Azure VNet
- 更新日2026-05-15
- 8分で読める
VNet (Azure Virtual Network) は、Azure内の独立したネットワーク環境です。
Azure VNetは、以下を含むネットワーク構成を完全に制御します。
- IPアドレス範囲
- サブネット
- ルーティングテーブル
- ネットワークゲートウェイ
SystemLink Enterpriseのデプロイメントでは、セキュリティ、拡張性、およびネットワーク分離のために適切に構成されたVNetが不可欠です。
VNetを構成して、コンピューティングおよびストレージインフラストラクチャをインターネットに接続されたゲートウェイやロードバランサから分離します。この構成は、クラウドセキュリティのベストプラクティスに従い、機密性の高いワークロードにインターネットから直接アクセスできないようにします。
アーキテクチャの一般的なリファレンスについては、「Azure SystemLink Enterprise Kubernetesのアーキテクチャ図」を参照してください。
サブネットアーキテクチャ
パブリックサブネットとプライベートサブネットの両方でVNetを構成し、インターネットに接続するコンポーネントを内部インフラストラクチャから分離します。
以下のコンポーネントは、インターネットに直接アクセスできないプライベートサブネットにデプロイします。
- AKSクラスタノード: Webサービス、Webアプリケーション、およびサポートインフラストラクチャを含む、SystemLink Enterpriseポッドをホストするワーカノード。
- データベース: PostgreSQL用Azureデータベース、または自己管理データベースインスタンス。
- Azureストレージのプライベートエンドポイント: パブリックインターネットを使用せずにプライベートサブネットからAzure Blobストレージにアクセスするようにプライベートエンドポイントを構成します。
インターネットにアクセスできるパブリックサブネットに以下のコンポーネントを配置します。
- Application Gateway: SystemLink WebアプリケーションおよびAPIへのHTTPSトラフィック用のインターネット接続アプリケーションロードバランサ。
- Azure Load Balancer: Salt Masterトラフィック (ポート4505および4506) 用のTCPロードバランサ。
- NATゲートウェイ: プライベートサブネットのリソースに対してアウトバウンドインターネットアクセスを有効にします。
アドレス空間の計画
VNetアドレス空間を計画して、SystemLink Enterpriseおよび将来の拡張のために十分なIPアドレスを確保します。
- 推奨VNetサイズ: /16 CIDRブロック (65,536 IPアドレス) により、柔軟なスケーリングが可能
- 最小VNetサイズ: 20 CIDRブロック (4,096 IPアドレス) (小規模から中規模のデプロイメントの場合)
サブネットは、次の考慮事項に基づいて割り当てます。
- AKSノードのプライベートサブネット: 予想される最大ノード数に基づいたサイズです。各AKSノードには、サブネットアドレス空間から1つのIPアドレスが必要です。
- ポッドのプライベートサブネット: Azure CNIネットワーキングを使用している場合は、ポッドIPアドレスに追加のアドレス空間を割り当てます。各ポッドには独自のIPアドレスが必要です。
- ポッドレベルのネットワーク統合に特別な要件がない限り、ポッドが個別のアドレス空間を使用するkubenetネットワーク (デフォルト) から開始します。
- Azure CNIを使用してIP使用率を注意深く監視します。各ノードは、VMサイズとノードあたりの最大ポッド構成に応じて、10~100個以上のIPアドレスを消費できます。
- 拡張の計画。サブネットのサイズ設定がワークロードの大幅なスケーリングをサポートできることを確認してください。
- パブリックサブネット: ロードバランサおよびNATゲートウェイには、/24などの小さな割り当てで十分です。
- マルチゾーンデプロイメント: 高可用性のために、可用性ゾーンに分散されたサブネットペア (パブリック/プライベート) を作成します。
| サブネットタイプ | 可用性ゾーン | アドレス範囲 | 使用可能なIP |
|---|---|---|---|
| プライベート (AKSノード) | ゾーン1 | 10.0.0.0/19 | 8,192 |
| プライベート (AKSノード) | ゾーン2 | 10.0.32.0/19 | 8,192 |
| プライベート (データベース) | ゾーン1 | 10.0.64.0/24 | 256 |
| プライベート (データベース) | ゾーン2 | 10.0.65.0/24 | 256 |
| パブリック | ゾーン1 | 10.0.128.0/24 | 256 |
| パブリック | ゾーン2 | 10.0.129.0/24 | 256 |
セキュリティのベストプラクティス
SystemLink Enterprise用にVNetを構成する際は、以下のセキュリティのベストプラクティスに従ってください。
- コンピューティングおよびストレージに直接インターネットアクセスできない: すべてのAKSノード、データベース、および内部サービスは、インターネットゲートウェイ経路のないプライベートサブネットに存在する必要があります。
- トラフィックフローの分離: インターネットトラフィックは、インターネット、パブリックApplication Gateway/Load Balancer、プライベートイングレスコントローラ、およびプライベートSystemLinkサービスを通過します。
- NATによるアウトバウンドインターネット: パブリックサブネットでNATゲートウェイを使用して、プライベートサブネットリソースにアウトバウンドインターネットアクセスを提供します。高可用性のためにゾーン冗長性を備えたNATゲートウェイを配置します。
- プライベートエンドポイント: Azureサービス (Blobストレージ、コンテナレジストリ) のプライベートエンドポイントを使用して、インターネット経路設定を回避し、データ転送コストを削減します。
- ネットワークセキュリティグループ (NSG): コンポーネント間で必要なトラフィックのみを許可するようにNSGを構成します。最小権限の原則を使用します。
可用性ゾーンに関する注意事項
高可用性とフォールトトレランスのために、複数の可用性ゾーンにSystemLink Enterpriseをデプロイします。
- 最小構成: ゾーン間でサブネットを分散して、少なくとも2つの可用性ゾーンを使用します。
- AKSノードプール: ゾーン冗長ノードプールを使用して、可用性ゾーン全体にワーカノードを分散します。
- データベースゾーンの冗長性: PostgreSQL用Azure Databaseのゾーン冗長デプロイメントを有効にします。
- ロードバランサ分散: 可用性ゾーン間でトラフィックを分散するために、ゾーン冗長性を使用してApplication GatewayとLoad Balancerを構成します。
関連コンテンツ
- SystemLink Enterpriseのホストおよび操作を準備する
SystemLink Enterpriseをインストールする前に、以下のネットワーク、コンピューティング、ストレージ、セキュリティインフラストラクチャが整っていることを確認してください。
- パブリックサブネットおよびプライベートサブネット
パブリックサブネットとプライベートサブネットは、ネットワークセグメント化とセキュリティ分離を可能にするクラウド環境の基本的なネットワーク構成要素です。これらのサブネットを適切に構成する方法を理解することは、AWSまたはAzureでSystemLink Enterpriseを安全にデプロイするために不可欠です。
- AWS VPC
仮想プライベートクラウド (VPC) は、AWS内の独立したネットワーク環境です。
- インターネット接続型クラスタ
Enter a short description of your concept here (optional).
- 企業ネットワーク接続型クラスタ
企業ネットワーク接続型クラスタのデプロイメントでは、SystemLinkが組織のプライベートネットワークインフラストラクチャと統合され、安全なアクセスとオンプレミスシステムとの安全な統合が実現します。
- ネットワークとTLS
SystemLink EnterpriseのネットワークおよびTLS (Transport Layer Security) を構成する方法について学びます。
- DNSおよびネットワークセキュリティに関する注意事項
SystemLink Enterpriseは、Kubernetesクラスタでホストされています。SystemLink Enterpriseはテストシステムに接続し、監視および解析用のデータを集約します。
- プライベート認証局
プライベート認証機関 (CA) を使用している場合は、SystemLink Enterpriseを構成してプライベートCAを使用して信頼を確立する必要があります。
- レイヤ7 (アプリケーション) イングレス
レイヤ7イングレスは、WebサービスのアプリケーションレベルのHTTPSロードバランシングとルーティングを提供します。SystemLink Enterpriseは、レイヤ7イングレスを使用して、Web UIのエンドポイントとAPIアクセスのエンドポイントの2つの別々のイングレスエンドポイントを介してHTTPベースのサービスを公開します。
- AWSのレイヤ7イングレス
このセクションでは、Amazon EKSにデプロイされたSystemLink Enterprise用にAWS Application Load Balancer (ALB) を使用したレイヤ7イングレスの構成について説明します。ALBは、SystemLink UIおよびAPIホストのHTTPSロードバランシングおよびルーティングを提供します。
- AWSグローバルイングレス構成
SystemLink Enterpriseは、UIエンドポイントとAPIエンドポイントに対して別々のイングレスリソースを構成します。Helm構成ファイルで以下の注釈を構成します。
- Azureのレイヤ7イングレス
このセクションでは、Azure Kubernetes Service (AKS) にデプロイされたSystemLink Enterprise用のAzure Application Gatewayを使用したレイヤ7イングレス構成について説明します。Application Gatewayは、SystemLink UIおよびAPIホストのHTTPSロードバランシングおよびルーティングを提供します。
- Azureグローバルイングレス構成
SystemLink Enterpriseは、UIエンドポイントとAPIエンドポイントに対して別々のイングレスリソースを構成します。Helm構成ファイルで以下の注釈を構成します。
- Traefikのレイヤ7イングレス
SystemLink Enterpriseは、Traefik Hub API Gatewayをレイヤ7イングレスコントローラとしてサポートします。Traefik Hubは、SystemLink UIおよびAPIホストのHTTPSロードバランシングおよび経路設定を提供します。
- レイヤ4 (TCP) イングレス
レイヤ4イングレスは、直接TCP接続を必要とするサービスにTCPレベルのロードバランシングを提供します。SystemLink Enterpriseは、Salt Masterサービスにレイヤ4イングレスを使用します。
- AWSでSalt通信を有効にする
SystemLink EnterpriseはSaltを使用してテストシステムを管理します。Saltは、ポート4505および4506でTCPベースのプロトコルを使用してテストシステムと通信します。このセクションでは、Salt Masterサービスでレイヤ4 (TCP) イングレスにAWS Network Load Balancer (NLB) を使用する方法について説明します。
- AzureでSalt通信を有効にする
SystemLink EnterpriseはSaltを使用してテストシステムを管理します。Saltは、ポート4505および4506でTCPベースのプロトコルを使用してテストシステムと通信します。このセクションでは、Salt Masterサービスでレイヤ4 (TCP) イングレスにAzure Load Balancerを使用する方法について説明します。
- Azure SystemLink Enterprise Kubernetesのアーキテクチャ図
- Azure Virtual Networkとは
- Azure Kubernetes Service (AKS) のネットワークコンセプト
- SystemLink環境アーキテクチャ
SystemLink Enterpriseは、サービス指向アーキテクチャのアプリケーションです。Kubernetesでホストされるマイクロサービスがアーキテクチャを構成します。SystemLink Enterpriseは拡張性、耐障害性、高可用性を備えています。以下の表は、SystemLink Enterpriseアーキテクチャの主なコンポーネントの概要を示しています。
- Azure AKSにおけるSystemLink Enterprise
Azure Kubernetes Service (AKS) は、独自のKubernetesコントロールプレーンをインストールして操作することなく、Azure上でKubernetesを簡単に実行できるようにするマネージドKubernetesサービスです。