Azure Virtual Network Manager は、リソースをスコープに編成することで仮想ネットワークの管理を簡素化し、効率的な構成と制御を可能にします。 この記事では、スコープのしくみ、リソース管理におけるロール、および Azure の階層構造との対話方法について説明します。 また、ネットワーク グループ、構成、機能などの主要な概念と、テナント間のスコープを管理し、構成の競合を解決する方法についても説明します。
Virtual Network Manager リソースの概要
Azure Virtual Network Manager インスタンスには、次のリソースが含まれています。
ネットワーク グループ: ネットワーク グループは、ネットワークの構成ポリシーを適用できる論理コンテナーです。
構成: Azure Virtual Network Manager には、次の 2 種類の構成が用意されています。
- "接続構成" を使用して、ネットワーク トポロジを作成します。
- "セキュリティ構成" を使用して、仮想ネットワーク間で適用できるルールのコレクションを作成します。
ルール: 仮想ネットワークのグローバル レベルでネットワーク トラフィックを許可または拒否できるネットワーク セキュリティ ルールを設定できます。
範囲
Azure Virtual Network Manager 内の "スコープ" は、リソースを管理するために付与されるアクセス レベルを表します。 スコープの値は、"管理グループ" レベルまたは "サブスクリプション" レベルに設定できます。 リソース階層を管理する方法については、Azure 管理グループに関するページを参照してください。 管理グループをスコープとして選択すると、すべての子リソースがそのスコープ内に含まれます。
注
同じ階層と同じ機能を選択し、(スコープが重複する) 複数の Azure Virtual Network Manager インスタンスを作成することはできません。
管理グループ レベルでスコープを指定する場合は、Virtual Network Manager インスタンスをデプロイする前に、管理グループ スコープで Azure Virtual Network プロバイダーを登録する必要があります。 このプロセスは、Azure portal での Virtual Network Manager インスタンスの作成の一部として含まれていますが、Azure CLI や Azure PowerShell などのプログラムによる方法には含まれません。 管理グループ スコープでのプロバイダーの登録について詳しくは、こちらをご覧ください。
スコープ適用性のしくみがどのように機能するか
構成をデプロイすると、Virtual Network Manager インスタンスは、そのスコープ内のリソースにのみ機能を適用します。 スコープ外のネットワーク グループにリソースを追加しようとすると、自分の意図を表すグループに追加されます。 ただし、Virtual Network Manager インスタンスでは、構成に変更は適用されません。
Virtual Network Manager インスタンスのスコープを更新できます。 更新によりスコープ全体の自動再評価がトリガーされ、スコープの追加で機能が追加されたり、スコープの削除で機能が削除されたりする可能性があります。
テナント間スコープの管理
Virtual Network Manager インスタンスのスコープはテナント間で行うことができますが、このスコープを確立するには別の承認フローが必要です。
まず、スコープ接続リソースを使用して、Virtual Network Manager インスタンス内から目的のスコープの意図を追加します。 次に、ネットワーク マネージャー接続リソースを使用して、スコープ (サブスクリプションまたは管理グループ) から Virtual Network Manager インスタンスを管理するための意図を追加します。 これらのリソースには、関連付けられているスコープが Virtual Network Manager インスタンスのスコープに追加されたかどうかを表す状態が含まれています。
機能
機能とは、Azure Virtual Network Manager に管理を許可するスコープのアクセスです。 Azure Virtual Network Manager には現在、connectivity と securityAdmin という 2 つの機能スコープがあります。同じ Virtual Network Manager インスタンスで両方の機能スコープを有効にすることができます。
階層
Azure Virtual Network Manager を使用すると、ネットワーク リソースを階層で管理できます。 階層は、複数の Virtual Network Manager インスタンスで重複するスコープを管理できることに加え、各 Virtual Network Manager インスタンス内の構成が相互に重なってもかまわないことも意味します。
たとえば、最上位の管理グループを 1 つの Virtual Network Manager インスタンスのスコープとして設定し、子管理グループを別の Virtual Network Manager インスタンスのスコープとして設定することができます。 同じリソースを含む Virtual Network Manager インスタンス間で構成の競合が発生した場合、より高いスコープを持つ Virtual Network Manager インスタンスの構成が適用されます。
次のステップ
- Azure Virtual Network Manager インスタンスの作成方法を確認する。
- ネットワーク グループについて確認する。