【初級】Azure VNetとサブネットの基礎をやさしく解説

Azure

「Azureでサーバーを立てたいけれど、ネットワークまわりがよく分からない」

——そんな方がまず最初につまずくのが VNet(仮想ネットワーク)サブネット です。

この2つはAzureを使ううえでの“土台”であり、ここを理解しておくと、後から学ぶ作成手順やセキュリティの話がぐっと分かりやすくなります。

この記事では、VNetとサブネットとは何か、アドレス空間(CIDR)の考え方、IPアドレスの基礎、そしてサブネット設計のルールまでを、IT初心者の方にもイメージしやすいように解説します。

VNetとサブネットとは?

Azureを使う上で必ず作成すると言っていいほど重要なリソースが「vnet」と「サブネット」。まずはこの2つが何者なのか、それぞれの役割をセットで押さえましょう。

VNetという大きな“器”と、その中を区切る“サブネット”——この関係が分かると、Azureのネットワーク全体がぐっと見通せるようになります。

Azure VNetとは?

Azure Virtual Network(仮想ネットワーク)とは、Azureクラウドの中に作る“自分専用のネットワーク区画”です。

身近な例で言うと、会社やご家庭の中にある LAN(社内ネットワーク) をそのままクラウド上に再現したもの、とイメージすると分かりやすいでしょう。

VNetの中に置いた仮想マシン(VM)やデータベースなどのリソースは、安全にプライベート通信できます。ポイントは「外の世界(インターネット)と区切られている」ことで、既定では外部から直接アクセスできません。

なお、VNetを作るときは「どのリージョン(例:東日本)に作るか」と「どのサブスクリプション/リソースグループに置くか」を必ず指定します。VNetはそのリージョンの中だけで有効なネットワークで、課金と管理の単位であるサブスクリプションに属します。

まずは「VNet=あるサブスクリプション内に作る、リージョン単位のネットワーク」と捉えておけば十分です。

サブネットとは?

サブネットとは、VNet(大きなネットワーク区画)を用途ごとにさらに小さく区切った“部屋”のことです。

会社のオフィスを思い浮かべてください。フロア全体(=VNet)を、そのまま1つの大部屋として使うことは少なく、「開発チームの部屋」「サーバー室」のように用途ごとに仕切りますよね。サブネットはまさにこの“仕切り”にあたります。

サブネットで区切ることで、用途ごとに通信ルール(セキュリティ)を変えたり、リソースを整理したりできるようになります。

Azureでは、VNetという器を用意したら、その中にサブネットを切ってからリソースを配置していくのが基本の流れです。

アドレス空間(CIDR)とサブネット分割

アドレス空間とは?

VNetを作成するときに必ず決めるのが アドレス空間 です。アドレス空間とは「VNetの中で使えるIPアドレスの範囲」を表します。

アドレス空間は 10.0.0.0/16 のような CIDR(サイダー)表記 で指定します。/16 は確保するアドレスの“広さ”を表し、/16 ならおよそ 65,536個/24 ならおよそ 256個 のIPアドレスが使えます。

数字が小さいほど範囲が広く、大きいほど狭くなる、と覚えておきましょう。

アドレス空間には、インターネットで使われないプライベートIPの範囲

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

から選ぶのが基本です。

CIDRによるサブネット分割の考え方

サブネットのアドレス空間は、VNetに割り当てたアドレス空間をさらに小さなCIDRに区切って割り当てます。

たとえばVNetを 10.0.0.0/16 で作ったら、その中を 10.0.1.0/24(サブネットA)、10.0.2.0/24(サブネットB)…のように分けていきます。

point

  • サブネット同士のアドレス範囲が重ならないようにすること
  • 後からの拡張を見越して余裕を持たせること

最初に細かく切りすぎると、あとで「IPが足りない」と困ることがあるため、少し広めに設計しておくと安心です。

IPアドレスの基礎

サブネットを設計する前に、もう少しだけIPアドレスそのものの基礎を押さえておきましょう。

「内側と外側で使うIPが違うこと」、そして「サブネットには自由に使えないIPがあること」——この2つを知っておくと、後の設計でつまずきません。

ここでは、プライベートIPとパブリックIPの違い と、Azureが予約する5つのIP を順番に見ていきます。

プライベートIPとパブリックIPの違い

IPアドレスには大きく2種類あります。

  • プライベートIP
    • VNetの“内側”で使う住所。VNet内のリソース同士が通信するために使う
  • パブリックIP
    • インターネットの“表側”で使う住所。世界中からアクセスできる

VNetの中に置いたVMには自動的にプライベートIPが割り当てられ、VNet内のやり取りはこれだけで完結します。

一方で「Webサーバーをインターネットに公開したい」場合は、別途 パブリックIP を割り当てる必要があります。

つまり、内側の通信はプライベートIP、外部公開が必要なときだけパブリックIP、という使い分けです。

各サブネットでAzureが予約する5つのIP

サブネットを作ると、そのアドレス範囲の中から Azureが自動的に5つのIPアドレスを予約します。これらはユーザーが自由に使うことはできません。

具体的には、以下のアドレスが予約されます。

  • サブネットの先頭4つ
    • ネットワークアドレス
    • 既定ゲートウェイ
    • Azure DNS用に2つ
  • 末尾1つ
    • (ブロードキャスト相当)

たとえば /24(256個)のサブネットでも、実際にリソースへ割り当てられるのは 256 − 5 = 251個 です。サブネットのサイズを見積もるときは、この「5つは使えない」点を忘れないようにしましょう。

学習を始めたばかりの方はまずは、サブネットを作った時はユーザーが自由に使えない5つのアドレスがあることを理解しておけば問題ありません。5つのアドレスが何に使われているかなど、詳細は別の記事で詳しく解説します。

VNetにコストはかかる?

ネットワークを学び始めると気になるのが「VNetを作るとお金がかかるの?」という点です。

結論から言うと、VNetとサブネットそのものは無料です。コストが発生するのは、そこに“付け足す”仕組みや通信のほうです。

VNetとサブネットの“枠”は無料

VNetを作ること、サブネットに区切ること、そして同じVNet内のリソース同士の通信には、基本的に料金はかかりません。

つまり「ネットワークの“枠”を用意するだけ」なら、コストを気にせず作って大丈夫です。

なお、その枠の中に VM などを置くと料金が発生しますが、それは「ネットワークの料金」ではなく VMそのものの料金 です。

料金がかかるのは「①課金されるサービスを置く」「②外向きの通信」

VNetまわりで料金が発生するのは、大きく次の2パターンです。

① 課金されるネットワークサービスを“置く”とき

次のようなサービスは、立てているだけ(使っていなくても)時間ごとに料金がかかります。

  • VPN Gateway
  • NAT Gateway
  • Azure Bastion
  • Application Gateway
  • パブリックIPアドレス

② “外向き・またぎ”の通信をするとき

次のような通信では、データ転送量に応じて料金がかかります。

  • インターネットへの送信(外部との通信)
  • 別リージョン・別VNet(ピアリング)とのデータ転送

逆に、同じVNet内・同じリージョン内の通信は基本無料です。

学習を始めたばかりの方は、まずは 「VNet・サブネットの枠は無料。お金がかかるのは “課金されるサービスを置いたとき” か “外向き・またぎの通信をしたとき”」 と覚えておけば十分です。

各サービスの具体的な料金は、それぞれの記事で詳しく解説します。

サブネットの設計

ここからは一歩進んで、サブネットを「どう区切るか」という設計の話です。

実務でよく使う分け方と、名前やサイズが決められている特殊なサブネットを紹介します。

用途別のサブネット分割(App / DB / PE / Bastion)

実務では、サブネットを役割ごとに分けるのが定番です。代表的な例は次のとおりです。

  • App Servcei用 … Webアプリやアプリサーバーを置く
  • DB用 … データベースを置く
  • PE用(プライベートエンドポイント) … PaaSへ閉域接続するための入口を置く
  • Bastion用 … VMへ安全に接続するためのBastionを置く

このように分けておくと、「データベース用のサブネットは外部からの通信を一切拒否する」といった具合に、サブネット単位でセキュリティを細かく制御できます。

特殊サブネット①:GatewaySubnet

サブネットの中には、名前が固定で決められている“特殊サブネット”があります。その1つが GatewaySubnet です。

VPN GatewayやExpressRoute Gatewayを配置するための専用サブネットで、

名前は必ず GatewaySubnet にしなければなりません

(別の名前だと正しく動きません)。

オンプレミスとVPN接続する場合などに必要になります。

特殊サブネット②:AzureBastionSubnet

もう1つの代表的な特殊サブネットが AzureBastionSubnet です。

これはAzure Bastion(ブラウザ経由でVMに安全に接続するサービス)を配置するための専用サブネットです。

名前は必ず AzureBastionSubnet

そしてCIDRは /26 以上の大きさが必要というルールがあります。

こうした特殊サブネットは「名前とサイズの要件が決まっている」と覚えておきましょう。

まとめ

今回のポイントを振り返りましょう。

  • VNet はAzure内のプライベートネットワーク(社内LANのクラウド版)、サブネット はそれを用途ごとに区切った“部屋”
  • アドレス空間は 10.0.0.0/16 のような CIDR表記 で指定し、サブネットは重複させず余裕を持って分割する
  • 内側の通信は プライベートIP、外部公開時は パブリックIP。各サブネットでは 5つのIPがAzure予約で使えない
  • サブネットは 用途別(App / DB / PE / Bastion) に分け、GatewaySubnet / AzureBastionSubnet は名前・サイズの要件がある

基礎がつかめたら、次は実際に VNetとサブネットを作成する手順(ポータル/CLI) を学びましょう。

➡ 次回:【初級】VNetとサブネットを作成する(ポータル / CLI)

タイトルとURLをコピーしました