある場合があります。 このようなシナリオでは、必要に応じて例外を作成することができます。 これらのシナリオで、例外を使用して、リスクの高いポートをブロックする方法について説明します。

リージョンに複数のセキュリティ管理者構成をデプロイするにはどうすればよいですか?

1 つのリージョンにデプロイできるセキュリティ管理者構成は 1 つだけです。 ただし、セキュリティ構成で複数のルール コレクションを作成する場合は、リージョンに複数の接続構成が存在する可能性があります。

セキュリティ管理規則は Azure プライベート エンドポイントに適用されますか?

現在、セキュリティ管理規則は、Azure Virtual Network Manager で管理される仮想ネットワークの範囲内にある Azure プライベート エンドポイントには適用されません。

アウトバウンド規則

Azure Virtual WAN ハブをネットワーク グループに含めることはできますか?

いいえ。現時点では、Azure Virtual WAN ハブをネットワーク グループに含めることはできません。

Virtual Network Manager のハブ アンド スポーク トポロジ構成でハブとして Azure Virtual WAN インスタンスを使用できますか。

いいえ。現時点では、Azure Virtual WAN ハブはハブ アンド スポーク トポロジのハブとして使用することはできません。

仮想ネットワークが期待した構成になりません。 どのようにトラブルシューティングすればよいですか。

考えられる解決策については、次の質問に従います。

仮想ネットワークのリージョンに構成をデプロイしましたか?

Azure Virtual Network Manager の構成は、デプロイされるまで有効になりません。 適切な構成で、仮想ネットワーク リージョンへのデプロイを行ってください。

仮想ネットワークはスコープ内にありますか?

ネットワーク マネージャーには、スコープ内の仮想ネットワークに構成を適用するのに必要なアクセスしか委任されません。 リソースは、ネットワーク グループ内にあってもスコープ外の場合には構成は受け取れません。

マネージド インスタンスを含む仮想ネットワークにセキュリティ規則を適用していますか?

Azure SQL Managed Instance には、いくつかのネットワーク要件があります。 これらの要件は、セキュリティ管理規則と競合する目的を持つ、優先度の高いネットワーク インテント ポリシーを通じて適用されます。 既定では、管理者ルールの適用は、これらの意図ポリシーのいずれかを含む仮想ネットワークではスキップされます。 [Allow] 規則は競合のリスクがないため、securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices で AllowRulesOnly を設定することで [Allow Only] 規則を適用することもできます。

セキュリティ構成規則をブロックするサービスを含む仮想ネットワークまたはサブネットに、セキュリティ規則を適用していますか?

特定のサービスでは、適切に機能するために特定のネットワーク要件が必要です。 これらのサービスには、Azure SQL Managed Instance、Azure Databricks、Azure Application Gateway が含まれます。 既定では、これらのサービスを含む仮想ネットワークとサブネットでは、セキュリティ管理者ルールの適用はスキップされます。 [Allow] 規則は競合のリスクがないため、securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET クラスでセキュリティ構成の AllowRulesOnly フィールドを設定することで [Allow Only] 規則を適用することもできます。

制限

Azure Virtual Network Manager のサービス制限とは何ですか?

最新情報については、「Azure Virtual Network Manager の制限事項」を参照してください。

次のステップ

• Azure portal を使用して Azure Virtual Network Manager インスタンスを作成します。