サブネット

サブネット(Subnet)

サブネット(Subnet)は、
Azure Virtual Network(VNet)のアドレス空間を用途ごとに分割した論理的なネットワーク領域 です。

オンプレミスのネットワークでも「セグメント分割」を行いますが、
それと同じ概念を Azure 上で実現したものです。


サブネットを作る目的

● 1. セキュリティ境界として利用する

用途ごとにネットワークを分けることで、
不要な通信を制限しやすくなります。

例:

  • WebSubnet(外部公開)
  • AppSubnet(内部アプリ用)
  • DbSubnet(DB用、外部非公開)

● 2. Azure リソース配置の単位

多くの Azure サービス(VM / AKS / Gateways など)は
「どのサブネットに配置するか」で動作が決まります。


● 3. NSG(Network Security Group)と組み合わせて通信制御

サブネット単位で NSG(ファイアウォール)を適用することで、
細かいセキュリティ設定が可能になります。


サブネットの基本構造

● アドレス範囲(CIDR)

サブネットは VNet 内のアドレス空間を切り取って作成します。

例:

  • VNet:10.0.0.0/16
    • SubnetA:10.0.1.0/24
    • SubnetB:10.0.2.0/24
    • SubnetC:10.0.3.0/24

サブネットは重複不可。
オンプレと重複しない設計が重要です。


● サービス固有サブネット

一部の Azure サービスは専用サブネットが必要です。

例:

  • Azure Bastion
  • Application Gateway
  • Azure Firewall
  • Private Endpoint

それぞれ CIDR サイズに推奨値があります。


サブネットとルーティング

サブネット間は 既定で相互通信が可能 です。

これは Azure に自動で設定される
System Route(既定ルート) のためです。

必要に応じて以下を追加できます:

  • UDR(ユーザー定義ルート)
  • 仮想アプライアンス経由ルーティング
  • トラフィック強制(NVA)

サブネットとNSG(Network Security Group)

サブネットを作った後、多くの場合は NSG を関連付けます。

NSG で制御できる内容

  • ポート許可 / 拒否
  • IP制限
  • プロトコル(TCP/UDP)
  • インバウンド / アウトバウンド

サブネットNSG
= そのサブネット内にあるすべてのリソースへ適用。


サブネット設計の考え方(基本パターン)

● パターン1:3層構造(Web / App / DB)

もっとも基本的な構成。

WebSubnet(外部向け)
AppSubnet(内部処理)
DbSubnet(データベース)

● パターン2:用途別分割

ManagementSubnet(JumpBox / Bastion)
GatewaySubnet(VPN / ExpressRoute)
AKSSubnet(コンテナ用)

● パターン3:セキュリティポリシーに応じた分割

  • インターネット公開領域
  • 内部専用領域
  • 監査・管理専用領域

サブネットに配置される代表的な Azure リソース

サービス説明
VM最も一般的なサブネット利用
Application Gateway専用サブネットが必要
Azure Firewall“AzureFirewallSubnet” が必要
VPN Gateway“GatewaySubnet” が必須
Bastion“AzureBastionSubnet” が必須
AKS ノードプールサブネット内に大量IPが必要

AZ-900 では「サブネット単位でサービスを配置する」理解が重要です。


サブネットのメリットまとめ

✔ ネットワークを用途ごとに分割できる

✔ セキュリティ境界として利用できる(NSG)

✔ ルート制御がしやすい

✔ サービスごとに最適なネットワーク設計が可能


AZ-900で理解すべきポイント

  • サブネットとは VNet を小さく分割したネットワーク領域
  • セキュリティと管理の単位になる
  • サブネット単位で NSG を適用する
  • 既定でサブネット間は相互通信可能
  • 専用サブネットが必要なサービスが存在する(Bastion / Gateway / Firewall)