Azure

Azure VNet 完全設計ガイド|CIDR / Subnet / NSG / Peering の実装ベストプラクティス

2026-05-24
NicheeLab編集部

Azure Virtual Network (VNet) は、Azure 上の論理的に分離された仮想ネットワークで、Azure を活用するすべてのワークロードの土台となるコア技術です。 VNet の設計は『一度作ったら作り直しが極めて困難』な領域で、初期設計の質がその後のすべてのネットワーク・セキュリティ・運用に影響します。 本記事では、Azure VNet の実装ベストプラクティスを CIDR 設計・Subnet 分割・セキュリティ統合・運用ノウハウの観点から網羅的に整理します。

VNet の基本概念

Azure VNet は、オンプレ環境の VLAN や Subnet に相当する論理ネットワーク概念です。 1 つの VNet は1 つの Azure リージョンに紐付き、CIDR ブロック (例: 10.0.0.0/16) で IP アドレス空間を定義します。 VNet 内のリソース (VM・App Service Environment・Storage Account の Private Endpoint・AKS など) は同一ネットワークセグメントとして通信可能で、外部との通信は明示的に許可された経路 (Internet Gateway・NAT Gateway・VPN Gateway・ExpressRoute Gateway・Peering) のみ許可される、ゼロトラスト原則に近い設計思想です。

CIDR 設計

VNet の CIDR 設計は最重要です。一度設定した CIDR の縮小・変更は困難 (一部拡大は可能) で、変更が必要な場合は VNet 削除→再作成のリホストが発生します。

推奨 CIDR サイズ

  • 環境別 VNet: /16 (65,536 アドレス) を Dev / Stage / Prod 各環境に 1 つずつ割り当て
  • 小規模プロジェクト: /20 (4,096 アドレス) 単一 VNet
  • 大規模エンタープライズ: /14 (262,144 アドレス) を Hub VNet に、/16 を Spoke VNet 各々に

CIDR 選定の原則

  • RFC 1918 のプライベート IP 空間 (10.0.0.0/8・172.16.0.0/12・192.168.0.0/16) から選定
  • 他 VNet との Peering を想定し、CIDR の重複を避ける (全社的な IP アドレス管理表が必須)
  • オンプレネットワーク・他クラウド (AWS / GCP) との重複も避ける
  • 将来の拡張余地を残し、最初から十分大きい (/16 推奨) アドレス空間を確保

Subnet 分割パターン

VNet を機能別の Subnet に分割するのが標準パターンです。 Azure の 3-tier アーキテクチャ標準パターン:

Subnet 名推奨サイズ用途備考
GatewaySubnet/27VPN Gateway / ExpressRoute GatewayAzure 予約名 必須
AzureFirewallSubnet/26Azure FirewallAzure 予約名 必須
AzureBastionSubnet/26Azure BastionAzure 予約名 必須
WebSubnet/24Web Tier (Frontend VM / AKS Ingress)NSG 必須
AppSubnet/24Application Tier (Backend VM / AKS Node)NSG 必須
DBSubnet/24Database Tier (Private Endpoint 配置)NSG 必須・Public 通信遮断
ManagementSubnet/27管理アクセス用 JumpboxNSG で Bastion からのみ許可

Azure 予約名 (GatewaySubnet・AzureFirewallSubnet・AzureBastionSubnet) は必ずその正確な名前で作成する必要があります。誤った名前で作成するとサービスデプロイ時にエラーになります。

Azure 予約 IP アドレス

Azure は各 Subnet で最初の 4 IP と最後の 1 IP の合計 5 IPを予約しています。 例: 10.0.0.0/24 の場合、以下が予約されます。

  • 10.0.0.0: Network Address
  • 10.0.0.1: Default Gateway
  • 10.0.0.2: Azure DNS
  • 10.0.0.3: Azure DNS
  • 10.0.0.255: Broadcast

使用可能 IP は 10.0.0.4 ~ 10.0.0.254 の 251 個。/27 (32 IP) の場合は 27 IP のみ使用可能で、AKS Node や App Service Environment など IP 大量消費するリソースを配置する Subnet は大きめ (/22 以上) に確保することを推奨します。

VNet Peering

2 つの VNet を直接接続する仕組みが VNet Peering です。

  • Regional Peering: 同一リージョン内の 2 つの VNet を接続。低レイテンシ・高帯域。
  • Global Peering: 異リージョンの VNet を接続。Azure バックボーン経由、低レイテンシ。

Peering の料金はトラフィック量課金のみ (時間課金なし) で、Regional Peering は受信 / 送信 0.01 USD/GB、Global Peering は受信 / 送信 0.035-0.06 USD/GB (リージョンによる)。 3 つ以上の VNet を相互接続する場合は、すべての VNet を相互 Peering する Full Mesh 構成は管理が複雑になるため、Hub-Spoke or Virtual WAN への移行を検討するのが定石です。詳細は Hub-Spoke vs Virtual WAN 完全比較 を参照。

セキュリティレイヤ

VNet 内のトラフィックは多層防御で守ります。

レイヤ主な機能料金用途
NSGL3-L4 ステートフル FW、IP/Port/Protocol ベース無料すべての VNet で基本適用
ASGNSG ルールを論理グループ化無料VM のロール別ルール管理
Azure FirewallL3-L7 マネージド FW、FQDN・脅威 TI・TLS 検査 (Premium)月数万-十数万円Hub-Spoke の Hub で組織全体のアウトバウンド統制
NVAパートナー製仮想アプライアンス (Palo Alto・Check Point・Cisco)VM コスト + ライセンス既存ファイアウォールスキル流用
DDoS ProtectionDDoS 攻撃対策 (Network / IP 両プラン)月数十万円-高可用性要件のある公開サービス

基本パターンは NSG を常時適用 + 必要に応じて Azure Firewall を Hub に配置。両者は併用が標準で、相補的な役割を果たします。

DNS 設定

VNet の DNS 設定は『Azure 提供 DNS (Default)』『カスタム DNS (オンプレ DC IP)』『Private DNS Zone』の選択肢があります。

  • Azure 提供 DNS (168.63.129.16): 標準設定、Azure リソース名前解決のみ可能。
  • カスタム DNS: オンプレ AD DNS の IP を指定、ハイブリッド環境で AD 名前解決を統合。
  • Private DNS Zone: VNet 内専用の DNS ゾーン、Private Endpoint の名前解決に必須。
  • Azure DNS Private Resolver: ハイブリッド DNS 解決のマネージドサービス (2022 年 GA)。

VNet 設計の落とし穴

実務でよくある失敗パターン:

  1. CIDR が小さすぎて IP 不足: /24 で始めると AKS 1 つで枯渇するケース多発。最低 /22 推奨。
  2. Subnet 名を Azure 予約名と異なる名前で作成: GatewaySubnet・AzureFirewallSubnet・AzureBastionSubnet は正確な名前必須。
  3. オンプレと CIDR 重複: VPN/ExpressRoute 接続時にルーティング不能。事前に IP アドレス管理表で全社一元管理。
  4. Global Peering を多用してコスト爆発: 多拠点接続なら Virtual WAN を検討。
  5. NSG なしで Public IP 付き VM を公開: セキュリティ事故の典型パターン。デフォルトで NSG を Subnet に適用。
  6. Service Endpoint と Private Endpoint の使い分けを誤る: 詳細は Private Endpoint vs Service Endpoint 参照。
  7. DNS 設定を Default のままにして Private DNS Zone が機能しない: Private Endpoint 配置時は Private DNS Zone を必ず構成。

関連認定試験

VNet 関連知識を体系的に学ぶには Microsoft 認定が最も効率的です。

詳細は Azure ネットワークエンジニア キャリアロードマップ を参照してください。

よくある質問

Azure VNet とは何ですか?

Azure Virtual Network (VNet) は、Azure 上の論理的に分離された仮想ネットワークで、オンプレ環境の VLAN や Subnet に相当する概念です。VNet 内のリソース (VM・App Service・Storage Account の Private Endpoint・AKS など) は同一ネットワークセグメントとして通信可能で、外部との通信は明示的に許可された経路のみ許される、ゼロトラスト原則に近い設計思想です。1 つの VNet は 1 つのリージョンに紐付き、CIDR ブロック (例: 10.0.0.0/16) で IP アドレス空間を定義します。設計の良し悪しがその後のすべてのネットワーク・セキュリティ・運用に影響するため、初期設計は極めて重要です。

VNet の CIDR はどう設計すべきですか?

RFC 1918 のプライベート IP アドレス空間 (10.0.0.0/8・172.16.0.0/12・192.168.0.0/16) から、将来の拡張・他 VNet との Peering 競合・オンプレネットワークとの重複を避けて選定。推奨は 10.x.x.x/16 (65,536 アドレス) を 1 環境 (Dev / Stage / Prod) に割り当てる戦略。Subnet は最低 /27 (32 アドレス、Azure 予約 5 アドレス除き 27 使用可) で分割し、用途別 (Web・App・DB・Bastion・Gateway) に分けるのが王道。CIDR 設計の失敗は VNet 削除→再作成のリホストが必要になるため、最初に十分大きい (/16 推奨) アドレス空間を確保することが鉄則です。

Subnet 分割の標準パターンは?

Azure の 3-tier アーキテクチャ標準パターン: 1) GatewaySubnet (/27、VPN Gateway / ExpressRoute Gateway 専用)、2) AzureFirewallSubnet (/26、Azure Firewall 専用)、3) AzureBastionSubnet (/26、Azure Bastion 専用)、4) WebSubnet (/24、Web Tier の VM / AKS Node)、5) AppSubnet (/24、Application Tier)、6) DBSubnet (/24、Database Tier、Private Endpoint 配置)、7) ManagementSubnet (/27、管理アクセス用 Jumpbox)。各 Subnet には NSG (Network Security Group) を適用してトラフィック制御。Azure 予約名 (GatewaySubnet・AzureFirewallSubnet・AzureBastionSubnet) は必ずその名前で作成する必要があります。

VNet Peering と VPN Gateway の違いは?

VNet Peering は Azure バックボーン経由で 2 つの VNet を直接接続する仕組みで、低レイテンシ・高帯域・トラフィック量課金のみ (時間課金なし)。VPN Gateway は VNet と外部 (オンプレ・別 Azure VNet) を IPsec トンネルで接続する仕組みで、Gateway VM の時間課金が発生 (月数万円〜)。同一 Azure テナント内の VNet 間接続は VNet Peering が推奨。Global Peering (異リージョン間) は同リージョン Peering と同じ機能で利用可能ですが、課金単価は高め。3 つ以上の VNet を相互接続する場合は Hub-Spoke or Virtual WAN への移行検討が現実的です。

NSG と Azure Firewall はどう使い分けますか?

NSG (Network Security Group) は Subnet レベル・NIC レベルで適用される L3-L4 のステートフルファイアウォールで、IP / Port / Protocol ベースのシンプルなルール定義 (Allow / Deny)。料金は無料で全 VNet に標準適用。Azure Firewall は VNet 単位で配置するマネージド L7 ファイアウォールで、FQDN フィルタリング・脅威インテリジェンス・TLS 検査 (Premium)・IDPS (Premium) などの高度機能を提供。料金は月額数万円〜十数万円。設計原則: NSG を基本的なネットワーク分離で常時使用、Azure Firewall は組織全体のアウトバウンド統制 (Hub-Spoke の Hub に配置) や高度なフィルタリングが必要な場合に追加。両者は併用が標準で、相補的な役割を果たします。

Azure 予約 IP アドレスって何ですか?

Azure は各 Subnet で最初の 4 IP と最後の 1 IP の合計 5 IP を予約しています。例: 10.0.0.0/24 の場合、10.0.0.0 (Network Address)・10.0.0.1 (Default Gateway)・10.0.0.2 / 10.0.0.3 (Azure DNS マッピング)・10.0.0.255 (Broadcast) が予約され、使用可能 IP は 10.0.0.4 から 10.0.0.254 の 251 個。/27 (32 IP) の場合は 27 IP のみ使用可能。CIDR 設計時はこの予約分を考慮しないと『計算上は十分でも実際は IP 不足』という事態に。AKS や App Service Environment など IP 大量消費するリソースを配置する Subnet は特に大きめ (/22 以上) に確保することを推奨します。

VNet 設計の落とし穴は?

代表的な落とし穴: 1) CIDR が小さすぎて IP 不足 (/24 で始めると AKS 1 つで枯渇するケース多発)、2) Subnet 名を Azure 予約名と異なる名前で作成 (GatewaySubnet・AzureFirewallSubnet 等は正確な名前必須)、3) オンプレと CIDR が重複 (VPN/ExpressRoute 接続時にルーティング不能)、4) Global Peering を多用してコスト爆発 (代わりに Virtual WAN を検討)、5) NSG なしで Public IP 付き VM を公開してセキュリティ事故、6) Service Endpoint と Private Endpoint の使い分けを誤って Private Link の効果を活かせない、7) VNet の DNS 設定を Default のままにして Private DNS Zone が機能しない。設計初期段階での慎重な計画が後の痛みを大幅に軽減します。

VNet 関連の認定試験は?

AZ-104 (Administrator) のドメイン 4 (Virtual networking 15-20%) で VNet 基礎、AZ-700 (Network Engineer Associate) で VNet を含む大規模ネットワーク設計全般、AZ-305 (Solutions Architect Expert) のドメイン 4 でネットワーク設計判断を学べます。実務では AZ-104 で VNet 基本操作・AZ-700 で大規模設計を網羅するのが王道。VNet の深い理解は Azure のあらゆるサービス設計の前提となるため、Azure を扱うすべてのエンジニアにとって必須スキルです。詳細は Azure ネットワークエンジニア キャリアロードマップ記事を参照してください。

関連記事・技術深掘り

Azure Firewall 完全ガイド|Basic/Standard/Premium 選定・Rule 設計・Firewall Manager【2026 年版】

Azure Firewall の完全ガイド。Basic/Standard/Premium SKU 選定、Application Rule と Network Rule の使い分け、DNAT Rule、Firewall Manager と Firewall Policy、FQDN タグ、Forced Tunneling、NSG との使い分け、関連認定試験 (AZ-700 / SC-100) を日本語で網羅。

Azure NSG / ASG 設計集|Network Security Group ルール設計・Application Security Group 活用パターン【2026 年版】

Azure の NSG (Network Security Group) と ASG (Application Security Group) の完全設計ガイド。ルール優先度・Service Tags・3-tier ASG 設計パターン・NSG Flow Logs・Traffic Analytics・落とし穴・関連認定試験 (AZ-700 / SC-100) を日本語で網羅。

Azure Network Watcher トラブルシューティング完全ガイド|Connection Troubleshoot・IP Flow Verify・Packet Capture【2026 年版】

Azure Network Watcher の完全ガイド。Connection Troubleshoot・IP Flow Verify・Next Hop・Packet Capture・NSG Flow Logs・Connection Monitor・Traffic Analytics・Effective Routes など全機能解説。標準トラブルシューティングフロー、関連認定試験 (AZ-700 / AZ-305 / SC-200) を日本語で網羅。

Azure DDoS Protection 完全ガイド|Network/IP Protection・Always On Detection・WAF 組み合わせ【2026 年版】

Azure DDoS Protection の完全ガイド。DDoS Network Protection vs IP Protection vs Infrastructure Protection の使い分け、Always On Detection・Adaptive Tuning・Cost Protection、Application Gateway / Front Door WAF との組み合わせ、Microsoft DRR サポート、関連認定試験 (AZ-700 / SC-100) を日本語で網羅。

本記事の技術情報は Azure Virtual Network Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。

この記事で学んだ内容を問題で確認しましょう

16,000問以上の問題で実力チェック

Azure 試験対策ページを見る
この記事の著者

NicheeLab編集部

データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。

関連記事
Azure

AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略

Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...

Azure

Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)

Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...

Azure

AI-901 完全ガイド|Azure AI Fundamentals 新試験

Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...

Azure

Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)

Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...

Azure

DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略

Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...

Azureの記事一覧 (103件)
© 2026 NicheeLab All rights reserved.