Japan Azure IaaS Core Support Team Hexo https://jpaztech.github.io/blog/ All rights reserved 2026, Japan Azure IaaS Core Support Team 日本マイクロソフトの Azure IaaS テクニカル サポート チームより、情報をお届けします! Japan Azure IaaS Core Support Blog 2026-04-20T03:45:50.411Z Japan Azure IaaS Core Support Team こんにちは、Azure テクニカル サポート チームの箕輪です。
プライベート DNS ゾーンは、仮想ネットワーク上で任意のゾーン名やプライベート エンドポイントで利用する privatelink サブドメインの名前解決を提供する DNS サービスで、仮想ネットワーク上に展開されたリソースの名前解決に影響を与えます。
その中で、内部 Azure API Management を利用しているシナリオで、プライベート DNS ゾーンの構成によって Azure サービスへの名前解決が意図せず失敗し接続ができない事象が発生し得ます。このブログでは、要因と考えられる対応策についてご紹介します。

このブログで紹介するシナリオ

Azure API Management (APIM) とは、あらゆる環境にわたる API のためのハイブリッドなマルチクラウド管理プラットフォームです。 APIM は Azure ユーザーだけではなく、各 Azure サービスの内部コンポーネントとしても組み合わせて利用されています。

APIM のエンドポイントは、インターネット上に公開されるパブリック エンドポイントの他、仮想ネットワーク上のリソースとしてプライベート エンドポイントや、外部非公開の API エンドポイントとして 内部 APIM などが構成できます。この中で内部 APIM を利用する時、APIM の各エンドポイントへの接続はパブリック IP アドレスではなくプライベート IP アドレスで接続する必要があるため、仮想ネットワーク上で名前解決を提供するプライベート DNS ゾーンとの組み合わせにて構成する内容が公開情報に記載されています。

この内部 APIM の構成時に、プライベート DNS ゾーンとして azure-api.net を指定した構成では、Azure PaaS への接続が失敗する事象が発生する可能性があります。

発生要因

Azure の仮想ネットワーク上のリソースに対する名前解決の構成として、Azure 既定の DNS サーバー (168.63.129.16) を参照先として指定する構成が一般的です。この Azure 既定の DNS サーバーは、仮想ネットワークとリンクされたプライベート DNS ゾーンに対して DNS クエリを送信した時に参照する必要があります。仮想ネットワーク上に展開可能なプライベート DNS Resolver の受信エンドポイント宛ての DNS クエリについても、 Azure 既定の DNS サーバー (168.63.129.16) に転送されます。

次に内部 APIM を利用するためには、内部 APIM の各エンドポイント (FQDN) に対応したプライベート IP アドレスへの接続が必要です。各エンドポイント (FQDN) の名前解決結果を対象のプライベート IP アドレスにするために、DNS 構成としてプライベート DNS ゾーンを構成する旨が、公開情報に記載されています。
この時どのようなゾーン名にするかは具体的な記載がありませんが、必要なエンドポイントに共通しているのは azure-api.net となるため、azure-api.net をゾーン名としてプライベート DNS ゾーンを構成されることが多いと想定しています。

そして、今回のベストプラクティスにおける意図せず名前解決に失敗する事象の要因として、APIM は各 Azure サービスの内部コンポーネントとして利用される場合があることが挙げられます。例えば Azure OpenAI Service(AOAI)や Azure Data Factory などでは、これまでのお問合せ事例より一部機能で APIM が組み込まれています。
具体的には、接続元クライアントからの接続時の FQDN は AOAI のエンドポイントであったとしても、名前解決を実施すると azure-api.net を含んだエイリアスが一連の名前解決に含まれます。この時、プライベート DNS ゾーンに azure-api.net を指定していると、本来パブリック DNS サーバーで名前解決されるものが、プライベート DNS ゾーンで名前解決され、対象の DNS レコードが存在しないため名前解決に失敗し、接続影響を及ぼします。
なお、その他の Azure サービスについても、一部機能で利用されている場合や、機能実装に伴い APIM が組み込まれる場合があります。

プライベート DNS ゾーン観点での対応方法

このシナリオにおける対応策のポイントは、内部 APIM とプライベート DNS ゾーンを組み合わせる時に、ゾーン名を azure-api.net とした場合に、APIM に関連する意図しない通信影響を及ぼす点です。
意図しない通信影響を回避するためのポイントとしては、内部 APIM は機能によって差異はありますが、名前解決が必要なエンドポイントがおおよそ特定できる点です。
この動作により、利用されている内部 APIM に対するエンドポイントのみ DNS 構成し、ゾーン名を azure-api.net 以外にすることで意図しない事象を回避することが可能です。
内部 APIM のエンドポイント情報は、リソース デプロイ時に指定したリソース名をホスト名とし、各エンドポイントのドメインと組み合わせます。
内部 APIM の公開情報 (DNS レコードを構成する)に倣いリソース名を contosointernalvnet とした場合、一般的な構成ですと下記のエンドポイントが該当します。
このエンドポイント名は、Azure Portal で構成した内部 APIM リソースを選択し、[設定 - プロパティ] から確認ができます。

1
2
3
contosointernalvnet.azure-api.net (ゲートウェイ)
contosointernalvnet.developer.azure-api.net (開発者ポータル)
contosointernalvnet.management.azure-api.net (管理 API)

プライベート DNS ゾーン観点では、ゾーン名は任意のものを指定可能なことがポイントとして挙げられます。今回のシナリオでは、ゾーン名を azure-api.net にすることで事象が発生するので、上記の内部 APIM のエンドポイントの FQDN 自体をゾーン名に指定し、A レコードを登録することで、他の Azure サービスの azure-api.net を含んた名前解決に影響を与えず、対象の内部 APIM だけ名前解決が可能になります。
公開情報のリソース名を基に具体例を挙げると、まず下記 3 つの FQDN をプライベート DNS ゾーンのゾーン名に指定してデプロイします。デプロイされた後、対象ゾーンの頂点ドメインとしてホスト部に @ を指定して、対応するプライベート IP アドレスを A レコードとして登録することで、FQDN に対する名前解決だけプライベート IP アドレスが応答され、それ以外の azure-api.net に対応する名前解決はパブリック DNS に転送することが可能になります。

1
2
3
contosointernalvnet.azure-api.net
contosointernalvnet.developer.azure-api.net
contosointernalvnet.management.azure-api.net

なお、プライベート DNS ゾーンには インターネット フォールバック機能 (ゾーン内に対象の DNS レコードがない場合にパブリック DNS に問い合わせる機能) がありますが、この機能は privatelink サブドメインのみ対象とした機能となるため、今回のシナリオの azure-api.net は対象外となります。

上記、ご参考になれば幸いです。

]]> https://jpaztech.github.io/blog/network/private-dns-zone-apim/ 2026-04-20T03:00:00.000Z こんにちは、Azure テクニカル サポート チームの箕輪です。
プライベート DNS ゾーンは、仮想ネットワーク上で任意のゾーン名やプライベート エンドポイントで利用する privatelink サブドメインの名前解決を提供する DNS サービスで、仮想ネットワーク上に展開されたリソースの名前解決に影響を与えます。
その中で、内部 Azure API Management を利用しているシナリオで、プライベート DNS ゾーンの構成によって Azure サービスへの名前解決が意図せず失敗し接続ができない事象が発生し得ます。このブログでは、要因と考えられる対応策についてご紹介します。

]]> プライベート DNS ゾーンと内部 Azure API Management を組み合わせる時のベストプラクティス 2026-04-20T03:45:50.411Z Japan Azure IaaS Core Support Team こんにちは、Azure IaaS サポートの杉野です。
Azure VM に関する問い合わせの中でも、「VM に接続できない」、「VM が応答しない」といったトラブルは非常に多く寄せられます。

特に、Azure ポータル上では VM の状態が「実行中」と表示されているにもかかわらず、SSH や RDP で接続できないケースでは、原因の特定に時間を要することも少なくありません。
本記事では、このような事象の切り分けに有効な「ブート診断」について、その概要と設定方法をご紹介します。

ブート診断を活用することで、ゲスト OS が起動しているかどうかを迅速に確認でき、サポートへお問い合わせいただく前の切り分けをスムーズに進めることが可能となり、復旧までの時間短縮につながるケースが多くございます。

一方で、現場では「ブート診断を有効化していない」VM が多く、そもそも機能を利用されたことがないお客様も少なくありません。
そのため、本記事では、ブート診断の概要と設定方法を解説します。

本記事でご紹介するブート診断に関しまして、以下の公式ドキュメントも併せてご確認いただけますと幸いでございます。

■ご参考:Azure のブート診断 - Azure Virtual Machines
https://learn.microsoft.com/ja-jp/azure/virtual-machines/boot-diagnostics

■ご参考:Azure の VM のブート診断 - Virtual Machines
https://learn.microsoft.com/ja-jp/troubleshoot/azure/virtual-machines/windows/boot-diagnostics

はじめに:VM に接続できないときに何が起きているのか

VM に対して SSH や RDP で接続できない場合、その原因は必ずしもネットワーク設定や認証設定とは限りません。
ゲスト OS 自体が正常に起動していないケースも多く存在します。

このような状態では、Azure ポータル上では VM の状態が「実行中」と表示されるため、利用者視点では「VM は起動している」と認識されがちです。

しかし実際には、ゲスト OS が起動途中でスタックしており、外部からの接続を受け付けられない状態に陥っている場合があります。
この状態は、一般に No boot 状態と呼ばれます。

No boot 状態に陥った場合、主に以下のような事象が確認されます。

  • SSH 接続ができない / RDP 接続ができない
  • Azure ポータル上では「実行中」と表示されるが、OS レベルの応答がない

No boot 状態に至る原因は多岐にわたり、代表的なものとして以下が考えられます。

  • OS レベルの問題(ファイル破損、ドライバ不整合、カーネルパニックなど)
  • 構成上の問題(ディスク構成ミス、ネットワーク設定不備など)
  • Azure 側の要因(極稀ですが基盤障害など)

原因が多岐にわたるため、サポート現場では、まずブート診断のスクリーンショットやシリアル ログを確認し、OS がどこまで起動しているかを把握するところから切り分けを開始します。

これにより、接続不可の原因が OS 起動以前の問題なのか、それともネットワークや認証設定など別の要因によるものなのかを判断することが可能になります。

ブート診断とは?

ブート診断は、Azure VM の起動時に出力されるコンソール情報を スクリーンショットやログとして取得・保存する機能 です。

対象 OS:Windows / Linux どちらも対応

  • Windows:起動画面(ブートロゴ、修復モードなど)のスクリーンショット
  • Linux:コンソールログ(カーネルメッセージ、マウント失敗など)

これにより、「OS 起動がどこまで進んでいるか」を視覚的・ログベースで確認することが可能となります。

正常に起動している場合、下記の通り、VM のコンソール上には Windows のログイン画面が表示されます。

一方で、ゲスト OS が正常に起動されていない状態の場合には、起動途中のメッセージやエラー画面のまま停止しているケースが確認されます。

表示される画面やエラー内容は状況により異なりますが、スクリーンショットから原因の絞り込みが可能な場合も多くあります。
また、ブート診断の結果から No boot 状態が確認された場合には、No boot 観点での調査へ迅速に移行することが可能となります。

Noboot 状態のトラブルシューティングに関しましては、下記の弊社ドキュメントやブログにお纏めしておりますので必要に応じてご確認をいただけますと幸いです。

■ご参考:Azure 仮想マシンでのブート エラーのトラブルシューティング
https://learn.microsoft.com/ja-jp/troubleshoot/azure/virtual-machines/windows/boot-error-troubleshoot

■ご参考:Azure 上の Windows OS が起動しない場合の情報まとめ
https://jpaztech.github.io/blog/vm/windows-noboot-summary/

また、一般的なブート エラーの例については、以下のドキュメントにも整理されておりますので、こちらもご参照いただけますと幸いです。

■ご参考:Azure の VM のブート診断 - Virtual Machines
https://learn.microsoft.com/ja-jp/troubleshoot/azure/virtual-machines/windows/boot-diagnostics#common-boot-errors

ブート診断を有効化する方法

次に、Azure ポータルからブート診断を有効化する手順についてご説明します。

  1. ブート診断を有効化する Azure VM のページより、左側 [ヘルプ] – [ブート診断] を選択します。
    ※ ブート診断が設定されていない場合、「この仮想マシンにはブート診断が構成されていません。」と表示されます。

  1. 画面上部の [設定] を選択します。

  2. [マネージド ストレージ アカウントで有効にする] を選択し、画面下部の [適用] ボタンを押下します。
    ※ お客様管理のストレージ アカウントをご利用されたい場合、[カスタム ストレージアカウント アカウントで有効にする] を選択

以上でブート診断の有効化は完了です。

Note

有効化後、データが利用可能になるまでしばらく時間がかかることがあります。

数分後にページを更新いただき最初のデータが利用可能になるまでお待ちください。

【補足 1】カスタム ストレージ アカウント利用時の注意点

ブート診断では、お客様管理のストレージ アカウント (カスタム ストレージアカウント アカウント) を指定し、利用することも可能です。
(上記手順 3 にて [カスタム ストレージアカウント アカウントで有効にする] を選択)

ただし、この場合は以下の点にご注意ください。

  • ストレージ アカウントのファイアウォール設定により、ブート診断の画面が表示されないケースがあります

ブート診断の画面が表示されず、下記のようなメッセージを確認された場合、ストレージ アカウントのネットワーク設定を一度確認することをおすすめします。

■ご参考:Azure Storage のファイアウォール規則
https://learn.microsoft.com/ja-jp/azure/storage/common/storage-network-security

Note

このようにカスタム ストレージアカウント アカウン トをご利用いただく場合、構成確認が必要な場合がございますため、

特別な要件がない場合はマネージド ストレージ アカウントの利用を推奨いたします。

【補足 2】マネージド ストレージ アカウント利用時の注意点

Azure Blob Storage では、利用形態によってアクセス先の FQDN が異なります。

  • カスタム ストレージ アカウント

    <storage-account>.blob.core.windows.net

  • マネージド ストレージ アカウント

    <storage-account>.z[00-50].blob.storage.azure.net

上記の通り、マネージド ストレージ アカウントでは、通常のストレージ アカウントとは異なる FQDN が使用されます。
そのため、Azure ポータルに接続している端末で Firewall やプロキシをご利用の環境において、この FQDN への通信がブロックされている場合、
Azure ポータルからブート診断を確認できないことがございます。

マネージド ストレージ アカウントをご利用される際は、通常のストレージ アカウントとは異なる FQDN が使用される点について、
あらかじめご留意いただけますと幸いです。

おわりに

Azure VM において、「実行中」と表示されているにもかかわらず OS に接続できない場合、ゲスト OS が正常に起動していない No boot 状態である可能性が考えられます。

このような状況では、ブート診断を活用することで、OS の起動状況を迅速に把握でき、原因切り分けや復旧までの時間を短縮することが可能です。

特に、サポートへお問い合わせいただく際にも、ブート診断の情報があることで、初動調査をよりスムーズに進めることができます。

上述しましたようにブート診断の有効化は比較的設定も容易であり、トラブルシューティングにおいて非常に有用な機能ですので、平常時から有効化しておくことをおすすめいたします。

本記事が、障害発生時の切り分けや迅速な復旧の一助となれば幸いです。

]]> https://jpaztech.github.io/blog/vm/boot-diagnostics/ 2026-04-07T08:30:00.000Z こんにちは、Azure IaaS サポートの杉野です。
Azure VM に関する問い合わせの中でも、「VM に接続できない」、「VM が応答しない」といったトラブルは非常に多く寄せられます。

特に、Azure ポータル上では VM の状態が「実行中」と]]>

Azure VM のブート診断について 2026-04-07T08:30:00.000Z Japan Azure IaaS Core Support Team こんにちは、Azure サポートチームの檜山です。

今回は Azure ロードバランサーの利用にあたり、よくあるお問い合わせで代表的なものについてご紹介させていただきます。

Azure ロードバランサー利用時に想定した動作ができないといった時に制限事項にあてはまっている場合がございますので、そのような時はご一読いただけますと幸いです。

また、Azure ロードバランサーを経由した通信のトラブルシューティングについては以下もご参照ください。

ロードバランサー経由での通信ができない場合のチェックポイント

Azure ロードバランサー (内部 [プライベートIP] / 外部 [パブリック IP]) 利用時のよくあるお問合せ

Azure ロードバランサー利用時のよくあるお問合せとして以下のようなものがあります。

それぞれについて以下に詳細を記載します。

ロードバランサーのバックエンドプールに VM を追加できない

こちらの事象についてよくある原因としては以下があります。

  1. 1 台の VM を複数のロードバランサーに追加しようとしている
  2. ロードバランサーと VM に付与されているパブリック IP アドレスの SKU が異なる

1 についてですが、Azure ロードバランサーは 1 台の VM を複数の外部ロードバランサーまたは複数の内部ロードバランサーに追加することができません。

Azure ロードバランサーに複数のフロントエンド IP アドレスを設定することで回避できる場合がありますので、ご検討ください。

また、1 台 の VM を 1 つの外部ロードバランサーと 1 つの内部ロードバランサーに所属し、負荷分散することはできます。(LB の SKU は合わせる必要があります)


2 についてですが、VM のパブリック IP アドレスが Basic SKU であった場合、Standard SKU のロードバランサーのバックエンドには追加することができません (SKU が反対の場合も同様)。

そのため、そのような構成であった場合、どちらかの SKU を変更し、SKU を合わせる必要があります。

ロードバランサーのバックエンドプールに追加したら外部へ接続できなくなった

こちらの事象についてよくある原因としては以下があります。

  1. Standard SKU の内部ロードバランサーのバックエンドプールに所属している

Standard SKU の内部ロードバランサーの場合、以下のどちらかの設定を行いパブリック IP アドレス経由で外部と通信できるようにする必要があります。

  1. VM にパブリック IP アドレスを付与する
  2. VM を外部ロードバランサーにも追加する

バックエンドプールに所属した VM からロードバランサーのフロントエンド IP アドレスにアクセスできない

こちらの事象についてよくある原因としては以下があります。

  1. 内部ロードバランサーのバックエンドに所属している VM から、その VM が所属しているロードバランサーのフロントエンド IP アドレスにアクセスしている

内部ロードバランサーの動作として、自分自身がバックエンドプールとして所属するロードバランサーのフロントエンド IP アドレスに接続した際は、送信パケットと受信パケットで不一致が発生し、自ノードへはアクセスできない動作となります。

このような要件があった場合、Proxy を経由させる等で回避できる場合がございますのでご検討ください。

Standard SKU の外部ロードバランサーで正常性プローブは成功するが、負荷分散ができない

こちらの事象についてよくある原因としては以下があります。

  1. NIC またはサブネットに NSG を適用していない

Standard SKU の外部ロードバランサーでは NSG の受信規則によって、負荷分散用のポートを許可しない限り、トラフィックがホワイトリストとして登録されず負荷分散の通信が許可されません。

ただし、正常性プローブについては NSG が適用されていなくても成功する動作となります。

メトリック等で確認した際に正常性プローブは成功しているが、負荷分散がきないといった事象の場合、NSG の受信規則によって、負荷分散用のポートを許可して事象が改善するかをご確認ください。

ロードバランサーのフロントエンド IP アドレスの送信元 NAT (SNAT) による外部接続ができない

こちらの事象についてよくある原因としては以下があります。

  1. VM が所属するバックエンドプールが負荷分散規則に紐づけられていない
  2. VM にパブリック IP アドレスが付与されている
  3. 外部ロードバランサーではなく内部ロードバランサーを利用している

1 についてですが、外部への送信接続時の SNAT はバックエンドプールを負荷分散規則に紐づけていないと利用することができません。

Standard SKU の場合は、アウトバウンド規則を利用することもできます。

  • Load Balancer のアウトバウンド規則

https://docs.microsoft.com/ja-jp/azure/load-balancer/load-balancer-outbound-rules-overview

2 についてですが、VM にパブリック IP アドレスが付与されている場合はそのパブリック IP アドレスにて SNAT されるため、ロードバランサーのフロントエンド IP アドレスでは SNAT されません。

3 についてですが、内部ロードバランサーの場合は送信接続時にフロントエンド IP アドレスで SNAT されない動作となります

ロードバランサーのバックエンド プールに所属する VM で Live Migration が発生し、その後通信に影響が生じる場合がある

ロードバランサー配下の仮想マシンで Live Migration が発生した際、Live Migration の発生前から確立されていた通信について、その後の接続状態や通信の継続可否に影響が生じる場合があります。

本挙動は現行のロードバランサーの制約に基づくものでありますが、すべてのアプリケーションが影響を受けるものではありません。

ただし、Live Migration の前後で同一のセッションを継続して利用し続けるような構成では、通信が正常に継続しない可能性があります。

以上、参考になれば幸いです。

]]> https://jpaztech.github.io/blog/archive/azurelb-tips/ 2026-04-07T07:00:00.000Z こんにちは、Azure サポートチームの檜山です。

今回は Azure ロードバランサーの利用にあたり、よくあるお問い合わせで代表的なものについてご紹介させていただきます。

Azure ロードバランサー利用時に想定した動作ができないといった時に制]]>

Azure ロードバランサー利用時の注意点 2026-04-20T03:45:50.255Z Japan Azure IaaS Core Support Team こんにちは、Azure テクニカル サポート チームです。

この記事では、Azure VPN Gateway において Basic SKU の Public IP アドレスを使用している場合の標準的なマイグレーション手順と作業時の注意点をご紹介します。

また、この記事でご紹介する内容は動画でもご紹介しております。

動画では Azure Portal を使用して実際に移行する手順をご確認いただけますので、こちらも併せてご活用ください。

Azure の Public IP アドレス リソースには、Basic および Standard の 2 種類の SKU が用意されています。

Azure VPN Gatewayにおいては、環境によって Basic SKU の Public IP アドレスが利用されているケースがあります。

Basic SKU の Public IP アドレスは順次サービス終了が予定されているため、Basic SKU から Standard SKU へのマイグレーション作業が必要となります。


1. マイグレーションの対象となるGatewayの条件

マイグレーションの対象となるGatewayの条件は、下記の表のとおりです。

VPN Gateway SKU本マイグレーション作業 要/不要
Basic SKU別の対応が必要
※ 商用ワークロードの使用は非推奨
Standard SKU必要
High Performance SKU必要
VpnGw [1–5] SKU + Basic SKU Public IP必要
VpnGw [1–5] SKU + Standard SKU Public IP不要
VpnGw [1–5] AZ SKU不要

VPN Gatewayの SKU は、Azure ポータルで対象のGateway リソースを選択し、[概要]画面からご確認いただけます。

また、Public IP アドレスの SKU については、Public IP アドレスのリンクをクリックし、[概要]画面からご確認いただけます。

これらをご確認のうえ、ご利用中のGatewayがマイグレーション対象に該当するかをご確認ください。


2. マイグレーションの手順

2-1. マイグレーションの流れ - 検証

実際のマイグレーション作業の流れについてご案内いたします。

マイグレーションは、「検証」「準備」「移行」「コミット」の 4 つのステップで進行します。

マイグレーション ツール画面を開くには、Azure ポータルで対象の VPN Gateway Gateway リソースを選択し、[構成]→[Migrate to Standard IP]をクリックしてください。

移行ツールを開くと、自動的に構成の検証が実行されます。

問題がなければ「Succeeded」と表示され、「検証」は完了となります。


2-2. マイグレーションの流れ - 準備

次に[Prepare]をクリックすると、マイグレーションの準備が開始され、移行先の VPN Gatewayが作成されます。

このステップの完了にはおおよそ 30 分程度かかりますが、本ステップ中に通信影響は発生しません。

準備が完了すると、次のステップである[Migrate]および[Abort]が表示されます。


なお、P2S 接続に “cloudapp.net” で終わる FQDN を使用して VPN Gatewayへ接続されている場合は、準備完了後に [VPN クライアントのダウンロード] を選択し、

更新された VPN クライアント プロファイル(ZIP ファイル)をダウンロードしてください。

その後、ダウンロードしたプロファイルを使用して再接続を行い、ポイント対サイト(P2S)接続が可能であることを確認してください。

*(※ご利用中の VPN Gatewayが対象であるかどうかの確認方法は Gatewayでレガシ DNS が使用されているかどうかを確認する をご参照ください。


2-3. マイグレーションの流れ - 移行

次のステップは「Migration」です。
この段階で作業をキャンセルする場合は、[Abort]をクリックしてください。

これにより、準備ステップで作成されたリソースが削除され、作業開始前の状態に戻ります。

作業を進める場合は、[Migration]をクリックします。

本ステップにて、実際の Public IP アドレスの SKU 移行作業が実行され、最大で約 5 分程度の通信断が発生する可能性があります。

※移行を行っている途中で VPNGateway の状態が Failed で表示されることがございますが、完了時には Succeeded に変わりますのでご安心ください。

なお、SKU を変更しても、VPN Gatewayで使用されている Public IP アドレス自体は変更されませんのでご安心ください。

移行が完了すると、最後のステップとして[Commit]および[Abort]のボタンが表示されます。

ツール上には新しいGatewayでのトラフィック処理状況が表示されますので、トラフィックが正常に流れていることをご確認ください。

(※ P2S 接続のみの環境ではトラフィック処理状況は表示されないため、クライアントから移行後の VPN Gatewayへ P2S 接続が可能か確認してください。)

万一、問題が確認された場合は、[Abort]を選択することで作業前の状態に戻すことが可能です。


2-4. マイグレーションの流れ - コミット

トラフィックが正常に流れていることを確認できましたら、[Commit]をクリックしてください。

なお、[Commit]実行後は切り戻しができませんので、ご注意ください。

このステップでは、移行により不要となったリソースのクリーンアップ処理が実行されます。

本処理にはおよそ 15 分程度かかります。

[Commit]が完了すると、VPN Gatewayで使用されている Public IP アドレスの SKU が Standard に変更され、マイグレーション作業は完了となります。


3. まとめ

VPN Gatewayで Basic SKU の Public IP アドレスを使用している場合のマイグレーション手順についてご紹介しました。

本マイグレーション作業は、すべて Azure Portalから実行可能です。

公式ドキュメントには、より詳細な情報や補足事項も記載されていますので、作業を実施される前にあわせてご確認ください。

Basic SKU パブリック IP アドレスを VPN Gateway 用に Standard SKU に移行する方法

]]> https://jpaztech.github.io/blog/network/vpngw-basicip-migration/ 2026-03-19T03:00:00.000Z こんにちは、Azure テクニカル サポート チームです。

この記事では、Azure VPN Gateway において Basic SKU の Public IP アドレスを使用している場合の標準的なマイグレーション手順と作業時の注意点をご紹介します。

また、この記事でご紹介する内容は動画でもご紹介しております。

動画では Azure Portal を使用して実際に移行する手順をご確認いただけますので、こちらも併せてご活用ください。

]]> Basic SKU の Public IP アドレスを使用している Azure VPN Gateway のマイグレーションについて(Basic SKU VPN Gatewayは除く) 2026-04-20T03:45:50.420Z Japan Azure IaaS Core Support Team

Note

2026 年 3 月現在、本記事で解説している方法は EnableApplicationGatewayNetworkIsolation 機能が有効化された Application Gateway には使用できず、以下のエラーが発生することを確認しています。

Cannot change Application Gateway's GatewayIpConfiguration '/subscriptions/<subscriptionName>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/applicationGateways/<applicationGatewayName>/gatewayIPConfigurations/<gatewayIPConfigName>' subnet property '/subscriptions/<subscriptionName>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<virtualNetworkName>/subnets/<subnetName>' when the gateway is enabled with NetworkIsolation.

EnableApplicationGatewayNetworkIsolation 機能は、Application Gateway v2 でプライベート デプロイを利用する際に有効化が必要な機能です。この機能をサブスクリプションに登録すると、それ以降に作成したすべての Application Gateway v2 で NetworkIsolation が有効化されます。

NetworkIsolation が有効化された Application Gateway v2 ではサブネットの変更はできませんので、上述のエラーが発生した場合は Application Gateway v2 を再作成してください。

こんにちは、Azure テクニカル サポート チームの薄井です。
今回は Application Gateway V1 および V2 でサブネットを変更する方法についてご紹介します。

残念ながら現在の Azure ポータルからは、すでにデプロイした Application Gateway のサブネットを後から変更することはできません。
サブネットを変更する必要性が生じたら、新しく Application Gateway を作り直すしかありません。

しかし Azure PowerShell を使うことで、 Application Gateway を作り直すことなく、既存のサブネットの設定を変更することができます。

サブネット変更方法

※ 弊社検証環境でも動作の確認を行っておりますが念のため、お客様環境におかれましても事前に検証環境で動作をご確認のうえ本番環境への適用をお願いいたします。

※ Application Gateway のフロントエンド IP 構成において、プライベート IP アドレスが固定で設定されている場合は、プライベート IP アドレスと関連するリスナー設定等を削除しておく必要があります。

  1. あらかじめ同一 VNET 内に変更先の新しいサブネットを作成しておきます。

  2. Azure PowerShell または ポータルより Cloud Shell を起動し、以下のコマンドレットを入力します。(<>の部分は環境に合わせて変更が必要となります)

  3. 構成を変更する対象のサブスクリプションを指定します。

1
Select-AzSubscription -SubscriptionId <サブスクリプション ID>
  1. 構成を変更する対象の仮想ネットワークを指定します。
1
$VNet = Get-AzVirtualNetwork -Name <対象の仮想ネットワーク> -ResourceGroupName <変更対象のリソースグループ>
  1. 変更先のサブネットを取得します。
1
$Subnet = Get-AzVirtualNetworkSubnetConfig -Name <変更先のサブネット名> -VirtualNetwork $VNet

 
4. 変更対象の Application Gateway を取得します。

1
$gw=Get-AzApplicationGateway -name <変更対象の Application Gateway 名> -ResourceGroupName <変更対象のリソースグループ>
  1. サブネットの変更を加えます。
1
$gw2=Set-AzApplicationGatewayIPConfiguration -ApplicationGateway $gw -Name "appGatewayIpConfig" -Subnet $Subnet
  1. 稼働中の Application Gateway を停止します。※ 停止に数分かかります
1
Stop-AzApplicationGateway -ApplicationGateway $gw
  1. Application Gatewayを設定、開始します。※ 開始に 10 分以上かかります
1
Set-AzApplicationGateway -ApplicationGateway $gw2
  1. 開始後に以前と同様に Web サーバへアクセスできるか確認します。

以上、ご参考になれば幸いです。

その他の Application Gateway のサブネットに関連する情報

Application Gateway のサブネットについて関連する情報が以下のページにあります。
併せてご参考いただければと思います。

]]> https://jpaztech.github.io/blog/network/appgw_change_subnet/ 2026-03-09T15:00:00.000Z

Note

2026 年 3 月現在、本記事で解説している方法は EnableApplicationGatewayNetworkIsolation 機能が有効化された A]]>

Application Gateway でサブネットを変更する方法 2026-04-20T03:45:50.369Z Japan Azure IaaS Core Support Team こんにちは。Azure テクニカル サポート チームの加藤です。

本記事では、Application Gateway V1 SKU から V2 SKU への移行に関するよくあるお問い合わせについてご紹介します。

なお、Application Gateway V1 につきましては、2026 年 4 月 28 日にリタイアすることが決まっております。この日以降、ご利用の Application Gateway V1のリソースはすべて停止される見込みとなります。
つきましては、期日までに計画的に Application Gateway V2 への移行をご実施いただけますよう、何卒お早めにご検討をいただけますと幸いでございます。

Application Gateway V2 への移行のガイドはこちらをご参照ください。


目次


移行スクリプトに関するよくあるお問い合わせ

移行スクリプトを使用してプライベートのフロントエンド IP のみを構成する Application Gateway V2 に移行することは可能ですか?

A. はい、可能です。
Application Gateway V2 のフロントエンド IP アドレスをプライベートのみとする構成は
プライベート Application Gateway と呼ばれ、事前に以下の作業を行うことでご利用いただけます。

  • 事前にサブスクリプションに対してプレビュー機能で EnableApplicationGatewayNetworkIsolation を有効化する。

  • 事前にプライベート Application Gateway (V2) をデプロイするサブネットに Microsoft.Network/applicationGateways の委任設定を追加する。

詳細はこちらの公開技術情報をご確認ください。
※ EnableApplicationGatewayNetworkIsolation 機能はお客様に任意で登録いただく機能のため、サブスクリプションの [プレビュー機能] のページに配置されておりますが、プライベート デプロイ機能自体はすでに GA (General Availability) 済みの機能です。

移行スクリプトを実行中に「 Application Gateway deployments must have subnet delegation configured to Microsoft.Network/applicationGateways」というエラーが表示されました。どうすればいいですか?

A.
サブスクリプションに対して EnableApplicationGatewayNetworkIsolation 機能を有効化した状態で V2 を作成する場合、フロントエンド IP アドレスがパブリック IP のみ関連づいているか、プライベート IP のみ関連づいているかを問わず、移行先のサブネットで「Microsoft.Network/applicationGateways」へのサブネット委任の設定が必要となります。

そのため、移行スクリプト実行前に V2 を作成予定のサブネットに対してサブネットの委任の設定をすることで回避できます。なお、移行元の V1 のサブネットではサブネット委任の設定は必要ございません。

プライベート Application Gateway を利用する場合、「拡張複製スクリプト」(AzureAppGWClone.ps1)のパラメーターにある PublicIpResourceId は記載不要でしょうか?

A.
はい、「拡張複製スクリプト」のパラメーター「PublicIpResourceId」については、省略可能なパラメーターであり、プライベート Application Gatewayとしてご利用いただく場合、このパラメーターは不要です。

「拡張複製スクリプト」(AzureAppGWClone.ps1)と「従来の複製スクリプト」(AzureAppGWMigration.ps1)の違いは何でしょうか?

A.
拡張複製スクリプトでは以下の対応が可能となりました。

  • パブリック IP アドレスの取り扱い:
    プライベート Application Gateway 環境の移行にあたりパブリック IP アドレスを一時的に付与する必要がなくなりました。
    (従来の複製スクリプトでは作成時に一時的にパブリック IP アドレスを付与、作成後に手動で削除する必要がありました)

- HTTPS リスナーで利用する TLS 証明書の取り扱い:従来の複製スクリプトで必須であった TLS 証明書の手動指定が不要となりました。拡張複製スクリプトでは既存の V1 環境にアップロードされている TLS 証明書が自動で V2 環境に反映される動作になりました。

- HTTP 設定で利用するバックエンド接続用の信頼されたルート証明書の取り扱い:Application Gateway とバックエンド サーバー間を HTTPS で通信し、かつ自己署名証明書のように、既知の証明書認証局から発行されていないサーバー証明書をバックエンド側で利用している場合、V2 では HTTP 設定の箇所でルート証明書をアップロードする必要があり、従来の移行スクリプト実行時に明示的に指定する必要がありました。先日 Application Gateway V2 とバックエンド サーバー間を HTTPS で通信する構成において、[証明書の検証をスキップさせる機能](https://learn.microsoft.com/ja-jp/azure/application-gateway/configuration-http-settings?tabs=backendhttpsettings#backend-https-validation-settings)が登場しました。拡張複製スクリプトではこの機能に対応しているため、バックエンド用の証明書を手動指定する必要がなくなりました。

「拡張複製スクリプト」(AzureAppGWClone.ps1)を用いて Application Gateway V1 から V2 へ移行したところ、Application Gateway V1 ではバックエンド設定の証明書設定にて認証証明書が設定されていましたが、Application Gateway V2 では、該当の設定が見当たりません。V1/V2 で同じ設定となっているのでしょうか?

A.
Application Gateway V1 では認証証明書そのものをバックエンド設定に登録する構成であったのに対して、V2 では信頼されたルート証明書を登録する構成に変更になりました。
このため、Application Gateway V1 と V2 では以下の通り証明書検証の動作が異なります。

Application Gateway での証明書検証の動作

V1 SKU - Application Gateway V1 は認証証明書を使用します。 このメカニズムは、Application Gateway で構成された証明書と、バックエンド サーバーによって提示される証明書との完全一致を実行します。 さらに、V1 では、TLS ハンドシェイク中にサーバー名表示 (SNI) を使用できない場合は、既定またはフォールバック証明書の使用がサポートされます。

V2 SKU - 既定では、Application Gateway V2 はより包括的な検証を実行します。 完全な証明書チェーンと、バックエンド サーバー証明書のサブジェクト名が検証されます。詳細情報

また、V1 と V2 の証明書検証動作の互換性を維持するため、拡張複製スクリプトを実行した後の Application Gateway V2 では、バックエンド サーバー側の証明書チェーン、有効期限、SNI などの検証が無効化された状態となっています。これは拡張複製スクリプトを用いて Application Gateway を移行した際の想定された動作です。
バックエンド サーバーから提示される証明書の検証が必要な場合には、Application Gateway V2 への移行後、改めて、バックエンド設定へルート証明書をアップロードくださいますようお願いいたします。

  • Azure Application Gateway と Web Application Firewall を V1 から V2 に移行する
    ※ 「1. 拡張複製スクリプト」の “推奨事項” の箇所をご参照ください。

    ・このスクリプトは、複製中に既定でバックエンド TLS 検証を緩和します (証明書チェーン、有効期限、SNI 検証なし)。 より厳密な TLS 検証または認証証明書が必要な場合、お客様は Application Gateway V2 の作成後に更新して、信頼されたルート証明書を追加し、要件に従ってこの機能を有効にすることができます。

移行スクリプトを実行して Application Gateway V1 をV2 に移行した場合、WAF はどのように構成されるでしょうか?

A.
Application Gateway V2 の WAF 設定には現在以下の 2種類の管理方式があります。

  • 従来の WAF 構成: WAF ポリシーを利用せず、Application Gateway リソース自体に WAF 設定を保持する方式(V1 はこの方式のみ対応しています。)
  • WAF ポリシー構成: 専用リソースとして WAF ポリシーを作成し、Application Gateway に関連付ける方式

移行スクリプトを実行して Application Gateway V2 を作成した場合、WAF ポリシー構成として作成されます。このとき V1 で設定していた構成を元にした WAF ポリシーが自動で作成され 、Application Gateway に関連付けられます。

「拡張複製スクリプト」(AzureAppGWClone.ps1)を使用した場合、スクリプトで作成された WAF ポリシーには既定のルールセット として CRS 3.0 が設定されていますがアップグレードする必要はあるでしょうか?

A.
はい、CRS 3.0 は 2027 年 2 月 26 日までサポートされておりますが、お早めにアップデートをご検討ください。WAF ポリシーのアップグレード手順に関しましては、以下の公式ドキュメントを参考にしていただければ幸いです。

なお、今回のように古いバージョンから最新のバージョンへルールセットを変更する場合、マネージド ルールの内容も最新のセキュリティ状況に即した内容にアップデートされます。

そのため、診断ログを有効にしたうえで、まずは「検知モード」でしばらくご利用いただき、お客様にて診断ログをご確認後、誤検知がある場合はルールの無効化等でチューニングをご実施いただいたえで、「防止モード」への変更をされることを推奨いたします。

WAF のチューニングにつきましては、以下のブログ記事もご参照いただけますと幸いでございます。

Application Gateway V2 を作成した時点で、バックエンドサーバーが Application Gateway V1 および V2 の両方に関連付けられる構成となりますが、バックエンド サーバーが複数のバックエンドプールへ関連付けられていても問題はないでしょうか?

A.
はい、1 つのバックエンド サーバーを、V1 および V2 の両方の Application Gateway のバックエンド プールとして指定することは問題ございません。

移行スクリプト実行中に移行元の Application Gateway V1に対して設定変更や再起動などを行うことは可能でしょうか?

A.
移行スクリプト実行中には、移行元の Application Gateway V1 に対して操作を行うことは推奨されません。公式ドキュメントにも下記の通り記載がございます。

移行中は、V1 ゲートウェイまたは関連付けられているリソースに対して他の操作を試みないでください。

移行スクリプト実行中に移行元の Application Gateway V1に関連付けされているバックエンド サーバーに対して設定変更や再起動などを行うことは可能でしょうか?

A.
移行スクリプト実行中にバックエンド サーバー側の設定変更や再起動を実施しても、移行への影響は想定されませんが、予期せぬ問題を防ぐ意味合いでも、移行スクリプト実行中の操作は控えていただくことをお勧めいたします。

移行スクリプト実行中に通信影響はあるでしょうか?

A.
いいえ。「拡張複製スクリプト」および「従来の複製スクリプト」の実行中に通信影響はございません。また、移行スクリプトを実行中も、移行元の Application Gateway V1 を経由してバックエンド サーバーに通信することが可能ですのでご安心ください。


トラフィックの移行に関するよくあるお問い合わせ

DNS レコードの更新で通信を切り替える場合、DNS の設定を変更してから Application Gateway V2 経由での通信に完全に切り替わるまでどの程度の時間がかかるでしょうか?

A.
切り替わるまでの時間につきましては DNS レコードの TTL に大きく依存いたしますが、明確な目安などはございません。切り替わり時間は TTL 値 + マージンが必要とご理解いただけますようお願いいたします。

Standard V1 または WAF V1 ゲートウェイに (A レコードを使って) 関連付けられているフロントエンド IP アドレスを指すカスタム DNS ゾーン (例: contoso.com)。 Standard_V2 アプリケーション ゲートウェイに関連付けられているフロントエンド IP または DNS ラベルを指すように、DNS レコードを更新できます。 DNS レコードに構成されている TTL によっては、すべてのクライアント トラフィックが新しい V2 ゲートウェイに移行するまでに時間がかかる場合があります。

なお、DNS 切り替えの際、Application Gateway V1・V2 がともに稼働している状態であれば、トラフィック移行中でも継続して Application Gateway からサービスが提供されますので基本的には通信影響はございません。

ただし、お客様のバックエンド アプリケーションにおいてセッション管理を行っている場合、セッション維持の実装方法によってはトラフィックの移行時に通信影響が発生することがありますので、十分な検証のうえ移行作業を進めていただくことをお勧めします。

トラフィックを移行するまでの間、Application Gateway V1 と V2 のリソースを並行稼働できるでしょうか?

A.
はい、Azure の観点では Application Gateway V1 と V2 のリソースを並行稼働することに問題はございません。トラフィックを移行するまでの間は Application Gateway V1 を経由してバックエンド サーバーに通信が行われます。

トラフィックを移行した後、通信が Application Gateway V2 を経由していることを確認できるでしょうか?

A.
はい、診断ログを有効にした上でアクセス ログをご確認いただくことで、通信が Application Gateway V2 を経由していることを確認できます。
なお、Application Gateway V1 で診断ログを有効にしていても、移行スクリプトを実行するだけでは Application Gateway V2 で診断ログは有効になりませんため、個別に設定を追加いただく必要があります。
診断ログの設定方法に関しましては、以下の公式ドキュメントを参考にしていただければ幸いです。


V1 と V2 の仕様差分に関するよくあるお問い合わせ

Application Gateway V1 と V2 の機能の差分はありますか?

A.
こちらのドキュメントに V1 と V2 で利用できる機能の差異についてまとめられておりますのでご確認ください。

Application Gateway V1 と Application Gateway V2 の通信要件(NSG/ UDR) の違いはあるでしょうか?

A.
Application Gateway V1 と Application Gateway V2 では、 Azure 基盤サービスとの通信要件や、NSG/UDR の要件が一部異なります。そのため、NSG や UDR による通信制御を行っている環境では、V2 への移行時に設定の見直しが必要となる場合があります。

NSG につきまして、 基盤サービス(GatewayManager)との通信で使用されるポート範囲が SKU ごとに異なります。詳細については、以下の公開ドキュメントをご参照ください。

インフラストラクチャ ポート: GatewayManager サービス タグと “任意” の宛先として、ソースからの受信要求を許可します。 宛先ポートの範囲は、SKU によって異なります。これは、バックエンド正常性の状態を通信するために必要です。 これらのポートは、Azure 証明書によって保護 (ロックダウン) されます。 適切な証明書が設定されていない外部エンティティは、そのようなエンドポイントに対する変更を開始できません。

V2: ポート 65200 から 65535
V1: ポート 65503 から 65534

UDR につきまして、 V1 では、エンド ツー エンドの通信経路が維持されることを前提として、Application Gateway サブネットに UDR を設定する構成がサポートされています。
一方で V2 では、すべての管理/コントロール プレーン トラフィックが、仮想アプライアンス経由ではなく、インターネットに直接送信されるようにする必要があり、0.0.0.0/0 トラフィックをインターネットに向けるよう設定する必要があります。(お客様でご利用中の個別のアドレス プレフィックス宛のルートを設定いただく分には問題ございません)

v1: v1 SKU の場合、UDR は、エンド ツー エンドの要求/応答の通信が変更されなければ、Application Gateway サブネットでサポートされます。 たとえば、パケットの検査のためにファイアウォール アプライアンスを指すように Application Gateway サブネットの UDR を設定できます。 ただし、検査後にパケットが目的の宛先に到達できることを確認する必要があります。 これに失敗すると、不適切な正常性プローブやトラフィック ルーティング動作が発生する場合があります。 これには仮想ネットワークの Azure ExpressRoute や VPN ゲートウェイによってプロパゲートされる学習済みのルートまたは既定の 0.0.0.0/0 ルートが含まれます。

v2: v2 SKU の場合、サポートされるシナリオとサポートされないシナリオがあります。

なお、プライベート Application Gateway の場合は、NSG と UDR の通信要件が緩和されております。詳細については以下のドキュメントをご確認ください。

Application Gateway V1の最小サブネット サイズは /26 でしたが Application Gateway V2で推奨のサブネット サイズはあるでしょうか?

A.
Application Gateway V2 は、インスタンスを最大 125 までスケール アウトすることが可能です。そのため、最大 131 個の IP アドレス (※) が必要となり、/24 のサブネット サイズを推奨しております。
※ 125 のインスタンス IP アドレス + 1 つのプライベート フロントエンド IP 構成 + 5 つの Azure 予約 IP アドレス

なお、お客様環境のご要件にてインスタンスのスケール アウトが最大 125 まで必要とされない場合、スケール アウトする最大インスタンス数の上限を決めることで、サブネット サイズを調整いただくことは可能ですが、拡張性を考慮して /24 のサブネット サイズでデプロイいただくことを強くお勧めいたします。

Application Gateway V1 と V2 を停止した際に、課金の差異はあるでしょうか?

A.
V2 につきましては、Application Gateway 自体の固定コスト/容量ユニットコスト/データ転送はすべて課金されなくなりますが、パブリック IP アドレスの課金は停止中も発生します。
V1 につきましては、関連付けているパブリック IP アドレスを含めすべての課金が停止いたします。


その他

Application Gateway V2 のフロントエンド IP として Application Gateway V1 で利用していたプライベート IP アドレスを設定することは可能でしょうか?

A.
Application Gateway V1 と Application Gateway V2 を同じサブネットに共存させることは叶いませんため、Application Gateway V1 を先に削除いただき、Application Gateway V2 を作成する際に Application Gateway V1 で使用していたプライベート IP アドレスを設定することで設定が可能です。

Application Gateway V1 から V2 への移行に向けて、料金差分を確認したいです。大まかな料金を確認したいのですが、どのように計算したらよいでしょうか?

A.
Application Gateway の V1 と V2 では料金体系が大きく異なっております。
V1 では、インスタンス数とインスタンスのサイズに基づく固定料金と、処理データ量に応じた従量課金が発生します。

一方で、V2 では、従来のインスタンス単位ではなく、利用状況に応じて課金される消費ベースのモデルへと切り替わっており、容量ユニット コスト使用状況に応じて料金が変動する仕組みとなっています。詳細については、以下の公開ドキュメントをご参照ください。

料金差分を確認される際には、以下の料金計算ツール上で V1 に相当する「Basic V1」と V2 の「Standard v2」をそれぞれ選択し、現在ご利用中のトラフィック量や接続数に合わせて試算いただくことになります。
V1 と V2 は料金構造そのものが異なるため、単純にインスタンス数を並べて比較するのではなく、利用量をもとに試算していただくことが必要となります。


以上、Application Gateway V1 SKU から V2 SKU への移行に関するよくあるお問い合わせについてご紹介しました。移行のご参考になれば幸いです。

]]> https://jpaztech.github.io/blog/network/appgw-migrate-v1-v2/ 2026-02-13T03:00:00.000Z こんにちは。Azure テクニカル サポート チームの加藤です。

本記事では、Application Gateway V1 SKU から V2 SKU への移行に関するよくあるお問い合わせについてご紹介します。

]]> Application Gateway V1 SKU から V2 SKU への移行に関するよくあるお問い合わせ 2026-04-20T03:45:50.362Z Japan Azure IaaS Core Support Team こんにちは、Azure テクニカル サポート チームの富田です。
2028 年に幾つかの古い VM サイズ(D, Ds, Dv2, Dsv2, Ls および F, Fs, Fsv2, Lsv2, G, Gs, Av2, Amv2, B シリーズ)のリタイアが予定されております。
本件について多くお問い合わせもいただいておりますため、以下の点本ブログ記事にて解説をさせていただきます。

■ご参考:Retirement: D, Ds, Dv2, Dsv2, and Ls Series Virtual Machines to Be Retired on May 1, 2028
https://azure.microsoft.com/en-us/updates?id=485569

■ご参考:Retirement: The F, Fs, Fsv2, Lsv2, G, Gs, Av2, Amv2, and B series VMs are retiring in 2028
https://azure.microsoft.com/en-us/updates?id=500682

■ご参考:廃止された Azure VM サイズ シリーズ
https://learn.microsoft.com/ja-jp/azure/virtual-machines/sizes/retirement/retired-sizes-list

VM サイズがリタイアするとどうなるか

リタイアにより既存の VM リソースが強制的に削除されるといったことはございません。
しかしながら、リタイア予定のサイズを使い続けていた場合、リタイアの日程以降に VM が自動的に割り当て解除され、VM サイズを現行のものに変更しない限り起動ができなくなることが想定されます。
意図しない VM 停止とならないように、リタイア予定日までに VM サイズを移行いただきますようお願いいたします

今回のリタイアのスケジュールについて

今回のリタイアについて現状のスケジュールは以下の通りとなっております。

VM サイズシリーズリタイア予定日
D, Ds, Dv2, Dsv2, Ls2028 年 5 月 1 日
F, Fs, Fsv2, Lsv2, G, Gs, Av2, Amv2, B2028 年 11 月 15 日

今回のリタイア対象の VM サイズについて

今回のリタイア予定の VM サイズの一覧は Azure CLI で以下のコマンドで確認可能です。

1
2
3
4
5
6
7
8
9
10

# D, Ds, Dv2, Dsv2, Ls シリーズの VM サイズ一覧を表示
az vm list-skus -r virtualMachines \
  --query "[?family=='standardDFamily' || family=='standardDSFamily' || family=='standardDv2Family' || family=='standardDSv2Family' || family=='standardDv2PromoFamily' || family=='standardDSv2PromoFamily' || family=='standardLSFamily'].name" \
  -o tsv | sort -u

# F, Fs, Fsv2, Lsv2, G, Gs, Av2, Amv2, B シリーズの VM サイズ一覧を表示
az vm list-skus -r virtualMachines \
  --query "[?family=='standardFFamily' || family=='standardFSFamily' || family=='standardFSv2Family' || family=='standardLSv2Family' || family=='standardGFamily' || family=='standardGSFamily' || family=='standardAv2Family' || family=='standardBSFamily'].name" \
  -o tsv | sort -u

こちらの結果を整形して、以下に今回のリタイア対象の VM サイズの一覧をご用意させていただきましたので、ご参考となりましたら幸いでございます。

ヒント

下記の通り Standard_D2_v3 サイズといった Dv3 シリーズや Standard_B2s_v2 サイズといった Bsv2 サイズなどは、今回のリタイアの対象には含まれておりません。

D, Ds, Dv2, Dsv2, Ls シリーズ

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
# D シリーズ
Standard_D1
Standard_D2
Standard_D3
Standard_D4
Standard_D11
Standard_D12
Standard_D13
Standard_D14

# Ds シリーズ
Standard_DS1
Standard_DS2
Standard_DS3
Standard_DS4
Standard_DS11
Standard_DS12
Standard_DS13
Standard_DS14

# Dv2 シリーズ
Standard_D1_v2
Standard_D2_v2
Standard_D3_v2
Standard_D4_v2
Standard_D5_v2
Standard_D11_v2
Standard_D12_v2
Standard_D13_v2
Standard_D14_v2
Standard_D15_v2

# Dsv2 シリーズ
Standard_DS1_v2
Standard_DS2_v2
Standard_DS3_v2
Standard_DS4_v2
Standard_DS5_v2
Standard_DS11_v2
Standard_DS11-1_v2
Standard_DS12_v2
Standard_DS12-1_v2
Standard_DS12-2_v2
Standard_DS13_v2
Standard_DS13-2_v2
Standard_DS13-4_v2
Standard_DS14_v2
Standard_DS14-4_v2
Standard_DS14-8_v2
Standard_DS15_v2

# Dv2 シリーズ(Promo)
Standard_D2_v2_Promo
Standard_D3_v2_Promo
Standard_D4_v2_Promo
Standard_D5_v2_Promo
Standard_D11_v2_Promo
Standard_D12_v2_Promo
Standard_D13_v2_Promo
Standard_D14_v2_Promo

# Dsv2 シリーズ(Promo)
Standard_DS2_v2_Promo
Standard_DS3_v2_Promo
Standard_DS4_v2_Promo
Standard_DS5_v2_Promo
Standard_DS11_v2_Promo
Standard_DS12_v2_Promo
Standard_DS13_v2_Promo
Standard_DS14_v2_Promo

# L シリーズ
Standard_L4s
Standard_L8s
Standard_L16s
Standard_L32s

F, Fs, Fsv2, Lsv2, G, Gs, Av2, Amv2, B シリーズ

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
# F シリーズ
Standard_F1
Standard_F2
Standard_F4
Standard_F8
Standard_F16

# Fs シリーズ
Standard_F1s
Standard_F2s
Standard_F4s
Standard_F8s
Standard_F16s

# Fsv2 シリーズ
Standard_F2s_v2
Standard_F4s_v2
Standard_F8s_v2
Standard_F16s_v2
Standard_F32s_v2
Standard_F48s_v2
Standard_F64s_v2
Standard_F72s_v2

# Lsv2 シリーズ
Standard_L8s_v2
Standard_L16s_v2
Standard_L32s_v2
Standard_L48s_v2
Standard_L64s_v2
Standard_L80s_v2

# G シリーズ
Standard_G1
Standard_G2
Standard_G3
Standard_G4
Standard_G5

# GS シリーズ
Standard_GS1
Standard_GS2
Standard_GS3
Standard_GS4
Standard_GS4-4
Standard_GS4-8
Standard_GS5
Standard_GS5-16
Standard_GS5-8

# Av2 シリーズ
Standard_A1_v2
Standard_A2_v2
Standard_A4_v2
Standard_A8_v2

# Amv2 シリーズ
Standard_A2m_v2
Standard_A4m_v2
Standard_A8m_v2

# B シリーズ
Standard_B1ls
Standard_B1ms
Standard_B1s
Standard_B2ms
Standard_B2s
Standard_B4ms
Standard_B8ms
Standard_B12ms
Standard_B16ms
Standard_B20ms

Azure Resource Graph クエリを使って今回のリタイア対象 VM と VMSS を見つける

実際にお客様の環境において、今回のリタイア対象の VM サイズが設定されている VM および VMSS リソースを見つけるには、Azure Resource Graph クエリを使うのがお勧めでございます。
以下に Azure ポータルから実行する手順を紹介させていただきます。
実行の際はサブスクリプション内の Azure VM を参照できるユーザーにて実施をお願いいたします。

Azure ポータル上部の検索ボックスにて「Resource Graph エクスプローラー」を検索します。

表示された画面にてクエリを実行します。
まずは、検証として全ての VM の一覧表示が可能か確認することを推奨いたします。 

1
2
3
// 試しに全ての VM 一覧を表示してみる
Resources
| where type =~ "Microsoft.Compute/virtualMachines"

次に、以下のクエリで今回のリタイア対象の VM サイズが設定されている VM の一覧を表示します。 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
// D, Ds, Dv2, Dsv2, Ls シリーズの VM サイズが設定されている VM の一覧を表示する
Resources
| where type =~ "Microsoft.Compute/virtualMachines"
| extend vmSize = tostring(properties.hardwareProfile.vmSize)
| where vmSize in~ (
    "Standard_D1","Standard_D2","Standard_D3","Standard_D4","Standard_D11","Standard_D12","Standard_D13","Standard_D14",
    "Standard_DS1","Standard_DS2","Standard_DS3","Standard_DS4","Standard_DS11","Standard_DS12","Standard_DS13","Standard_DS14",
    "Standard_D1_v2","Standard_D2_v2","Standard_D3_v2","Standard_D4_v2","Standard_D5_v2","Standard_D11_v2","Standard_D12_v2","Standard_D13_v2","Standard_D14_v2","Standard_D15_v2",
    "Standard_DS1_v2","Standard_DS2_v2","Standard_DS3_v2","Standard_DS4_v2","Standard_DS5_v2","Standard_DS11_v2","Standard_DS11-1_v2","Standard_DS12_v2","Standard_DS12-1_v2","Standard_DS12-2_v2","Standard_DS13_v2","Standard_DS13-2_v2","Standard_DS13-4_v2","Standard_DS14_v2","Standard_DS14-4_v2","Standard_DS14-8_v2","Standard_DS15_v2",
    "Standard_D2_v2_Promo","Standard_D3_v2_Promo","Standard_D4_v2_Promo","Standard_D5_v2_Promo","Standard_D11_v2_Promo","Standard_D12_v2_Promo","Standard_D13_v2_Promo","Standard_D14_v2_Promo",
    "Standard_DS2_v2_Promo","Standard_DS3_v2_Promo","Standard_DS4_v2_Promo","Standard_DS5_v2_Promo","Standard_DS11_v2_Promo","Standard_DS12_v2_Promo","Standard_DS13_v2_Promo","Standard_DS14_v2_Promo",
    "Standard_L4s","Standard_L8s","Standard_L16s","Standard_L32s"
)
| project subscriptionId, name, resourceGroup, vmSize, location
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
// F, Fs, Fsv2, Lsv2, G, Gs, Av2, Amv2, B シリーズの VM サイズが設定されている VM の一覧を表示する
Resources
| where type =~ "Microsoft.Compute/virtualMachines"
| extend vmSize = tostring(properties.hardwareProfile.vmSize)
| where vmSize in~ (
    "Standard_F1","Standard_F2","Standard_F4","Standard_F8","Standard_F16",
    "Standard_F1s","Standard_F2s","Standard_F4s","Standard_F8s","Standard_F16s",
    "Standard_F2s_v2","Standard_F4s_v2","Standard_F8s_v2","Standard_F16s_v2","Standard_F32s_v2","Standard_F48s_v2","Standard_F64s_v2","Standard_F72s_v2",
    "Standard_L8s_v2","Standard_L16s_v2","Standard_L32s_v2","Standard_L48s_v2","Standard_L64s_v2","Standard_L80s_v2",
    "Standard_G1","Standard_G2","Standard_G3","Standard_G4","Standard_G5",
    "Standard_GS1","Standard_GS2","Standard_GS3","Standard_GS4","Standard_GS4-4","Standard_GS4-8","Standard_GS5","Standard_GS5-16","Standard_GS5-8",
    "Standard_A1_v2","Standard_A2_v2","Standard_A4_v2","Standard_A8_v2",
    "Standard_A2m_v2","Standard_A4m_v2","Standard_A8m_v2",
    "Standard_B1ls","Standard_B1ms","Standard_B1s","Standard_B2ms","Standard_B2s","Standard_B4ms","Standard_B8ms","Standard_B12ms","Standard_B16ms","Standard_B20ms"
)
| project subscriptionId, name, resourceGroup, vmSize, location

下記はクエリとその結果の画面の例です。

なお、均一オーケストレーションモードの VMSS について、同じように今回のリタイア対象を見つけるには以下のクエリをご利用ください。

1
2
3
// 試しに全ての VMSS 一覧を表示してみる
Resources
| where type =~ "Microsoft.Compute/virtualMachineScaleSets"
1
2
3
4
5
6
7
8
9
10
11
12
13
14
// D, Ds, Dv2, Dsv2, Ls シリーズの VM サイズが設定されている VMSS の一覧を表示する
Resources
| where type =~ "Microsoft.Compute/virtualMachineScaleSets"
| extend vmSize = tostring(sku.name)
| where vmSize in~ (
    "Standard_D1","Standard_D2","Standard_D3","Standard_D4","Standard_D11","Standard_D12","Standard_D13","Standard_D14",
    "Standard_DS1","Standard_DS2","Standard_DS3","Standard_DS4","Standard_DS11","Standard_DS12","Standard_DS13","Standard_DS14",
    "Standard_D1_v2","Standard_D2_v2","Standard_D3_v2","Standard_D4_v2","Standard_D5_v2","Standard_D11_v2","Standard_D12_v2","Standard_D13_v2","Standard_D14_v2","Standard_D15_v2",
    "Standard_DS1_v2","Standard_DS2_v2","Standard_DS3_v2","Standard_DS4_v2","Standard_DS5_v2","Standard_DS11_v2","Standard_DS11-1_v2","Standard_DS12_v2","Standard_DS12-1_v2","Standard_DS12-2_v2","Standard_DS13_v2","Standard_DS13-2_v2","Standard_DS13-4_v2","Standard_DS14_v2","Standard_DS14-4_v2","Standard_DS14-8_v2","Standard_DS15_v2",
    "Standard_D2_v2_Promo","Standard_D3_v2_Promo","Standard_D4_v2_Promo","Standard_D5_v2_Promo","Standard_D11_v2_Promo","Standard_D12_v2_Promo","Standard_D13_v2_Promo","Standard_D14_v2_Promo",
    "Standard_DS2_v2_Promo","Standard_DS3_v2_Promo","Standard_DS4_v2_Promo","Standard_DS5_v2_Promo","Standard_DS11_v2_Promo","Standard_DS12_v2_Promo","Standard_DS13_v2_Promo","Standard_DS14_v2_Promo",
    "Standard_L4s","Standard_L8s","Standard_L16s","Standard_L32s"
)
| project subscriptionId, name, resourceGroup, vmSize, location
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
// F, Fs, Fsv2, Lsv2, G, Gs, Av2, Amv2, B シリーズの VM サイズが設定されている VMSS の一覧を表示する
Resources
| where type =~ "Microsoft.Compute/virtualMachineScaleSets"
| extend vmSize = tostring(sku.name)
| where vmSize in~ (
    "Standard_F1","Standard_F2","Standard_F4","Standard_F8","Standard_F16",
    "Standard_F1s","Standard_F2s","Standard_F4s","Standard_F8s","Standard_F16s",
    "Standard_F2s_v2","Standard_F4s_v2","Standard_F8s_v2","Standard_F16s_v2","Standard_F32s_v2","Standard_F48s_v2","Standard_F64s_v2","Standard_F72s_v2",
    "Standard_L8s_v2","Standard_L16s_v2","Standard_L32s_v2","Standard_L48s_v2","Standard_L64s_v2","Standard_L80s_v2",
    "Standard_G1","Standard_G2","Standard_G3","Standard_G4","Standard_G5",
    "Standard_GS1","Standard_GS2","Standard_GS3","Standard_GS4","Standard_GS4-4","Standard_GS4-8","Standard_GS5","Standard_GS5-16","Standard_GS5-8",
    "Standard_A1_v2","Standard_A2_v2","Standard_A4_v2","Standard_A8_v2",
    "Standard_A2m_v2","Standard_A4m_v2","Standard_A8m_v2",
    "Standard_B1ls","Standard_B1ms","Standard_B1s","Standard_B2ms","Standard_B2s","Standard_B4ms","Standard_B8ms","Standard_B12ms","Standard_B16ms","Standard_B20ms"
)
| project subscriptionId, name, resourceGroup, vmSize, location

ヒント

Azure ポータルではなく、Azure CLI からも Azure Resource Graph クエリを実行することが可能です。以下はそのコマンドの例です。

az graph query -q ‘クエリの内容’

リタイア対象の VM を移行する(VM サイズ変更を行う)

リタイア対象の VM および VMSS については、リタイア予定日までに移行をお願いいたします。
移行についてはガイドの公式ドキュメントもご用意されておりますので、必要に応じてご参照いただけますと幸いです。

■ご参考:汎用サイズ移行ガイド
https://learn.microsoft.com/ja-jp/azure/virtual-machines/migration/sizes/d-ds-dv2-dsv2-ls-series-migration-guide

なお、基本的に移行に必要な操作としては「リタイア対象外の VM サイズに変更する」という操作のみですので、VM 停止は伴いますが容易に可能と存じます。
VM サイズ変更については以下の公式ドキュメントとブログ記事もございます。

■ご参考:仮想マシンのサイズの変更
https://learn.microsoft.com/ja-jp/azure/virtual-machines/sizes/resize-vm

■ご参考:VM サイズの選定および変更時の注意点について
https://jpaztech.github.io/blog/vm/vm-size-change/

今回のリタイア対象の VM の移行について幾つか補足をさせていただきます。

移行先として推奨されるサイズとサイズ変更に注意が必要な点

上記の「汎用サイズ移行ガイド」に各 VM サイズシリーズ毎に、推奨の移行先 VM サイズシリーズの記載がございます。
あくまで推奨でございますので、他のサイズに変更いただいても問題ございません。
また、実際にどの VM サイズを採用するかについては、必要に応じてお客様のワークロードにおいてベンチマーク等を行いご検討いただけますと幸いです。

VM サイズ変更にあたり、以下の点により変更が叶いません場合がありますのでご留意ください。

v6 サイズシリーズに変更するにあたりディスクコントローラーの変更が必要である

移行先の推奨サイズに末尾に v6 と記載のあるサイズシリーズがございます。
これらの v6 サイズは NVMe ディスクコントローラーが必須のため、ディスクコントローラー変換作業が必要となります。
v6 サイズに変更をするにあたっては、以下のブログ記事をご参照ください。

■ご参考:NVMe ディスクコントローラー必須の Azure VM サイズについて(Dsv5 から Dsv6 サイズへの変更など)
https://jpaztech.github.io/blog/vm/nvme-vm/

v6 サイズへの変更はお手間がかかるものとなりますので、SCSI ディスクコントローラーのまま変更可能な v5 サイズへの移行もご検討ください。

ヒント

移行先推奨サイズとして記載のある Lsv4 / Lasv4 サイズシリーズも、同じく NVMe ディスクコントローラーが必須となっております。

Windows VM で一時ディスクありから無しの VM サイズに変更できない

Windows VM については一時ディスクありの VM サイズから、一時ディスク無しの VM サイズへ直接の変更操作が叶いません。
今回のリタイア対象の VM は全て一時ディスクがあるサイズと存じますため、Dsv5 / Dasv5 / Bsv2 / Basv2 といった一時ディスク無しのサイズに直接変更ができないものとなります。
このような一時ディスク無しのサイズに変更をしたい場合は以下のドキュメントをご参照ください。

■ご参考:ローカル一時ディスクを使用するサイズから、ローカル一時ディスクのない VM サイズに Windows VM を移行するにはどうすればよいですか?
https://learn.microsoft.com/ja-jp/azure/virtual-machines/azure-vms-no-temp-disk#-----------------------------------vm------windows-vm---------------------

VM 再作成にて一時ディスク無しの VM サイズ変更を行う方法について解説したブログ記事もございますので、参考としてご紹介させていただきます。

■ご参考:Azure VM の設定変更不可の項目を VM 再作成により再設定する手順
https://jpaztech.github.io/blog/vm/recreate-vm-to-change-settings/

Ddsv5 / Dadsv5 サイズといった一時ディスクありの VM サイズでしたら、容易に直接 VM サイズ変更が可能と存じますので、その点もご検討いただけますと幸いです。

Arm アーキテクチャの VM サイズに変更できない

移行先の推奨サイズに p という文字が入ったサイズシリーズがございます。(例:Bpsv2 / Dpsv5 など)
こちらは x86 ではなく、Arm アーキテクチャの CPU の VM サイズでございます。
CPU の互換性が無いものと存じますので、こちらのサイズを利用したい場合は新規に VM を構築いただくことをご検討ください。

VM が起動中のため変更先のサイズが表示されない

VM が起動中の場合は移行可能な VM サイズであっても対象として表示されないことがございます。
もし、変更先の VM サイズが表示されない場合は VM の割り当て解除をお試しくださいませ。

これらの情報が皆様のお役に立てますと幸いでございます。

]]> https://jpaztech.github.io/blog/vm/2028-retire-vm/ 2026-01-13T03:00:00.000Z こんにちは、Azure テクニカル サポート チームの富田です。
2028 年に幾つかの古い VM サイズ(D, Ds, Dv2, Dsv2, Ls および F, Fs, Fsv2, Lsv2, G, Gs, Av2, Amv2, B シリーズ)のリタイアが予定されて]]> 2028 年にリタイア予定の Azure VM サイズについて(D, Ds, Dv2, Dsv2, Ls および F, Fs, Fsv2, Lsv2, G, Gs, Av2, Amv2, B シリーズ) 2026-04-20T03:45:50.544Z Japan Azure IaaS Core Support Team こんにちは。Azure テクニカル サポート チームの富田です。
今回は、Dsv6 シリーズ等の NVMe 必須となる VM サイズシリーズのご利用を検討されているお客様より、よくお問い合わせをいただく以下の点について解説させていただきます。

NVMe ディスクコントローラータイプの必須の VM サイズとは

従来の Azure VM では SCSI ディスクコントローラーのみがサポートされておりましたが、近年発表された比較的新しい VM サイズシリーズでは、NVMe ディスクコントローラーのみがサポートされるといったものが増えてきました。
例えば汎用サイズである Dsv6, Dasv6 シリーズなどは、NVMe ディスクコントローラーが必須な VM シリーズとなっております。
以下、そのようなサイズを NVMe 必須サイズ と記載させていただきます。

NVMe コントローラーを利用することで従来の SCSI コントローラーを利用する場合よりもディスク性能が向上することが期待されますが、NVMe コントローラーならではの制約などもございますので、本ブログ記事にて解説をさせていただきます。
NVMe の詳細等については以下の公式ドキュメントもご参照くださいませ。

■ご参考:NVMe の概要
https://learn.microsoft.com/ja-jp/azure/virtual-machines/nvme-overview

■ご参考:NVMe に関する一般的な FAQ
https://learn.microsoft.com/ja-jp/azure/virtual-machines/enable-nvme-faqs

■ご参考:リモート NVMe ディスクに関する FAQ
https://learn.microsoft.com/ja-jp/azure/virtual-machines/enable-nvme-remote-faqs

ヒント

一時ディスクが付属する NVMe 必須サイズにて、その一時ディスクを使用するにはゲスト OS 内でフォーマットが必要でございます。

================================

■ご参考:一時 NVMe ディスクを使用して VM を構成する場合、どのような変更を準備する必要がありますか?

https://learn.microsoft.com/ja-jp/azure/virtual-machines/enable-nvme-temp-faqs#---nvme-----------vm------------------------------

================================

抜粋:”VM の起動後にディスクを初期化してフォーマットする必要があります。 ユーザーが開始した停止、割り当て解除、計画メンテナンス、および Azure で開始された自動復旧イベントの後、VM は生の一時 NVMe ディスクのみで起動します。 NVMe ディスクが初期化され、フォーマットされるまで、一時 NVMe ディスクはアプリケーションに表示されません。”

どの VM サイズが NVMe 必須サイズであるかを確認する

では、実際にどの VM サイズが NVMe 必須サイズであるかという点を確認する方法を紹介させていただきます。
次の Azure PowerShell / Azure CLIコマンドで、指定したリージョンにおける、各 VM サイズのサポートされるディスクコントローラーを確認することが可能です。
<リージョン名> の部分は japaneast などリージョン名に置き換えをお願いいたします。

  • PowerShell + Azure PowerShell 環境でのコマンド例
1
2
3
4
5
6
7
8
9
10
11
12
Get-AzComputeResourceSku -Location <リージョン名> |
  Where-Object { $_.ResourceType -eq 'virtualMachines' } |
  Select-Object Family, Name,
    @{Name='vCPUs';Expression={
      ($_.Capabilities | Where-Object Name -eq 'vCPUsAvailable' | Select-Object -ExpandProperty Value -First 1)
    }},
    @{Name='DiskControllerTypes';Expression={
      ($_.Capabilities | Where-Object Name -eq 'DiskControllerTypes' | Select-Object -ExpandProperty Value -First 1)
    }} |
  Sort-Object -Property @{Expression='Family'; Ascending=$true},
                        @{Expression={ [int]$_.vCPUs }; Ascending=$true} |
  Format-Table -AutoSize
  • Bash + Azure CLI 環境でのコマンド例
1
2
3
az vm list-skus -l <リージョン名> -r virtualMachines \
  --query "sort_by([].{Family: family, Size: name, DiskControllerTypes: capabilities[?name=='DiskControllerTypes'].value|[0], vCPUs: to_number(capabilities[?name=='vCPUsAvailable'].value|[0])}, &vCPUs) | sort_by(@, &Family)" \
  -o table

実際のコマンドの実行結果の例を一部抜粋いたします。 

1
2
3
4
5
6
Family                           Name                      vCPUs DiskControllerTypes
------                           ----                      ----- -------------------
standardEAv4Family               Standard_E96a_v4          96
StandardNCadsH100v5Family        Standard_NC80adis_H100_v5 80    SCSI
standardEBDSv5Family             Standard_E2bds_v5         2     SCSI,NVMe
standardEav6Family               Standard_E2as_v6          2     NVMe

この得られた内容から DiskControllerTypes を確認することで、以下のようにサポートされるディスクコントローラータイプを判別することが可能です。

DiskControllerTypesVM サイズのディスクコントローラーサポート状況
空欄SCSI ディスクコントローラー必須の VM サイズです。
SCSISCSI ディスクコントローラー必須の VM サイズです。
SCSI,NVMeSCSI,NVMe 両方のディスクコントローラーをサポートしている VM サイズです。(極一部の VM サイズファミリのみ。)
NVMeNVMe ディスクコントローラー必須の VM サイズです。

ヒント

ご希望の VM サイズがどのゾーンで提供されているか確認をしたい場合は、以下のブログ記事をご参照ください。

================================

■ご参考:当該リージョン、ゾーンにて変更先のサイズが提供されているか

https://jpaztech.github.io/blog/vm/vm-size-change/#%E5%BD%93%E8%A9%B2%E3%83%AA%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E3%80%81%E3%82%BE%E3%83%BC%E3%83%B3%E3%81%AB%E3%81%A6%E5%A4%89%E6%9B%B4%E5%85%88%E3%81%AE%E3%82%B5%E3%82%A4%E3%82%BA%E3%81%8C%E6%8F%90%E4%BE%9B%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84%E3%82%8B%E3%81%8B

NVMe 必須サイズを利用するにあたっての前提条件

NVMe 必須サイズを利用する場合、以下の前提条件を満たしている必要がございます。

第 2 世代 VMである

第 2 世代 VM をご利用いただく必要がございます。

■ご参考:第 1 世代 VM は NVMe ディスクでサポートされますか?
https://learn.microsoft.com/ja-jp/azure/virtual-machines/enable-nvme-faqs#--1----vm---nvme----------------

ゲスト OS が NVMe をサポートしている必要がある

ゲスト OS が NVMe をサポートするバージョンである必要がございます。
NVMe サポート対象の OS は以下のドキュメントよりご確認ください。

■ご参考:リモート NVMe でサポートされている OS イメージ
https://learn.microsoft.com/ja-jp/azure/virtual-machines/enable-nvme-interface

新規 VM 作成時は NVMe のマークのあるイメージを使用する必要がある

NVMe 必須サイズで新規 VM 作成をする際は、NVMe 対応のマークのあるイメージから VM 作成が必要となっております。
NVMe に対応するカスタムイメージを作成する例については、後述させていただきます。
詳細は以下のドキュメントをご参照ください。

■ご参考:NVMe 対応のマーク
https://learn.microsoft.com/ja-jp/azure/virtual-machines/nvme-overview#mark-as-nvme-capable

SCSI 必須サイズと NVMe 必須サイズ間の VM サイズ変更について

以下の通り、同じディスクコントローラーを必須とする VM サイズ間での VM サイズ変更は簡単に可能でございます。
他方、現在と異なるディスクコントローラーを必須とするサイズへ変更する場合はディスクコントローラー変換といった対応が必要となります。

現在の VM サイズ変更先の VM サイズ変更可否について
SCSI 必須 サイズSCSI 必須 サイズ変更可能。
NVMe 必須 サイズNVMe 必須 サイズ変更可能。
SCSI 必須 サイズNVMe 必須 サイズ変更可能だが、ディスクコントローラーの変換対応が必要。
NVMe 必須 サイズSCSI 必須 サイズ変更可能だが、ディスクコントローラーの変換対応が必要。

ディスクコントローラーの変換が必要な場合は、Azure ポータルでは以下のようにディスクコントローラーの互換性が無いとの表示となり、VM サイズ変更の選択が叶いません。

互換性のないディスク コントローラーの種類 このサイズは、SCSI ディスク コントローラーの種類をサポートしていないため、使用できません。

Note

トラステッド起動で構成された VM の場合、SCSI 必須サイズから NVMe 必須サイズに移行することは叶いませんのでご留意ください。

================================

■ご参考:トラステッド起動で構成された VM を SCSI から NVMe に移行することはできますか?

https://learn.microsoft.com/ja-jp/azure/virtual-machines/enable-nvme-faqs#---------------vm---scsi----nvme---------------

================================

抜粋:”いいえ。トラステッド起動で構成された VM を SCSI から NVMe に移行することはできません。”

既存の VM について、VM サイズ変更元と変更先の必須ディスクコントローラーが違う場合に、VM サイズ変更方法について以下に解説させていただきます。 

ディスクコントローラーを変更し NVMe 必須サイズへ変更する方法、および SCSI 必須サイズに戻す方法

警告

恐縮ながら現時点において、既存の Windows VM については SCSI 必須サイズから NVMe 必須サイズに変更することを明確にサポートしている手順のご用意がございません。

そのため、原則としては新規に Azure マーケットプレイスなどから NVMe 必須サイズの Windows VM を新規に構築いただくことをご検討ください。

下記の Azure-NVMe-Conversion.ps1 にて Windows VM を NVMe 必須サイズに変更する操作自体は可能と存じますが、変更後にゲスト OS 起動不可の問題等が発生した場合は別途新規 VM 構築の方針をとっていただけますと幸いです。

v5 サイズといった SCSI ディスクコントローラーを採用する VM サイズ内でのサイズ変更もご検討いただけますと幸いでございます。

警告

Azure-NVMe-Conversion.ps1 を利用の際は、ゲスト OS 起動不可等の予期せぬ状況に備えて、必ずバックアップ取得を行った上で検証や実施をお願いいたします。

もし、予期せず起動不可となってしまった場合には、サイズを戻すことやバックアップからのリストアをご検討ください。

以下の Azure NVMe Utilities に含まれる Azure-NVMe-Conversion.ps1 という PowerShell スクリプトをご利用いただくことで、Azure VM を NVMe 必須サイズへ変更および、SCSI 必須サイズに戻すことが可能です。
このスクリプトでは Azure VM のディスクコントローラーの変更も行われます。

■ご参考:Azure NVMe Utilities
https://github.com/Azure/SAP-on-Azure-Scripts-and-Utilities/tree/main/Azure-NVMe-Utils

上記ドキュメントの Usage に記載の手順となりますが、一部補足しつつ手順について解説させていただきます。

NVMe 必須サイズへ変更および SCSI 必須サイズに戻す手順の解説

1:
Azure PowerShell の実行環境をご用意ください。
Azure Cloud Shell 上の PowerShell をご利用いただくことも可能です。

■ご参考:Azure PowerShell をインストールする方法
https://learn.microsoft.com/ja-jp/powershell/azure/install-azure-powershell

2:
PowerShell 上にて、署名されていない PowerShell スクリプトを許可する設定を行うため、以下のコマンドを実行します。
Cloud Shell 環境や、既にスクリプト実行が可能な環境の場合はスキップ可能と存じます。 

1
Set-ExecutionPolicy -ExecutionPolicy Unrestricted

3:
Azure アカウントに接続していない場合は、以下のコマンドでサインインします。 

1
Connect-AzAccount

4:
現在接続しているサブスクリプションを確認し、必要に応じて対象サブスクリプションに切り替えます。 

1
2
3
4
5
6

# 現在接続しているサブスクリプションの確認
Get-AzContext

# 接続先サブスクリプションの切り替え
Select-AzSubscription -Subscription xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

5:
以下の PowerShell コマンドで変換用のスクリプトをダウンロードします。 

1
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/SAP-on-Azure-Scripts-and-Utilities/refs/heads/main/Azure-NVMe-Utils/Azure-NVMe-Conversion.ps1" -OutFile ".\Azure-NVMe-Conversion.ps1"

6:
ダウンロードした変換スクリプトを実行します。VM 起動状態にて実施をお願いいたします。
以下は NVMe 必須サイズもしくは SCSI 必須サイズに変換する例となります。 

1
2
# スクリプト実行の例
./Azure-NVMe-Conversion.ps1 -ResourceGroupName <リソースグループ名> -VMName <VM名> -NewControllerType <NVMe もしくは SCSI> -VMSize <変換先 VM サイズ名> -FixOperatingSystemSettings
1
2
# スクリプト実行の例(NVMe 必須サイズへ変換する際の実際の値の例)
./Azure-NVMe-Conversion.ps1 -ResourceGroupName yourRGNAME -VMName yourVMNAME -NewControllerType NVMe -VMSize Standard_D2s_v6 -FixOperatingSystemSettings

実行が成功すると、以下の例のように NVMe 必須サイズおよび NVMe ディスクコントローラーへの変更が完了しているはずです。
ゲスト OS の起動等に問題が無いか、ブート診断の確認や実際の接続テスト等もお願いいたします。

重要

上記のスクリプト実行にあたっての免責事項等について以下をご参照ください。

https://github.com/Azure/SAP-on-Azure-Scripts-and-Utilities/blob/main/LICENSE

Azure-NVMe-Conversion.ps1 のパラメータの解説

Azure-NVMe-Conversion.ps1 の全てのパラメータのオプション一覧および解説については、上記の Azure NVMe Utilities 内のドキュメントの記載を参照いただきたく存じますが、上記の例で使用しているオプションについて解説させていただきます。

パラメータ解説
-ResourceGroupName変換元の VM が存在するリソースグループ名を指定します。
-VMName変換元の VM 名を指定します。
-NewControllerTypeNVMe 必須サイズに変換する場合は、NVMe を指定します。SCSI 必須サイズにする場合は、SCSI を指定します。
-VMSize変換先の VM サイズを指定します。
-FixOperatingSystemSettingsディスクコントローラー変換にあたり、ゲスト OS 内の設定を RunCommands を用いて自動的に変更します。

NVMe サイズへの変更に関する参考情報

以下は NVMe サイズへの変更に関する、各種参考情報となります。

■ご参考:SCSI ベースの VM のサイズを、異なるサイズのリモート NVMe 対応 VM にサイズ変更するにはどうすればよいですか?
https://learn.microsoft.com/ja-jp/azure/virtual-machines/enable-nvme-remote-faqs#scsi------vm-------------------nvme----vm----------------------

■ご参考:Moving Linux and Windows from SCSI to NVMe with one easy command
https://techcommunity.microsoft.com/blog/sapapplications/moving-linux-and-windows-from-scsi-to-nvme-with-one-easy-command/4427954

■ご参考:Linux を実行している仮想マシンの SCSI から NVMe への変換
https://learn.microsoft.com/ja-jp/azure/virtual-machines/nvme-linux

NVMe 必須サイズ対応のカスタムイメージを用意する方法

前述の通り、VM イメージから NVMe 必須サイズの VM の作成をする場合は、そのイメージが NVMe 対応にマークされている必要がございます。
これはお客様自身でご用意いただく、カスタムイメージについても同様でございます。

NVMe 対応にマークされていないイメージから NVMe 必須サイズで VM 作成しようとすると、Azure ポータルの場合「互換性のないディスク コントローラーの種類 このサイズは、SCSI ディスク コントローラーの種類をサポートしていないため、使用できません。」というメッセージが表示され、NVMe 必須サイズの選択が叶いません。

Note

NVMe 必須サイズは以下の通り、Azure マーケットプレースおよび Azure Compute Gallery からのみ作成可能であり、Azure Compute Gallery を使用しないレガシマネージドイメージからは作成が叶いません点ご留意ください。

================================

■ご参考:NVMe 対応のマーク

https://learn.microsoft.com/ja-jp/azure/virtual-machines/nvme-overview#mark-as-nvme-capable

================================

抜粋:”NVMe インターフェイスが有効な VM は、NVMe とマークされたイメージ (マーケットプレースで入手可能。または社内の Azure Compute Gallery で共有されます) を使用してのみ作成できます。”

NVMe 必須サイズ対応のカスタムイメージを用意する例について紹介させていただきます。

NVMe 必須サイズ対応のカスタムイメージを用意する例

1:
Azure マーケットプレースから新規に NVMe 必須サイズで VM を作成します。

2:
必要に応じて、作成した VM 内で OS 内のカスタムや一般化作業を行います。

3:
Azure Compute Gallery に NVMe 対応のイメージ定義を作成し、イメージを登録します。
Azure ポータルの場合、対象の VM の画面から [キャプチャ] -> [イメージ] を選択することで登録ができます。

4:
イメージ作成画面に遷移しますので、イメージを作成します。

上記画像例のように「Azure コンピューティング ギャラリーにイメージを共有する:はい、ギャラリーに VM イメージ バージョンとして共有します。」を選択します。

その後「ターゲット VM イメージ定義:新規作成」より新規の VM イメージ定義作成ができます。
この VM イメージ定義作成にて「NVMe によるストレージ パフォーマンスの向上」にチェックを入れます。
これにより NVMe 必須サイズの VM 作成が可能な、NVMe 対応にマークされたイメージとして登録できるようになります。

ヒント

本手順では、イメージ作成元の VM が NVMe 必須サイズの場合は自動で「NVMe によるストレージ パフォーマンスの向上」にチェックが入っているものと存じます。

他方、イメージ作成元の VM が SCSI 必須サイズの場合は、このチェックの選択はできません。

各種設定後、「確認および作成」ボタンよりイメージ作成を行います。

5:
上記手順で作成したイメージからは、NVMe 必須サイズおよび SCSI 必須サイズ両方での VM 作成が可能と存じます。
実際に OS 起動等に問題が無いかご確認をお願いいたします。

以上が NVMe 必須サイズに関する解説となります。
上記の情報は記事執筆時点のものとなり、公開情報や機能等は日々更新されていきますので、必要に応じて公開情報等の最新情報もご参照いただけますと幸いでございます。

これらの内容が皆様のお役に立てますと幸いです。

]]> https://jpaztech.github.io/blog/vm/nvme-vm/ 2026-01-09T03:00:00.000Z こんにちは。Azure テクニカル サポート チームの富田です。
今回は、Dsv6 シリーズ等の NVMe 必須となる VM サイズシリーズのご利用を検討されているお客様より、よくお問い合わせをいただく以下の点について解説させていただきます。

    <]]>
NVMe ディスクコントローラー必須の Azure VM サイズについて(Dsv5 から Dsv6 サイズへの変更など) 2026-04-20T03:45:50.754Z Japan Azure IaaS Core Support Team こんにちは、Azure テクニカル サポート チームの富田です。
一部のお客様に TRACKING ID : J_Z9-7QZ として「Action required: Update certificates for Azure Instance Metadata Service」というタイトルのサービス正常性の通知が配信されました。

基本的には通知の内容をご参照いただきたく存じますが、本件についてお問い合わせを多くいただいておりますため、本記事にて補足として解説させていただきます。

本通知の影響について

この度配信されました通知は、Azure Instance Metadata Service (IMDS) の機能のうち、「構成証明済みデータ」の機能を、お客様が開発されたアプリケーションで使用している場合の注意喚起です。
「構成証明済みデータ」の機能は、対象の VM が Azure 上で実行されていること保証する情報を Azure 基盤による署名付きのデータとして取得できる機能です。
このデータの署名の際に使用される下位証明機関(Subordinate CA)の証明書が更新されることに伴い、後述の「証明書のピン留め」がなされている場合に影響が生じる可能性があるため、お知らせとして配信しております。

つまり、以下の条件のいずれかに該当する場合は、お客様への影響はございません。

1. お客様が開発されたアプリケーションにて、IMDS が提供している各種機能の中の「構成証明済みデータ」 の機能を利用していない場合。

IMDS の各種機能のうち、影響を受けるのは下記の「構成証明済みデータ」機能のみです。
「スケジュールされたイベント」の取得など、IMDS の他の機能のご利用には影響はありません。

■ご参考:構成証明済みデータ
https://learn.microsoft.com/ja-jp/azure/virtual-machines/instance-metadata-service?tabs=windows#attested-data

2. 「構成証明済みデータ」を利用するアプリケーションにて、「証明書のピン留め」の実装を行っていない場合。

「証明書のピン留め」は、アプリケーション内で信頼する証明書を固定する実装の手法です。
「証明書のピン留め」は Azure 側が行う操作でもなく、Guest OS 内で自動設定されることもございません。
「証明書のピン留め」 の実装の有無は、アプリケーションに依存いたしますので、誠に恐れ入りますが、「構成証明済みデータ」を利用するアプリケーションにてご確認をいただきますようお願いいたします。

なお、「証明書のピン留め」の手法は、弊社としては推奨はしておりません。

■ご参考:証明書のピン留め
https://learn.microsoft.com/ja-jp/azure/security/fundamentals/certificate-pinning

まとめ

上述の通り、お客様が開発されたアプリケーション内にて IMDS が提供している各種機能の中の「構成証明済みデータ」 の機能を「証明書のピン留め」の実装した上で使用している場合のみ、対応が必要なものとなります。
なお、本通知が届いている環境は必ずそのような実装を行っているというものでもございません。

弊社側からお客様自身が開発されたアプリケーションにて、上記実装を行っているかといった点は弊社より確認が叶いませんので、お客様自身にてご確認が必要となります点ご理解いただけますと幸いです。
しかしながら、上述の通り非常に稀な実装をお客様自身で行っている場合のみ対応が必要なものでございますので、ほとんどのお客様では特段ご対応の必要は無いもの存じます。

]]> https://jpaztech.github.io/blog/vm/imds-pinning/ 2025-11-25T08:30:00.000Z こんにちは、Azure テクニカル サポート チームの富田です。
一部のお客様に TRACKING ID : J_Z9-7QZ として「Action required: Update certificates for Azure In]]> Action required:Update certificates for Azure Instance Metadata Service の通知の補足 2026-04-20T03:45:50.732Z Japan Azure IaaS Core Support Team こんにちは、Azure テクニカル サポート チームの園部です。

今回は日本時間 2025 年 10月 17 日に GA (General Availability) されたプレスケーリング機能 (事前スケーリング機能) について紹介します。

Azure Firewall の自動スケーリング機能の動作、課題

プレスケーリング機能の紹介の前に、Azure Firewall に元々備わっている自動スケーリング機能の動作と課題について紹介します。

Azure Firewall には、内部コンポーネントとして、トラフィックのルール評価、処理などを行っている内部インスタンスが存在しています。
Azure Firewall Standard, Premium の内部インスタンス数は、自動スケーリング機能により変化し、既定では最小で 2 インスタンス、最大で 20 インスタンスが動作します。※Azure Firewall Basic は 2 インスタンス固定で、自動スケーリング機能は備わっていません。
この自動スケーリング機能では、平均スループットや CPU 使用率、コネクション数に応じて自動的にスケールアウト/スケールインを行います。
Azure Firewall の自動スケーリング機能の公開情報は Azure Firewall のパフォーマンス を参照してください。

しかし、この自動スケーリング機能には以下のような課題があります。

・スケールアウト時の課題
スケールアウトには通常 5-7 分程度要します。その為、突然のトラフィックの急増にスケールアウトが追い付かず、いくつかのリクエストで遅延、正常に接続が行えない、といった事象が発生する可能性があります。

・スケールイン時の課題
長期コネクションが残存しているインスタンスでスケールインが発生すると、当該インスタンスが削除される際に、予期しない接続断が発生する可能性があります。

Azure Firewall のプレスケーリング機能の動作、メリット

今回 GA されたプレスケーリング機能では、Azure Firewall リソース個々に、最小インスタンス数と、自動スケーリングによる最大インスタンス数をご指定頂くことが可能となります。

例えば、最小インスタンス数を 5, 最大インスタンス数を 20 とすると、平常時は 5 インスタンスで動作し、スループットの増加やインスタンスの CPU 使用率等に合わせて最大 20 インスタンスまでスケールアウトします。
また最小インスタンス数と最大インスタンス数を同じ値にすることで、インスタンス数を常にその値に固定することが可能となり、自動スケーリングが行われなくなります。

このプレスケーリング機能の公開情報は Azure Firewall の事前スケーリング を参照してください。

プレスケーリング機能により、上述の自動スケーリング機能における課題を低減頂くことが可能となります。
例えば、一時的なイベント等により Azure Firewall を経由するトラフィック量が急増することを把握されているような場合、事前に、最小値を既定の 2 以上に設定しておくことでスケールアウト時の課題を回避できます。
またスケールインによる予期しない接続断を発生させたくない環境の場合、最小インスタンス数と最大インスタンス数を同じ値にしておくことで、スケールインを防ぐことが可能です。

プレスケーリング機能を利用する際の留意事項

プレスケーリング機能をご利用される際は以下の点に特にご留意ください。

  • Azure Firewall メトリックに新たに追加された [Observed capacity Units] メトリックを参照し、適切な最小インスタンス数、最大インスタンス数を設定してください。このメトリックを参照する際は、[集計] を “平均” にしてください。
     Observed capacity Units メトリック例

  • プレスケーリング機能をご利用頂くと、通常の料金に追加し、以下の課金も発生します。

    SKU容量ユニット (1 インスタンス) あたりの価格
    Azure Firewall Standard容量ユニット時間あたり $0.07
    Azure Firewall Premium容量ユニット時間あたり $0.11

    例えば Azure Firewall Standard において、プレスケーリング機能により最小インスタンス数を 10、最大インスタンス数を 30 として 100 時間稼働させた場合、$0.07 * 8 (instances) * 100 (hours) = $56 が追加費用として発生することになります。
    なお、プレスケーリング機能を使用した状態であっても、オートスケールによるインスタンス増加分に対しては費用追加はありません。例えば、オートスケールによりインスタンス数が最小値の 10 から最大値の 30 に増加し、その状態で 100 時間動作したとしても、追加費用は最小インスタンス数で指定した 10 インスタンスを基準に計算され、$56 のままです。
    また、計算に用いられるインスタンス数については、10 インスタンスとしてカウントされるのではなく、既定で動作する 2 インスタンスを差し引いた 8 インスタンスとしてカウントされている点にご注意ください。

その他、既述の公開情報内でも 制限事項既知の問題 として注意点等の記載がございますので、併せてご参照ください。

以上、Azure Firewall プレスケーリング機能をご利用される際のご参考になれば幸いです。

]]> https://jpaztech.github.io/blog/network/fw-prescaling/ 2025-10-20T03:00:00.000Z こんにちは、Azure テクニカル サポート チームの園部です。

今回は日本時間 2025 年 10月 17 日に GA (General Availability) されたプレスケーリング機能 (事前スケーリング機能) について紹介します。

]]> Azure Firewall のプレスケーリング機能 (事前スケーリング機能) について 2026-04-20T03:45:50.392Z Japan Azure IaaS Core Support Team こんにちは。Azure テクニカル サポート チームです。

本記事では、Microsoft Azure サポートにおける、アドバイザリ区分のお問い合わせにおける対応範囲とベストプラクティスについてご説明します。

アドバイザリとは

Azure サポートにおいて、お問い合わせは大きく 2 種類に区分されます。

  • 障害対応 (BreakFix)
    製品における不具合 (エラーやサービス ダウンなどを伴う現象) の回避・解消を目的としたトラブルシューティング対応を指し、Azure サポートでは現象の解消をゴールに対応を行っております。

  • アドバイザリ
    「製品の使い方、設定についてのハウツー」 など、障害対応以外のニーズに伴う領域を指します。
    Azure サポートでは、文書化されたベストプラクティスへのアクセス、実装や構成に関する一般的な製品ドキュメントの提供のご案内の範囲で対応させていただくという対応範囲となります。
    なお、障害対応の延長として、(すでに解消済み・過去に発生の) 問題が発生したことについての原因を知りたいというご要望もアドバイザリに該当します。

詳しくは、Azure における有償 Azure テクニカル サポートの対応範囲 をご参照ください。

サポート契約について

Azure サポートにおけるアドバイザリ サポートは、Unified サポート (Premier サポートを含む) のみに付属しており、Azure Developer / Standard / Professional Direct 契約は対象外となります。
詳しくは サポートプランの比較 をご参照ください。

アドバイザリのお問い合わせ起票における留意事項

サブスクリプション・テナントについて、リソースが存在するものを選択してください。

障害対応だけでなく、アドバイザリのお問い合わせであっても、そのリソースが存在するサブスクリプションもしくはテナントからお問い合わせを起票していただきますようお願いいたします。
その質問が発生している環境と、サポート契約の有無を確認するコンプライアンスの観点からご協力をお願いします。

サポート部門においては、製品の構築・稼働が開始したフェーズからの復旧支援を優先しております。
適切なサブスクリプションを選択いただくことで、該当する製品の利用状況・構成状況を把握することが可能です。

ご参考) お問い合わせの発行方法について
https://jpaztech.github.io/blog/information/How-to-inquiry-to-the-Azure-Support/

重要

リソースが存在しない場合でも、「リソースの作成自体が失敗する」といった場合には、もちろん対応をさせていただきます。

その際にも、作成エラーが発生したサブスクリプションを選択いただくことが重要です。

事前に参考とされた手順・検証時に発生したエラーなどを明記してください。

現在、多くの構築・設定手順が Microsoft Learn の公式ドキュメント として存在します。

公式ドキュメントは、開発部門ならびにサポート部門が日夜更新をしており、検証済みの最新情報が記載されるものとなります。
このような公式ドキュメントに沿った対応にて設定を試みていただき、どの手順まで実施・成功しているのか、といったことを明記いただくことが、サポート対応における早期解決に有効です。
ドキュメントは膨大な数がございますが、Microsoft の Copilot をはじめとする昨今の生成 AI は、特にこのような公開情報をソースとする既知事例の検索にあたっても有効となりますので、ぜひご活用をお願いいたします。

アドバイザリのサポート範囲について

Azure サポートにおけるアドバイザリ サポートは、公開情報・既知のベストプラクティスの提示を上限として承っております。
動作検証につきましては、エラーの再現手順が明確であるなど、必要不可欠と想定される場合に行わせていただきます。
「公式ドキュメントの裏付け」 あるいは 「お客様固有のご要望実現の可否の確認」 などの目的となりますと、システム構築ベンダー様に対応いただく範囲となりますため、サポートでは対応できかねます。

Unified / Premier サポート契約おける追加対応について

サポート部門におけるアドバイザリの範囲である、文書化されたベストプラクティスへのアクセス、実装や構成に関する一般的な製品ドキュメントの提供を超えた対応 (例: アーキテクチャ設計、ソリューション開発、カスタマイズ対応など) については、Unified / Premier サポート契約を締結しているお客様に限り、クラウド ソリューション アーキテクト (CSA) により、有償にてよりお客様のニーズやカスタマイズに沿った方法のご案内を承ることが可能です。

サポートにおいては、このような目標設定が必要と判明した場合、CSA のご案内を行わせていただきます。

また、公開ドキュメントに未記載・非公開の仕様についての確認も同様となり、Unified / Premier サポート契約に限り、ビジネス影響度や条件・プロジェクトの概要などをお伺いした上でベストエフォートで対応をさせていただきます。

Azure の仕様として、未記載の仕様については流動的である可能性があります。
Azure 利用におけるお客様のご契約規模や想定される利用人数・トラフィック、ならびに設計などが具体化された状態であれば、開発部門から個別確認が行える場合があるためです。

Note

参考資料

日本マイクロソフトの社員から、様々な Azure 技術資料が公開されております。

これらは、Microsoft Learn の製品ドキュメントにとどまらず、現場におけるデザインや活用に大きく踏み込んだものもございます。

前述のサポート範囲では手が届きづらいニーズへの一助としていただけましたら幸いです。

https://github.com/Azure/jp-techdocs

ご案内は以上となります。

]]> https://jpaztech.github.io/blog/information/advisory-inquiries-in-the-Azure-Support/ 2025-09-04T08:30:00.000Z こんにちは。Azure テクニカル サポート チームです。

本記事では、Microsoft Azure サポートにおける、アドバイザリ区分のお問い合わせにおける対応範囲とベストプラクティスについてご説明します。

]]> Azure サポートにおけるアドバイザリ (ハウツーやベストプラクティス共有) のお問い合わせにつきまして 2026-04-20T03:45:50.352Z Japan Azure IaaS Core Support Team こんにちは、Azure テクニカル サポート チームの富田です。
Azure VM で実行されているゲスト OS のバージョンを一覧表示を行いたいとのお問い合わせをいただくことがございます。
実行中の VM の Instance View を取得するコマンドもしくは Azure Resource Graph を使うことで確認可能ですので、この点について解説させていただきます。

ヒント

本件とは直接関連するものではございませんが、VM 作成時に Azure マーケットプレイスにてご希望のイメージバージョンが見つからないといったお問い合わせをいただくことがございます。

そのような場合は、Azure CLI などでご希望のイメージがあるか確認をいただけますと幸いです。

https://learn.microsoft.com/ja-jp/azure/virtual-machines/workloads/redhat/redhat-images#view-images-available-in-azure

Azure VM にてゲスト OS の情報を確認できる 2 つのソースの解説

Azure VM にてゲスト OS の情報を確認できるソースの例として、「Storage Profile」と「Instance View」がございます。
それぞれ以下の特徴があり、リアルタイムな情報を取得には「Instance View」のご利用が必要でございます。

Storage Profile

VM 作成時のイメージの情報が、モデル ビューとして Storage Profile 内の imageReference に publisher, offer, sku として記録されます。
この情報に OS バージョンの情報が記録されることがございますが、以下の留意点がございます。

  • Azure マーケットプレイス以外から作成された VM では記録されない。
  • VM 作成時にハードコーディングされるため、ゲスト OS のバージョンアップを行っても、この値は変化しない。

Instance View

実行中の VM についての情報を取得できるものとなります。現在実行中のゲスト OS のバージョン情報をリアルタイムに取得できます。
ゲスト OS のバージョン情報を取得するには、ご利用には以下の点についてご留意ください。

  • VM が起動している必要がある。
  • VM エージェントが正常に稼働している必要がある。

■ご参考:Azure Windows VM エージェントの概要
https://learn.microsoft.com/ja-jp/azure/virtual-machines/extensions/agent-windows

■ご参考:Azure Linux VM エージェントの概要
https://learn.microsoft.com/ja-jp/azure/virtual-machines/extensions/agent-linux

Azure ポータルでの表示

Azure ポータルでは以下ように、VM の概要画面 / VM のオペレーティングシステムの画面 / VM 一覧画面で情報が表示されますが、リアルタイムに現在実行中のゲスト OS 情報を一覧表示するといったことが叶いませんものとなります。

VM の概要画面

VM のオペレーティングシステムの画面

VM の一覧画面

Instance View から実行中の VM のゲスト OS バージョンを一覧取得する例

上記の点を鑑みますと、Azure PowerShell / Azure CLI / Azure Resource Graph を用いて、Instance View から実行中のゲスト OS のバージョン情報を取得することが推奨されます。
それぞれサンプルをご用意させていただきましたので、ご紹介させていただきます。

ゲスト OS バージョンの取得には、VM が起動しており、VM エージェントが正常稼働している必要がございます。
また、スクリプトを実行するユーザーが VM の情報を読み取れる権限が必要となります。

PowerShell 環境での Azure PowerShell コマンドの例

サブスクリプション内の VM すべてについて、表形式で出力する Azure PowerShell コマンドの例となります。

1
Get-AzVM -Status |  Select-Object -Property ResourceGroupName, Name, PowerState, OsName, OsVersion | Format-Table -AutoSize

実行結果の例としては、以下のような表示となります。

1
2
3
4
5
6
7
8
9
10
11
12
ResourceGroupName Name          PowerState     OsName                                       OsVersion
----------------- ----          ----------     ------                                       ---------
NEWHP             newHPSH-0     VM running     Windows 11 Enterprise multi-session          10.0.26100.3476
PROXY             proxy         VM deallocated
PROXY             proxy-client  VM deallocated
RHEL79            RHEL79        VM running     redhat                                       7.9
RHEL810           RHEL810       VM running     redhat                                       8.10
UNMANAGEDDISK     UnmanagedDisk VM running     centos                                       8.2.2004
WIN16             Win16         VM running     Windows Server 2016 Datacenter               10.0.14393.8330
WIN22AE           win22ae       VM running     Windows Server 2022 Datacenter Azure Edition 10.0.20348.3932
WIN25             win25         VM deallocated
WINBI             winbiVM       VM running     Windows Server 2022 Datacenter               10.0.20348.4052

Bash 環境での Azure CLI コマンドの例

サブスクリプション内の VM すべてについて、JSON 形式で出力する Azure CLI コマンドの例となります。
Azure CLI の場合、各 VM 毎に Instance View 取得のコマンドを実行するため VM 台数が多い場合はお時間がかかります点、ご留意ください。

1
az vm list --query "[].{VM:id}" -o tsv | xargs -n 1 az vm get-instance-view --query "{VM:id, osName:instanceView.osName, osVersion:instanceView.osVersion}" --id

実行結果の例としては、以下のような表示となります。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
{
  "VM": "/subscriptions/aaaaa/resourceGroups/NEWHP/providers/Microsoft.Compute/virtualMachines/testVM",
  "osName": "Windows 11 Enterprise multi-session",
  "osVersion": "10.0.26100.3476"
}
{
  "VM": "/subscriptions/aaaaa/resourceGroups/PROXY/providers/Microsoft.Compute/virtualMachines/deallocatedVM",
  "osName": null,
  "osVersion": null
}
{
  "VM": "/subscriptions/aaaaa/resourceGroups/RHEL79/providers/Microsoft.Compute/virtualMachines/RHEL79",
  "osName": "redhat",
  "osVersion": "7.9"
}
{
  "VM": "/subscriptions/aaaaa/resourceGroups/RHEL810/providers/Microsoft.Compute/virtualMachines/RHEL810",
  "osName": "redhat",
  "osVersion": "8.10"
}
{
  "VM": "/subscriptions/aaaaa/resourceGroups/WINBI/providers/Microsoft.Compute/virtualMachines/WinSV",
  "osName": "Windows Server 2022 Datacenter",
  "osVersion": "10.0.20348.4052"
}

Azure Resource Graph クエリの例

Azure ポータル上の Azure Resource Graph エクスプローラーを用いて、以下のクエリを実行します。 

1
2
3
4
5
6
resources
|where type == "microsoft.compute/virtualmachines"
|project subscriptionId, resourceGroup, name, 
         powerState = properties.extended.instanceView.powerState.displayStatus, 
         osName = properties.extended.instanceView.osName, 
         osVersion = properties.extended.instanceView.osVersion

■ご参考:クイック スタート: Azure portal を使用して Resource Graph クエリを実行する
https://learn.microsoft.com/ja-jp/azure/governance/resource-graph/first-query-portal

実行結果の例としては、以下のような表示となります。CSV で結果のエクスポートも可能です。

さいごに

上記コマンドやクエリの詳細な解説が必要な場合や、コマンドをご要件に合わせて改修したい場合、Microsoft Copilot を利用することもおすすめです。
私自身もよく、以下のようなプロンプトを使用して活用しております。

  • 以下のコマンドは何をしているのか解説してください。
  • 以下のコマンドについて、○○の情報を表示するように改修してください。

生成された回答は必ず正しいとは限りませんので、検証等をいただく必要がございますが、Microsoft Copilot といった AI を用いて色々なことができる便利な時代になりました。
これらの情報が皆様のお役に立てれば幸いでございます。

]]> https://jpaztech.github.io/blog/vm/get-vm-os-list/ 2025-08-27T03:00:00.000Z こんにちは、Azure テクニカル サポート チームの富田です。
Azure VM で実行されているゲスト OS のバージョンを一覧表示を行いたいとのお問い合わせをいただくことがございます。
実行中の VM の Instance View を取得するコマンドもし]]> Azure VM で実行されているゲスト OS のバージョンを一覧表示する 2026-04-20T03:45:50.648Z Japan Azure IaaS Core Support Team こんにちは。Azure テクニカル サポート チームの藤原です。

本ブログでは、Azure Front Door (クラシック) と Azure CDN from Standard (Microsoft CDN クラシック) のマネージド証明書のプロビジョニングの通知についてご案内いたします。

これ以降、Azure Front Door (クラシック) は AFD クラシック、Azure CDN from Standard (Microsoft CDN クラシック) は Azure CDN クラシック と記載します。

AFD クラシックの通知は 2S01-LF0 という ID で通知され、Azure CDN クラシックは 7NL5-R_8 という ID で通知されています。これ以降 2 つの通知のことを 本通知 と記載します。

CNAME ベースのドメインコントロール検証が廃止されます

本通知では AFD クラシックと Azure CDN クラシックにおいて CNAME を使用したドメインコントロール検証 (DCV) が廃止されることをお知らせしています。これは業界全体で進められている DCV 廃止の一環です。

これを受けて 2025 年 8 月 15 日以降、AFD クラシックと Azure CDN クラシックにおいて、既存のプロファイルにおいてカスタムドメインを追加することと、既存カスタムドメインの証明書を BYOC からマネージド証明書に切り替えることができなくなります。

マネージド証明書のご利用期限について

本通知では、既存のカスタムドメインで使用されているマネージド証明書が自動更新されることもお知らせしています。

自動更新された後のマネージド証明書の有効期間は 12 ヶ月 であり、2026 年 7 月 1 日まで はご利用いただけます。

2026 年 7 月 1 日以降はマネージド証明書の有効期限が切れます ので、それまでに BYOC への切り替え をお願いいたします。

本通知では、自動更新された後のマネージド証明書が 2026 年 7 月 1 日までご利用可能とご案内していましたが、2026 年 4 月 14 日まで ご利用可能に変更されました。このため、2026 年 4 月 14 日中までに BYOC への切り替え をお願いいたします。

マネージド証明書から BYOC への切り替え方法については以下のドキュメントをご参照ください。

マネージド証明書を使用しているかどうかを確認する方法

AFD クラシック リソースの Front Door デザイナー を開き、”フロントエンドまたはドメイン” に表示されているカスタム ドメインをクリックします。

画面の右ペインに表示された [証明書の管理の種類] で「管理されているフロント ドア」が選択されている場合は、マネージド証明書を利用しています

マネージド証明書の確認方法

---

新しくプロファイルやカスタムドメインを作成する場合について

AFD クラシックは 2025 年 4 月 1 日以降、新たなプロファイルの作成ができなくなりました。

本通知でお知らせした内容により 2025 年 8 月 15 日以降 Azure CDN クラシックにおいても新たなプロファイルが作成できなくなり、既存プロファイルにおいてカスタムドメインを追加できなくなります。

新たなプロファイルの作成や既存プロファイルにおいてカスタムドメインの追加を検討されている場合は、Azure Front Door Standard もしくは Premium への移行をご検討ください。

移行についてのドキュメントは以下をご参照ください。

AFD クラシックと Azure CDN クラシックの廃止時期について

本通知ではお知らせしていませんが、AFD クラシックは 2027 年 3 月 31 日に廃止 される予定になっています。

Azure CDN クラシックの廃止時期は 2027 年 9 月 30 日 です。

廃止に関するドキュメントは以下をご参照ください。

]]> https://jpaztech.github.io/blog/network/afd-classic-azure-cdn-managed-cert-provisioning/ 2025-07-31T08:30:00.000Z こんにちは。Azure テクニカル サポート チームの藤原です。

本ブログでは、Azure Front Door (クラシック) と Azure CDN from Standard (Microsoft CDN クラシック) のマネージド証明書のプロビジョニン]]>

Azure Front Door (クラシック) と Azure CDN from Standard (Microsoft CDN クラシック) のマネージド証明書のプロビジョニングに関する通知について 2026-04-20T03:45:50.353Z Japan Azure IaaS Core Support Team Azure サポートの高橋です。今回は RHEL (Red Hat Enterprise Linux) VM をご利用いただいているお客様よりお問い合わせをいただく Azure ハイブリッド特典 (AHB) についてご紹介していきたいと思います。

Azure Hybrid Benefit (AHB) を利用することで、Azure 上の Red Hat Enterprise Linux (RHEL) VM のソフトウェア サブスクリプション モデルを簡単に切り替えることができます。
この記事では、AHB に関する概要、各種ライセンスタイプの違い、BYOS (サブスクリプション持ち込み) と PAYG (従量課金制) の切り替え手順、切り替え後の確認方法について詳しく解説します。

AHB の概要解説

Azure Hybrid Benefit (AHB) は、(RHEL) VM のソフトウェア サブスクリプション モデルを切り替えるために利用するものです。
PAYG (従量課金モデル) と BYOS (サブスクリプション持ち込み) をそれぞれ切り替えることができます。
VM を再デプロイすることなく、ダウンタイムのリスクなしでサブスクリプション モデルを変更することが可能となります。
具体的なイメージについては、こちらの公開ドキュメントをご確認ください。

□ 参考 : Linux VM の Azure ハイブリッド特典を調べる
https://learn.microsoft.com/ja-jp/azure/virtual-machines/linux/azure-hybrid-benefit-linux?tabs=ahbRhelPayg%2CahbNewPortal%2CahbExistingPortal%2Clicenseazcli%2CrhelAzcliByosConv%2Crhelazclipaygconv%2Crhelpaygconversion%2Crhelcompliance#payg-vs-byos

ライセンスタイプの違い

BYOS モデルから PAYG モデルに変換する場合に使用可能な RHEL のライセンスタイプは、以下の表の通りとなります。
後述する拡張機能により、選択したライセンスタイプに応じて RHUI リポジトリを利用するよう自動的に構成が行われます。

ライセンスの種類ソフトウェア更新プログラム
RHEL_BASERed Hat 標準/ベース リポジトリを VM にインストールします
RHEL_EUSRed Hat Extended Update Support (EUS) リポジトリを VM にインストールします
RHEL_SAPAPPSRHEL for SAP Business Apps リポジトリを VM にインストールします
RHEL_SAPHA高可用性 (HA) リポジトリを使用して RHEL for SAP を VM にインストールします
RHEL_BASESAPAPPSRHEL 標準/ベース SAP Business Apps リポジトリを VM にインストールします
RHEL_BASESAPHAHA 対応の標準/ベース RHEL for SAP リポジトリを VM にインストールします

一般的な RHEL VM では、RHEL_BASE と RHEL_EUS の2種類があります。
これらのライセンスタイプの違いは、接続されるリポジトリサーバーが異なります。
RHEL_BASEでは、ベースリポジトリ (非 EUS リポジトリ) へ接続されることとなります。
以下の例では、BYOS の RHEL 8.8 の VM で、RHEL_BASE にライセンスタイプを切り替えた際の接続されているリポジトリを確認しています。

RHEL_EUS では、EUS リポジトリに接続され、マイナーバージョンが固定化されます。
先ほどと同様に、RHEL_EUS にライセンスタイプを切り替えたと際に接続されているリポジトリを確認してみると、EUS リポジトリに接続されており、マイナーバージョンが固定されていることが確認できます。(以下の例では RHEL 8.8 に固定化)

非 EUS リポジトリと EUS リポジトリの違いについては、以下のブログで詳細にご紹介しているのでご確認ください。

□ 参考 : Azure RHEL VM の 非 EUS/ EUS リポジトリについて
https://jpaztech.github.io/blog/vm/rhui-eus/

PAYG モデルから BYOS モデル変換する場合、ライセンスタイプは RHEL_BYOS を利用することとなります。
リポジトリの構成変更に関してはお客様にて実施いただく必要がございます。

ヒント

ライセンスタイプ Null / None について

ライセンスタイプ Null / None は、VM を作成した時点でのサブスクリプションモデルとなります。

Azure Marketplace から提供されている RHEL イメージは PAYG となり、持ち込みイメージを利用いただいている場合は BYOS となります。

Azure ハイブリッド特典を一度も有効化していない場合は、どちらのサブスクリプションモデルでもライセンスタイプは Null として表示されます。

一度、Azure ハイブリッド特典を有効化し、サブスクリプションモデルを切り替えた後に、再度サブスクリプションモデルを戻した場合には、None として表示されます。

つまり、ライセンスタイプ Null / None は PAYG と BYOS どちらの場合でも表示されますので、Null / None の場合は VM 作成時点でのサブスクリプションモデルが適用されることとなります。

BYOS から PAYG への切り替え手順

それでは、AHB を有効にしてライセンスタイプを切り替える手順についてご紹介いたします。
まずは、BYOS から PAYG に切り替える手順についてご紹介いたします。
現時点では、Azure portal から BYOS から PAYG に切り替える方法はございません。
また、拡張機能のインストールが必要になるため、VM 起動中に実施いただく必要があります。
以下の Azure CLI のコマンドにて、AHB の拡張機能のインストールをします。
<リソース グループ名>や<VM 名>についてはご自身の環境のものに置き換えください。 

1
az vm extension set -n AHBForRHEL --publisher Microsoft.Azure.AzureHybridBenefit --vm-name <VM 名> --resource-group <リソースグループ名>

警告

AHBForRHEL 拡張機能のリポジトリ登録エラーについて

AHBForRHEL を利用するにあたってahb-service がエラーを出力する旨のお問い合わせがしばしばございます。

下記のエンドポイントへの通信が遮断されている場合にはエラーが発生することを確認しておりますので、Firewall 等で通信制御を行っている場合は通信許可をいただくことで解消するかご確認ください。

・拡張機能の構成ファイルの取得

ahbsa.blob.core.windows.net

・RHUI構成ファイルの取得

rhelimage.blob.core.windows.net

また、RHUI リポジトリへのアクセスができない場合にもエラーが発生いたします。

RHUI で利用される可能性のある IP アドレスが公開されておりますので、こちらのIP へ接続できることを事前にご確認ください。

□ 参考 : Azure のオンデマンド Red Hat Enterprise Linux VM 用 Red Hat Update Infrastructure

https://learn.microsoft.com/ja-jp/azure/virtual-machines/workloads/redhat/redhat-rhui?tabs=rhel8

拡張機能のインストールが完了したら、以下のコマンドで必要とするライセンスタイプに変更します。
以下の例では RHEL_BASE へ変更いたします。

1
az vm update -g <リソースグループ名> -n <VM 名> --license-type RHEL_BASE

“AHB for RHEL” 機能フラグが有効になっているかどうかを確認します。

1
2
3
4
5
6
7
az feature list --namespace Microsoft.Compute | grep "AHBEnabledForRHEL" -A 3  
出力結果例
    "id": "/subscriptions/<subscription ID>/providers/Microsoft.Features/providers/microsoft.compute/features/AHBEnabledForRHEL",
    "name": "microsoft.compute/AHBEnabledForRHEL",
    "properties": {
      "state": "Registered"
    },

一度 PAYG に変更したものを再度 BYOS にする際には、ライセンスタイプを None にして切り替える必要があります。

1
az vm update -g <リソースグループ名> -n <VM 名> --license-type NONE

こちらの公開ドキュメントにも手順が記載されておりますのでご確認ください。

□ 参考 : BYOS を PAYG に転換する
https://learn.microsoft.com/ja-jp/azure/virtual-machines/linux/azure-hybrid-benefit-linux?tabs=ahbRhelPayg%2CahbNewPortal%2CahbExistingPortal%2Clicenseazcli%2CrhelAzcliByosConv%2Crhelazclipaygconv%2Crhelpaygconversion%2Crhelcompliance#convert-byos-to-payg

PAYG から BYOS への切り替え手順

PAYG から BYOS に切り替える手順は
Azure portal から対象の VM を選択し、設定ブレード内の “オペレーティングシステム” 内にある、ライセンスの項目から変更することができます。
この操作は、VM が停止している状態でも起動している状態でも実施することができます。
また、VM の動作に影響は発生いたしません。
BYOS に切り替える際は、以下の画面のように、”はい” を選択し、
“私は、この VM にアタッチする適切な Red Hat Enterprise Linux サブスクリプションを所有しています。” にチェックを入れ適用をしてください。

もしも、一度 BYOS に変更した後に、再度 PAYG に戻す場合には、
“いいえ” を選択して、適用をすることで PAYG に戻ります。

Azure CLI からは以下のコマンドで切り替えることができます。

1
az vm update -g <リソースグループ名> -n <VM 名> --license-type RHEL_BYOS

BYOS に切り替えたら必要に応じて subscription-manager で登録作業を実施ください。

□ 参考 : Using Red Hat Enterprise Linux subscriptions with Microsoft Azure Hybrid Benefit
https://access.redhat.com/articles/5419341

一度 BYOS にしたものを PAYG にする際には、ライセンスタイプを None にして切り替える必要があります。

1
az vm update -g <リソースグループ名> -n <VM 名> --license-type NONE

こちらの公開ドキュメントにも手順が記載されておりますのでご確認ください。

□ 参考 : Azure ハイブリッド特典を有効にする | 既存の VM
https://learn.microsoft.com/ja-jp/azure/virtual-machines/linux/azure-hybrid-benefit-linux?tabs=ahbRhelPayg%2CahbNewPortal%2CahbExistingPortal%2Clicenseazcli%2CrhelAzcliByosConv%2Crhelazclipaygconv%2Crhelpaygconversion%2Crhelcompliance#existing-vm

重要

AHB を有効化して、BYOS に変換する際には、事前に Red Hat Cloud Access に登録する必要があります。

Red Hat Cloud Access への登録がされていない場合、ライセンスを変更しようとすると以下のような画面で表示され、選択ができません。

なお、Red Hat Cloud Access サブスクリプションの登録が、Red Hat から Azure に反映されるまでに時間がかかる場合があります。

Red Hat Cloud Access の登録方法については、Red Hat 社のドキュメントを確認してください。

□ 参考 : Using Red Hat Enterprise Linux subscriptions with Microsoft Azure Hybrid Benefit

https://access.redhat.com/articles/5419341

切り替え後の確認方法

ライセンスタイプが正しく切り替わったかについては、以下の点を確認してください。

・ライセンスタイプの確認
Azure CLI のコマンドで、ライセンスタイプを確認することができます。

1
2
az vm get-instance-view -g <リソースグループ名> -n <VM 名> --query licenseType
"RHEL_BASE"

また、ゲスト OS 内からは、以下のコマンドで確認することができます。(BYOS から PAYG に変更したとき)

1
2

SUCCESS. Current LicenseType Configuration: RHEL_BASE

・リポジトリの設定状況
dnf コマンドにて、リポジトリの接続状況確認できます。(以下は Base リポジトリに接続されたとき)

・拡張機能のプロビジョニング状態 (BYOS から PAYG に変換したときのみ)
Azure portal からは、対象の VM のページから拡張機能がインストールされているか確認することができます。

Azure CLI での確認

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
az vm get-instance-view -g <リソースグループ名> -n <VM 名> --query instanceView.extensions
[
  {
    "name": "AHBForRHEL",
    "statuses": [
      {
        "code": "ProvisioningState/succeeded",
        "displayStatus": "Provisioning succeeded",
        "level": "Info",
        "message": "Plugin enabled",
        "time": null
      }
    ],
    "substatuses": null,
    "type": "Microsoft.Azure.AzureHybridBenefit.AHBForRHEL",
    "typeHandlerVersion": "1.0.4"
  },

VM の一覧から、フィルタに OS licensing benefit を追加することで、ハイブリッド特典が有効な VM の一覧を確認することができます。

お問い合わせ先について

PAYG / BYOS に関わらず、Azure プラットフォーム上で起きた Azure 基盤側の問題切り分け調査については、Azure サポートで対応をいたします。
PAYG をご利用の環境では、OS 観点に関しましては、
以下の Red Hat 社のドキュメントに記載通り、L1 (事例調査) および L2 サポート (検証を含む調査) を Azure サポートから提供する形となります。
Azure の Linux サポートは break & fix (障害からの復旧) が基本となります。

□ 参考: Microsoft Azure の問題で Red Hat のサポートを受ける方法
https://access.redhat.com/ja/articles/3040851

BYOS をご利用の環境では、OS 観点に関しましては、Red Hat 社へお問い合わせをください。

本稿が皆様のお役に立てれば幸いです。

]]> https://jpaztech.github.io/blog/vm/ahb-rhel/ 2025-06-23T00:00:00.000Z Azure サポートの高橋です。今回は RHEL (Red Hat Enterprise Linux) VM をご利用いただいているお客様よりお問い合わせをいただく Azure ハイブリッド特典 (AHB) についてご紹介していきたいと思います。

Azure Hybrid Benefit (AHB) を利用することで、Azure 上の Red Hat Enterprise Linux (RHEL) VM のソフトウェア サブスクリプション モデルを簡単に切り替えることができます。
この記事では、AHB に関する概要、各種ライセンスタイプの違い、BYOS (サブスクリプション持ち込み) と PAYG (従量課金制) の切り替え手順、切り替え後の確認方法について詳しく解説します。

]]> Azure Hybrid Benefit (AHB) for RHEL VM に関する解説 2026-04-20T03:45:50.553Z Japan Azure IaaS Core Support Team いつもお世話になっております。Azure Networking チームの庄です。
Application Gateway V1 のリタイアが 2026 年 4 月 28 日であると発表されてから暫く経ち、V1 をご利用のお客様の中で V2 への移行計画を進められているご状況かと思います。

※ V1 のリタイアについて詳しくはこちら

今回のブログでは Application Gateway V1 と V2 で HTTP/2 を取り扱う際の動作の違いについてご紹介します。皆様のご参考になりましたら幸いです。

HTTP/2(Hypertext Transfer Protocol version 2)は、ウェブ ページのデータをウェブ サーバーから取得するための新しい通信方法です。
HTTP/1.1 の後継として、2015 年に正式な仕様として承認されました。HTTP/2 には、「h2」と「h2c」の二つの識別子があります。HTTP/2 の接続が確立される際にトランスポート層セキュリティ(TLS) が利用されたかどうかによって、HTTP/2 通信には「h2」または「h2c」識別子が表示されます。つまり、HTTP/2 の識別子を通じて、HTTP/2 通信が暗号化されているかどうかを判断することができます。

・識別子が “h2” となっている場合、それは HTTP/2 通信が TLS を使用するプロトコルであることを示しています。

・識別子が “h2c” となっている場合、HTTP/2 通信が TLS を使用しません。この際、クライアントは HTTP/2 通信に “Upgrade” ヘッダーと “HTTP2-Settings” ヘッダーを送信します。”Upgrade” ヘッダーの値は「h2c」が設定され、”HTTP2-Settings” ヘッダーの値はトークン(例: AAMAAABkAAQCAAAAAAIAAAAA)が設定されます。

HTTP/2 の関連記事 (英語)

The “h2c” string was previously used as a token for use in the HTTP Upgrade mechanism’s Upgrade header field. This usage was never widely deployed and is deprecated by this document. The same applies to the HTTP2-Settings header field, which was used with the upgrade to “h2c”.

現在、Edge や Chrome など現在主要なブラウザーでは、HTTP/2 over TLS (h2) のみが HTTP/2 として使用できます。
HAR1

例えば、www.microsoft.com のサイトは HTTP/2 に対応していますが、 www.microsoft.com に HTTPS ではなく HTTP で接続する場合、
ブラウザーが HTTP/2 over TCP (h2c) をサポートしていないため、HTTP/2 は使用されず、HTTP/1.1 で接続を確立します。
(以下のスクリーンショットの例ではその後 HTTPS の URL にリダイレクトされ、HTTP/2 over TLS (h2)で接続しています。)

HAR2 HAR3

なお、ブラウザからのアクセスではなく、curl コマンドなどの他の HTTP クライアントから HTTP リクエストを送信する際には、HTTP/2 over TCP (h2c) を利用して HTTP/2 通信が行われる可能性があります。この状況では、Application Gateway が接続先となる際に、v1 と v2 で動作が異なります。v1 の場合、HTTP/2 通信はダウングレードされて、v2 の場合は HTTP ステータスコード 403 が応答されます。詳細の動作つきましては、以下のセクションをご参照ください。

Application Gateway の HTTP2 サポートについて

Application Gateway はリバース プロキシとして動作するため、フロントエンド接続(クライアント - Application Gateway)とバックエンド接続(Application Gateway - バックエンド サーバー)の二つの接続が発生します。現在、バックエンド接続における HTTP/2 はサポートされておりません。

フロントエンド接続における HTTP/2 のサポート状況については、リスナーで利用しているプロトコルによって異なります。詳細は以下のテーブルをご参照いただけますと幸いです。

リスナーのプロトコルサポート状況
HTTPSサポート
HTTP非サポート

一般的なシナリオとして、HTTP/2 over TLS (h2) が使用されるため、Application Gateway でも HTTP/2 over TLS (h2) のみを考慮しています。そのため、Application Gateway では、HTTPS リスナーでのみ HTTP/2 をサポートしています。v1、v2 ともに HTTP リスナーでは HTTP/2 の通信をサポートしていませんが、HTTP リスナーに対して実際にクライアントから HTTP/2 通信を送信する際には、SKU によって動作が異なります。以下にそれぞれの SKU の動作について紹介します。

v1 の動作

v1 の HTTP リスナーに HTTP/2 を用いて送信すると、通信がダウングレードされ、Application Gateway は HTTP/1.1 でレスポンスを送信します。

v1 の HTTP リスナーに HTTP/2 リクエストを curl コマンドで送信した結果

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
root:/# curl -v http://<v1 Appgw の IP> --http2
*   Trying xxxxxx:80...
* Connected to xxxx port 80 (#0)
> GET / HTTP/1.1
> Host: xxxxxx
> User-Agent: curl/7.81.0
> Accept: */*
> Connection: Upgrade, HTTP2-Settings
> Upgrade: h2c
> HTTP2-Settings: AAMAAABkAAQCAAAAAAIAAAAA
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Wed, 25 Dec 2024 09:09:10 GMT
< Content-Type: text/html
< Content-Length: 7
< Connection: keep-alive
< Server: Microsoft-IIS/10.0

v2 の動作

v2 の場合は、HTTP リスナーに HTTP/2 を送信すると、Application Gateway はクライアントに 403 を応答します。

v2 の HTTP リスナーに HTTP/2 リクエストを curl コマンドで送信した結果

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
root: curl --http2 -v -k http://<v2 Appgw の IP>
*   Trying xxxx:80...
* Connected to xxxx (xxxx) port 80 (#0)
> GET / HTTP/1.1
> Host: xxxx
> User-Agent: curl/7.81.0
> Accept: */*
> Connection: Upgrade, HTTP2-Settings
> Upgrade: h2c
> HTTP2-Settings: AAMAAABkAAQCAAAAAAIAAAAA
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 403 Forbidden
< Server: Microsoft-Azure-Application-Gateway/v2
< Date: Wed, 25 Dec 2024 08:51:52 GMT
< Content-Type: text/html
< Content-Length: 179
< Connection: keep-alive
<
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>Microsoft-Azure-Application-Gateway/v2</center>
</body>
</html>
* Connection #0 to host xxxx left intact

上記の HTTP リスナーに HTTP/2 を送信した通信結果を、Application Gateway で設定可能な診断ログの 1 つであるアクセス ログから対象の通信結果を確認すると、「httpStatus」のプロパティには 403 が記載され、「serverStatus」のプロパティには 403 以外の別のステータスコードが記載されます。こちらは想定されているログの記録結果です。

また、このブロックは Application Gateway V2 自体のコード レベルでの動作であり、WAF を利用していない場合でも同様に HTTP 403 を返す動作となります。つまり、Application Gateway v2 は WAF の利用の有無にかかわらず HTTP リスナーで受け取った HTTP/2 通信をブロックすることが想定された動作となります。

]]> https://jpaztech.github.io/blog/network/appgw-http2/ 2025-03-21T03:00:00.000Z いつもお世話になっております。Azure Networking チームの庄です。
Application Gateway V1 のリタイアが 2026 年 4 月 28 日であると発表されてから暫く経ち、V1 をご利用のお客様の中で V2 への移行計画を進められている]]> Application Gateway の HTTP2 サポート 2026-04-20T03:45:50.359Z Japan Azure IaaS Core Support Team こんにちは、Azure テクニカル サポート チームです。

2027 年 9 月 30 日にネットワーク セキュリティ グループ (NSG) フローログが廃止され、2025 年 6 月 30 日以降新しい NSG フロー ログが作成できなくなるため、VNet フロー ログへ移行いただくことを推奨する内容がアナウンスされました。(Tracking ID:4NBJ-DQ0)
アナウンスされてから半年ほど経過いたしましたので、VNet フロー ログへの移行に際する概要およびよくある質問についてこの記事にてご紹介させていただきます。

[アナウンスの概要]

2027 年 9 月 30 日にネットワーク セキュリティ グループ (NSG) フロー ログが廃止され、2025 年 6 月 30 日以降新しい NSG フロー ログが作成できなくなります。
提供終了日 (2027 年 9 月 30 日) を過ぎると、NSG フロー ログで有効になっているトラフィック分析がサポートされなくなり、サブスクリプション内の既存の NSG フロー ログ リソースが削除されるため、NSG のフロー ログの廃止に伴い、VNet フロー ログへの移行を推奨しております。

ネットワーク セキュリティ グループのフローのログ記録

重要

2027 年 9 月 30 日にネットワーク セキュリティ グループ (NSG) フロー ログは廃止されます。 この提供終了の一環として、2025 年 6 月 30 日以降新しい NSG フロー ログを作成できなくなります。
NSG フロー ログの制限を克服するために、仮想ネットワーク フロー ログに移行することをお勧めします。
提供終了日を過ぎると、NSG フロー ログで有効になっているトラフィック分析がサポートされなくなり、サブスクリプション内の既存の NSG フロー ログ リソースが削除されます。
ただし、NSG フロー ログのレコードは削除されず、引き続きそれぞれのアイテム保持ポリシーに従います。 詳細については、公式告知を参照してください。

[NSG フロー ログと VNet フロー ログの違い]

フロー ログは、ネットワーク トラフィックの監視と分析に使用される Network Watcher の機能の 1 つとして提供しているロギング サービスです。ネットワーク セキュリティ グループ (NSG) で設定したセキュリティ ルールの評価や仮想ネットワーク (VNet) 内のトラフィックを監視し、NSG で許可されたトラフィックと拒否されたトラフィックを記録することが可能です。今までは Subnet や NIC のみでしかログの採取ができませんでしたが、VNet フロー ログの登場によって、VNet 単位でのログを採取することが可能となりました。NSG フロー ログと VNet フロー ログの違いについて完結にお伝えすると、VNet フロー ログは、NSG フロー ログの上位互換にあたる機能となりますが、具体的な違いについては以下の表をご覧ください。

機能の違いNSG フロー ログVnet フロー ログ
フロー ログを取得できる対象範囲 (ターゲット)Subnet/NICVNet/Subnet/NIC
ログ形式ログ形式
サンプル ログ レコード		ログ形式
サンプル ログ レコード
トラフィック分析のスキーマトラフィック分析スキーマトラフィック分析スキーマ
ストレージ アカウントhttps//{storageAccountName}@insights-logs-networksecuritygroupflowevent のパス内に保存https://{storageAccountName}@insights-logs-flowlogflowevent のパス内に保存
Log Analytics Workspace“AzureNetworkAnalytics_CL” テーブルに保存“NTANetAnalytics” テーブルに保存
NSG フロー ログではサポートされず、
VNet フロー ログではサポートされたシナリオ		右記が非サポート シナリオステートレス フロー内のバイトとパケット
仮想ネットワーク暗号化の識別(VNet Encryption)
Azure API マネージメント
Application Gateway
Virtual Network Manager
ExpressRoute Gateway
Virtual Machine scale sets
VPN Gateway
Azure VM (D family v6 series)
Azure VM (E family v6 series)
Azure VM (F family v6 series)
VNet フロー ログではサポートされず、
NSG フロー ログではサポートされるシナリオ		なし-

[FAQ]

Q1. 既存の NSG フロー ログのデータは削除されますか

A1. いいえ。既存の NSG フロー ログのデータは削除されません (ただしストレージ アカウントのリテンション期間に準じます)。移行前のログ (NSG フロー ログ) は保存先のストレージ アカウント内の [insights-logs-networksecuritygroupflowevent] というパスに保存され、移行後のログ (VNet フロー ログ)は [insights-logs-flowlogflowevent] というパスに保存されます。
また、トラフィック分析を有効化にしている場合、NSG フロー ログは [AzureNetworkAnalytics_CL] テーブル、VNet フロー ログは [NTANetAnalytics] テーブルを Log Analytics ワークスペースのクエリで確認が可能です。

Q2. NSG フロー ログから VNet フロー ログへ移行スクリプトを利用して移行した場合、既存の環境において通信影響やパフォーマンス影響はありますか

A2. いいえ。NSG フロー ログから VNet フロー ログへの移行に伴う通信影響ございません。

Q3. NSG フロー ログでトラフィック分析を有効化し、Log Analytics で独自のクエリを利用し分析を行っていましたが、VNet フロー ログでも同じクエリで分析することは可能ですか

A3. いいえ。NSG フロー ログと VNet フローログでは、トラフィック分析のスキーマが異なるため NSG フロー ログで利用していたクエリを使い回すことはできません。VNet フロー ログのスキーマを参考の上、VNet フロー ログ用のクエリを作成いただく必要があります。

(参考)

トラフィック分析スキーマ - Network Watcher | Microsoft Learn

Q4. NSG フロー ログから VNet フロー ログへ移行スクリプトを利用する場合の PowerShell のバージョンに指定はありますか

A4. Powershell 7 以降での動作を想定しております。 Powershell 7よりも前のバージョンでスクリプトを実行した場合、スクリプトの実行に失敗することが想定されます。Powershell のバージョンは $PSVersionTable を実行いただくことで確認可能です。

Q5. 移行スクリプト (MigrationFromNsgToAzureFlowLogging.ps1) を実行した際に選択できる、”Proceed with migration with aggregation” (集計あり) と “Proceed with migration without aggregation” (集計なし) の違いはなんですか

A5. “Proceed with migration with aggregation” は、同じ VNet 内の NIC/Subnet に関連付けられている NSG の NSG フロー ログを 1 つの VNet フロー ログにまとめて、移行する方法です。例えば、VNetA 内に Subnet-1、NIC1 があり、それぞれに NSG が関連付けられており、NSG フロー ログを設定している場合 (NSG フロー ログが 2 つ設定されている) は、VNetA をターゲットとした VNet フロー ログが 1 つ作成されます。
一方で、”Proceed with migration without aggregation” は、同じ VNet 内の Subnet/NIC の NSG の NSG フロー ログを VNet フロー ログと 1:1 対応する形で移行する方法です。例えば、 VNetA 内に Subnet-1、NIC1 があり、それぞれに NSG が関連付けられており、NSG フロー ログを設定している場合 (NSG フロー ログが 2 つ設定されている) は、Subnet と NIC をターゲットとした VNet フロー ログが 1 つずつ作成されます。また、1 つの NSG が複数の NIC/Subnet に関連付けられている NSG フローログを作成されている場合、それぞれの NIC/Subnet に対して個別に VNet フロー ログが作成されます。
例えば、 VNetA 内に Subnet-1、NIC1 があり、1 つの NSG が関連付けられており、NSG フロー ログを設定している場合 (NSG フロー ログが 1 つ設定されている) は、Subnet と NIC をターゲットとした VNet フロー ログが 1 つずつ作成されます。
なお、移行元に複数の NSG フローログが構成されている環境において “Proceed with migration with aggregation” で移行する場合、NSG フローログごとの設定値 (i.e. 出力先のストレージアカウントやリテンション期間、Traffic Analytics の有無、FlowLog Version)が異なると 1 つの VNet フローログにまとめられない動作になりますことをご留意ください。
仮に異なる設定値を持った状態で “Proceed with migration with aggregation” を選択した場合、同じ設定を持った NSG フローログは VNet フローログにまとめられ、異なる設定を持った NSG フローログは “Proceed with migration without aggregation” と同様に 1:1 対応する形で移行される動作となります。

移行スクリプトを実行する - Network Watcher | Microsoft Learn

フロー ログを移行するネットワーク セキュリティ グループが同じ仮想ネットワーク内の 3 つのネットワーク インターフェイスに関連付けられている場合は、集計ありの移行を選択して 1 つの仮想ネットワーク フロー ログ リソースを仮想ネットワークに適用することができます。

また、集計なしの移行を選択し、3 つの仮想ネットワーク フロー ログ (ネットワーク インターフェイスごとに 1 つの仮想ネットワーク フロー ログ リソース) を持つこともできます。

Q6. 移行の種類、”Proceed with migration with aggregation” (集計あり) と “Proceed with migration without aggregation” (集計なし) の選び方が分かりません

A6. フロー ログの保存先をサブネットや NIC ごとに別のストレージ アカウントにしたい場合や、ログの対象を特定のサブネットや NIC のみに限定したい場合は、”Proceed with migration without aggregation” (集計なし) を選択し移行いただく必要があります。

Q7. NSG フロー ログを有効化しており、トラフィック分析も有効化していますが、VNet フロー ログ移行後はトラフィック分析を無効化したいと考えています。移行スクリプトのオプションでトラフィック分析を無効化することはできますか

A7. いいえ。移行スクリプトでは、既存の NSG フロー ログの設定を引き継ぐ形で VNet フロー ログが作成されます。トラフィック分析を無効化したい場合、移行前にトラフィック分析を無効化いただく、もしくは移行後にトラフィック分析を無効化いただく必要があります。

Q8. 移行スクリプト (MigrationFromNsgToAzureFlowLogging.ps1) を実行した際に VNet フロー ログの名称は指定できますか

A8. いいえ、移行スクリプトを用いた移行では VNet フロー ログの名称が自動的に指定されるため明示的に名称を指定することはできません。明示的に名称を指定したい場合、VNet フロー ログを新規で作成いただく必要があります。
自動的に指定される名称は、移行の種類 (“Proceed with migration with aggregation”/“Proceed with migration without aggregation”) によって命名規則が異なります。

“Proceed with migration with aggregation” の場合、<Subnet や NIC が属する VNet 名> “-“ <リソースグループ名> “-“ flowlog の命名規則で VNet フロー ログが作成されます。

“Proceed with migration without aggregation” の場合、<NIC 名/ Subnet 名> “-“ <リソースグループ名> “-“ flowlog の命名規則で VNet フロー ログが作成されます。

Q9. 2025 年 6 月 30 日以降に既存の NSG フローログの設定変更はできますか

A9. はい。2025 年 6 月 30 日以降、新規の NSG フローログは作成不可となりますが、既存の NSG フローログの設定変更は可能です。

]]> https://jpaztech.github.io/blog/network/migration-from-NSG-Flowlog-to-Vnet-Flowlog/ 2025-02-26T00:00:00.000Z こんにちは、Azure テクニカル サポート チームです。

2027 年 9 月 30 日にネットワーク セキュリティ グループ (NSG) フローログが廃止され、2025 年 6 月 30 日以降新しい NSG フロー ログが作成できなくなるため、VNet]]>

NSG フローログ から VNet フローログ への移行についてよくある質問 2026-04-20T03:45:50.405Z Japan Azure IaaS Core Support Team こんにちは、Azure テクニカル サポート チームです。
この記事では、Virtual WAN の仮想ハブに接続した各環境 (VNet/ブランチ (サイト間 VPN、ポイント対サイト VPN、ExpressRoute)) における相互接続について紹介いたします。
従来の仮想ネットワーク環境と比べ、どのようなケースに Virtual WAN の導入が適しているか、ご判断の助けになれば幸いです。

Virtual WAN の相互接続性について

Virtual WAN は仮想ハブというコンポーネントを中心としており、この仮想ハブに対して様々な環境を接続することができます。
仮想ハブに対して接続する主な環境は、仮想ネットワークと、ブランチと呼ばれるオンプレミス環境です。
この “ブランチ” については、Virtual WAN 内の仮想ハブに接続するオンプレミス環境をまとめた総称であり、具体的な接続パターンは以下の様なものがあります。

  • サイト間 VPN (S2S VPN)
  • ポイント対サイトユーザー VPN (P2S VPN)
  • ExpressRoute

※ その他、仮想ハブと Vnet 上の仮想アプライアンス間で直接 BGP ピアを構成したり、仮想ハブ上に所定のパートナーが提供するアプライアンス製品やサービスをデプロイし SD-WAN 環境を構成するといったことも可能ですが、今回の記事ではよくご利用いただく、仮想ネットワークとブランチ (サイト間 VPN、ポイント対サイト VPN、ExpressRoute) 接続のパターンにフォーカスしたいと思います。

Virtual WAN では、仮想ネットワークやブランチを仮想ハブに接続することで、複雑な操作を伴わずにそれぞれの環境間を相互接続させるということをコンセプトにしております。
上述したような仮想ネットワーク/ブランチ (サイト間 VPN、ポイント対サイト VPN、ExpressRoute) の接続については、一部条件付きのケースもございますが、基本的に Virtual WAN によって相互接続させることが可能です。
Virtual WAN の相互接続性については、以下の公式ドキュメントにも言及がありますので、併せてご参照ください。

(参考)
グローバル トランジット ネットワーク アーキテクチャと Virtual WAN

各接続パターンについて

Virtual WAN 環境と仮想ネットワーク環境における相互接続性の差をわかりやすく示すため、まずは概要として簡単な表を以下に記載しております。

この表では、縦軸と横軸に記載された環境間での相互接続可否を示しており、記号はそれぞれ以下の意味を表します。

  • 〇については相互接続が可能となるよう構成可能
  • ×については相互接続が可能となる構成が非サポート
  • △については相互接続可能となるよう構成可能であるが、特定のオプションや別サービスの利用が伴うため考慮が必要

※ 本記事では詳細な構成及び設定の方法については割愛いたしますが、〇と表記しているケースでも構成によっては相互接続が可能とならないケースもある点ご了承ください。

また、縦軸と横軸において省略して記載している各表記は、以下を示しております。

  • VNet = 仮想ネットワーク環境
  • S2S = サイト間 VPN で接続されたオンプレミス拠点
  • P2S = ポイント対サイト VPN で接続されたクライアント端末
  • ExpressRoute = ExpressRoute 回線で接続されたオンプレミス拠点

仮想ネットワーク環境の場合

img1

Virtual WAN 環境の場合

img2

以下では、各接続パターンにおいてどのような相互接続が可能となるか、通常の仮想ネットワーク環境とも比較しながらもう少し詳しく見ていこうと思います。

S2S to S2S

仮想ハブ上の VPN ゲートウェイには複数のサイト間 VPN を接続可能ですが、サイト間 VPN で接続された拠点同士で相互接続ができるように構成することが可能です。
img3

従来の仮想ネットワーク環境でも、同様に複数のサイト間 VPN で接続された拠点間の相互接続 (トランジット接続) ができるように構成することが可能です。

(参考)
VPN Gateway に関する FAQ - Azure VPN Gateway では、BGP トランジット ルーティングをサポートしていますか。

P2S to S2S

ポイント対サイトユーザー VPN のクライアントから、サイト間 VPN の接続先拠点にアクセスすることが可能です。
img4

従来の仮想ネットワーク環境でも、ポイント対サイト VPN のクライアントからサイト間 VPN の接続先拠点にアクセスできるよう構成することは可能です。

(ご参考)
ポイント対サイト VPN ルーティングについて
※ ポイント対サイトユーザー VPN で利用するプロトコルや、接続端末の OS 種別によっては、カスタムルートの構成やゲスト OS 内でのルート設定といった追加作業が必要になる場合もございます。

S2S to ExpressRoute

このシナリオは、通常の仮想ネットワーク環境と比較し、Virtual WAN 環境で容易に構成できることが大きな特徴です。
まず、Virtual WAN 環境では、サイト間 VPN と ExpressRoute 回線を仮想ハブに接続するのみで、相互に疎通させることが可能です。
img5

従来の仮想ネットワーク環境でも、サイト間 VPN と ExpressRoute 用の仮想ネットワークゲートウェイを同じ仮想ネットワークに共存させて同時にオンプレミス拠点と接続することはできますが、既定の構成のままでは各拠点間の相互接続を行うことはできません。
仮想ネットワーク環境でサイト間 VPN と ExpressRoute に接続された拠点間でトランジット通信を実現したい場合、Azure Route Server という別のリソースを追加で構成し、各仮想ネットワークゲートウェイと BGP による経路交換を行う必要があります。

(参考)
ExpressRoute と Azure VPN に対する Azure Route Server のサポート

このように、通常の仮想ネットワーク環境では更に別のサービスを構成してトランジット通信を実現する必要があるほか、VPN 用仮想ネットワークゲートウェイの構成やパラメーター、ゲートウェイサブネットのサイズ等に一定の制約が生じるなど、様々な考慮事項が生じます。
Virtual WAN 環境では上記のような別リソースの構成は伴わず、仮想ハブ上のゲートウェイにサイト間 VPN と ExpressRoute 回線の接続を構成すれば、基本的には既定の構成で拠点間の相互通信を実現することができます。

P2S to ExpressRoute

OpenVPN プロトコルで接続したポイント対サイトユーザー VPN のクライアントから、ExpressRoute の接続先拠点にアクセスすることも可能です。
img6

従来の仮想ネットワーク環境では、前述の Azure Route Server を利用したとしても、P2S VPN の接続クライアントから ExprsesRoute 接続先拠点へのトランジット接続は非サポートとなります。

(参考)Azure Route Server に関してよく寄せられる質問 (FAQ)

ExpressRoute to ExpressRoute

img7

複数の ExpressRoute 回線で接続された拠点間のトランジット通信は、Virtual WAN 環境であっても既定の状態では不可能です。
以下のうちいずれかのオプション機能を利用することで、実現が可能となります。

  • Global Reach の利用 (仮想ハブを経由することなく各 ExpressRoute 回線間で直接トラフィックが転送されます)
  • プライベート ルーティング ポリシーの有効化(仮想ハブに Azure Firewall を伴う、セキュリティ保護付き仮想ハブの利用が必要となります。また、有効化の際にサポートリクエストによる依頼が必要となります。)

(参考)
ルーティング インテントを使用した ExpressRoute 回線間のトランジット接続

従来の仮想ネットワーク環境でも同様に、既定の状態では複数の ExpressRoute 回線で接続された拠点間のトランジット通信ができません。
実現する場合には、Global Reach を利用する必要がございます。

VNet to Branch (S2S, P2S, ExpressRoute)

Virtual WAN 環境では、仮想ネットワーク環境と各ブランチ (サイト間、ポイント対サイト、ExpressRoute) で接続された環境間の疎通が可能です。
img8

同様に、従来の仮想ネットワーク環境でも、サイト間、ポイント対サイト、ExpressRoute で接続された環境との通信は可能です。
複数の仮想ネットワークを接続する場合は、ハブ用の仮想ネットワークを用意して各スポークと VNet ピアリングを構成した上で、ゲートウェイ転送オプションを有効化しておく必要がございます。
Virtual WAN 環境であれば、仮想ハブに複数の仮想ネットワークを順次接続していけば、自動的にブランチ環境との接続性を確保することができます。

VNet to VNet

Virtual WAN 環境では、仮想ハブに接続した仮想ネットワーク同士の疎通も可能です。
たくさんの仮想ネットワーク間で相互接続性を確保したい時には、それぞれの仮想ネットワークを仮想ハブに接続していくことで、自動的に相互通信ができるようになります。
img9

従来の仮想ネットワーク環境では、複数の仮想ネットワーク間は基本的に VNet ピアリングによって接続します。
もちろん、VNet ピアリングによって仮想ネットワーク間の通信は可能となりますが、VNet ピアリングでは基本的に直接ピアリングした先の仮想ネットワークにしかアクセスすることができません。
相互接続したい仮想ネットワークの数が多くなる場合、メッシュ状に VNet ピアリングを構成するか、ハブ用の仮想ネットワークを用意してルーティング用の NVA を配置するといった対処が必要となります。

おわりに

この記事では、Virtual WAN 環境における各環境間の相互接続についてご紹介いたしました。
通常の仮想ネットワーク環境を用いるパターンと比較しますと、実現できることの違いや、同じようなトラフィックフローが実現できたとしても構成の難度や複雑性が異なってくる点がご理解いただけたのではないかと思います。
Virtual WAN 環境の利用をご検討いただく一助となれば幸いです。

]]> https://jpaztech.github.io/blog/network/vwan_transit/ 2025-01-08T03:30:00.000Z こんにちは、Azure テクニカル サポート チームです。
この記事では、Virtual WAN の仮想ハブに接続した各環境 (VNet/ブランチ (サイト間 VPN、ポイント対サイト VPN、ExpressRoute)) における相互接続について紹介いたし]]> Virtual WAN の相互接続性について 2026-04-20T03:45:50.471Z Japan Azure IaaS Core Support Team こんにちは、Azure テクニカル サポート チームの木下・富田です。

今回は Azure ストレージ アカウント内コンテンツへのアクセス時に 401 もしくは 403 エラー(認証エラー)が発生した場合の、対処法をストレージファイアウォール観点でエラー事例とともにご紹介いたします。
401/403 エラーは認証エラーですので、ネットワークとしては疎通ができている状態ですが、認証によってアクセスが拒否されている状況となります。
本記事ではまず、ストレージ アカウント自体に備わっているファイアウォール(ネットワーク設定)の観点でトラブルシューティングのご紹介をさせていただきます。

ストレージ アカウント内のコンテンツ表示における 403 エラーの表示例

アクセスを行うツールによって表示が異なりますが、いくつかスクリーンショットを交えてエラー表示の例を記載させていただきます。
どれも 403 エラーや Access is denied として表示され、アクセス拒否となっていることが分かります。

Azure ポータルでストレージ アカウントの Blob コンテナー内の表示、およびストレージブラウザーで Blob や Azure Files にアクセスした際

This request is not authorized to perform this operation.

Azure ポータルで Azure Files(ファイル共有)にアクセスした際

このマシンからはアクセスできないようです。このストレージ アカウントは VNet にあります。
401 エラーとして検知される場合も確認されております
アクセス許可がありません

Azure Storage Explorer で Blob コンテナーにアクセスした際

This request is not authorized to perform this operation.

Azure Storage Explorer で Azure Files(ファイル共有)にアクセスした際

Unable to retrieve child resources

AzCopy コマンドにてファイルコピー時した際

INFO: Authentication failed, it is either not correct, or expired, or does not have the correct permission / RESPONSE 403: 403 This request is not authorized to perform this operation. / ERROR CODE: AuthorizationFailure

Azure Files(ファイル共有)を New-PSDrive コマンドでマウントした際

New-PSDrive : Access is denied

これらのエラーの場合は、以下の原因によりアクセス拒否となっている可能性がございます。

  • ストレージ アカウント自体に備わっているファイアウォール(ネットワーク設定)によりアクセス拒否されている
  • データ操作の認可がされていない

まずは、それぞれのアクセス制御の機能について解説させていただきます。

ストレージ アカウントのファイアウォール(ネットワーク設定)とデータへの認可について

ストレージ アカウントには、特定の VNET や特定のグローバル IP アドレスからのアクセスのみを許可するといった、ファイアウォール機能が備わっております。
こちらのファイアウォールを有効としている場合、許可されていないクライアントからの接続では上記のような 403 エラーでアクセス拒否が発生します。

■ご参考:Azure Storage ファイアウォールおよび仮想ネットワークを構成する
https://learn.microsoft.com/ja-jp/azure/storage/common/storage-network-security

また、ファイアウォールで許可されたクライアントからのアクセスであっても、アクセス先のデータに対して適切な認可がされていない場合は、同様に 403 エラーのアクセス拒否が発生します。

■ご参考:Azure Storage 内のデータへのアクセスを承認する
https://learn.microsoft.com/ja-jp/azure/storage/common/authorize-data-access

今回、本ブログ記事ではストレージ アカウントのファイアウォールの観点でのトラブルシューティングをご紹介させていただきます。

ストレージ アカウントのファイアウォールを一時的に無効化してみる

警告

一時的に全てのネットワークからの接続が許可されますので、この点についてご留意くださいませ。

意図せず 403 エラーでアクセス拒否となった場合、ファイアウォールによってブロックされていないかといった点を切り分けるために、一時的にファイアウォールを無効化するのが容易な手段となります。
ファイアウォールが元から無効であったり、ファイアウォールを無効化しても 403 エラーのアクセス拒否が継続する場合は、データ認可の問題などファイアウォールとは別の原因があると判断できます。

以下の手順で Azure ポータルよりファイアウォールを無効化することが可能でございます。

  1. 対象のストレージアカウントの画面で「ネットワーク」をクリックします。
  2. 「ファイアウォールと仮想ネットワーク」より「すべてのネットワーク」を選択し「保存」します。

「すべてのネットワーク」が選択されている場合、ストレージファイアウォールの設定は無効状態となります。

「すべてのネットワーク」が選択されている状態に変更が完了したら、403 エラーのアクセス拒否が解消されるか確認してください。(少し反映までに時間がかかることもございます。)
403 エラーのアクセス拒否が解消されていれば、ストレージファイアウォールの設定に問題があると判断できます。

もし、このままストレージファイアウォールを無効としても運用上差し支えなければ無効の状態でご利用ください。
アクセス元を制限したい場合は、以下に沿ってファイアウォール有効化の設定をご確認ください。

特定のパブリック IP アドレス(グローバル IP アドレス)からの接続を許可するようにファイアウォールを設定する

Azure ポータルにて以下の手順で、特定のパブリック IP アドレス(グローバル IP アドレス)からの接続を許可するようにファイアウォールを設定することが可能です。

  1. 対象のストレージアカウントの画面で「ネットワーク」をクリックします。
  2. 「ファイアウォールと仮想ネットワーク」のクライアント端末の IP アドレスを追加し「保存」します。

パブリック IP アドレスを指定しても上手く接続できない場合は、以下の注意点についてご確認くださいませ。

  • 接続元クライアントが Azure VM の場合は、同一リージョンのストレージ アカウントへの接続時にプライベート IP アドレスで接続するため、このようなパブリック IP アドレスでの接続許可が叶いません。後述の VNET 単位の接続許可の設定をご検討ください。
  • クライアント IP アドレスとして表示されるのは、Azure ポータルに接続している IP アドレスです。プロキシ使用時にエンドポイントをバイパスしている際などは、Azure ポータルにアクセスしている IP アドレスとストレージ アカウントにアクセスしている IP アドレスが異なることがございます。
  • Express Route をご利用されており、Microsoft Peering または Public Peering を用いて Azure ストレージに接続する構成の場合、Azure ストレージに側の接続元の IP アドレスはオンプレミスのプライベート IP アドレスではなく、Microsoft Peering または Public Peering で構成したパブリック IP アドレスとなります。そのため、Express Route 経由後のパブリック IP アドレスを追加していただく必要があることをあらかじめご留意ください。

アクセス許可を行いたいアクセス元の IP アドレスが分からない状態の場合、下記の通り Azure ストレージの診断設定でログを取得し、403 エラーを検知しているログより接続元クライアントの IP アドレスを特定することも可能です。

ストレージ アカウントの診断設定およびアクセス元 IP アドレスの特定

ストレージ アカウントの診断設定を有効にすることで、ストレージにアクセスしたクライアント IP アドレスをログとして記録することが可能です。

■ご参考:Azure Monitor の診断設定を作成する
https://learn.microsoft.com/ja-jp/azure/azure-monitor/essentials/create-diagnostic-settings

具体的な診断設定によるログ採取の手順例としては、Azure Files(ファイル共有)での手順について、以下の弊社ブログ記事で解説しております。

■ご参考:Azure Files の診断設定を試す
https://jpaztech.github.io/blog/storage/azureFilesMonitoring

上記は、Azure Files(ファイル共有)での例とはなっておりますが、診断設定を有効にする種類として file ではなく blob を設定すれば、同様に Blob ストレージについてもアクセスログを採取することが可能です。
採取されたログ内に callerIpAddress として、実際のアクセス元となるクライアントの IP アドレスが記録されますので、これによりアクセス元 IP アドレスの特定が可能でございます。

特定の仮想ネットワーク(VNET)およびサブネットからのアクセスを許可する

ストレージ アカウントのファイアウォールでは、特定のパブリック IP アドレスからのアクセス許可でだけではなく、特定の VNET 上のサブネットからのアクセスを許可する設定をすることが可能です。
以下が Azure ポータルでその設定をする手順となります。

  1. 対象のストレージアカウントの画面で「ネットワーク」をクリックします。
  2. 「ファイアウォールと仮想ネットワーク」の「仮想ネットワーク」に許可する仮想ネットワークおよびサブネットを追加します。

すでに利用したい仮想ネットワークがある場合は「既存の仮想ネットワークを追加する」から追加します。
仮想ネットワークが未作成の場合は「新しい仮想ネットワークを追加する」より作成追加してください。

異なるサブスクリプションの仮想ネットワークを追加する場合は、「サブスクリプション」項目のプルダウンより、対象のサブスクリプション内の仮想ネットワークおよびサブネットを選択し有効化します。
(有効化が完了するまで最大 15 分かかる場合がございます。有効化が完了したら「追加」をクリックします。


 
3. 追加した仮想ネットワークおよびサブネットが表示されエンドポイントの状態が有効となっていることを確認し「保存」します。

警告

ストレージファイアウォール設定で「すべてのネットワーク」と「選択されたネットワーク」の切り替えを行う場合や、登録しているサブネットが仮想ネットワーク上で一度削除され、新たに同名でサブネットが作成された場合などにより、古い情報が残存した状態となりエンドポイントの状態が「見つかりません」というようなエラーが表示されることがあります。

その場合は、一度ストレージファイアウォール「仮想ネットワーク」項目からエラーが表示されているサブネットを削除し、上述の手順で仮想ネットワークおよびサブネットの追加をお試しいただきますようお願いいたします。

さいごに

ストレージ アカウントのファイアウォールにより許可されたクライアントから、正しく認可されたデータへアクセスがされた場合は、403 エラーのアクセス拒否は発生せず正常にアクセス可能になるものと存じます。
403 エラーのアクセス拒否が改善せずお困りの場合は、実施されたトラブルシューティングの内容を添えて弊社 Azure 技術サポート窓口までお問い合わせいただければ、トラブルシューティングのご支援をさせていただくことも可能でございます。

本稿が皆様のお役に立ちましたら幸いでございます。

]]> https://jpaztech.github.io/blog/storage/storageFirewall-403Error/ 2025-01-07T06:00:00.000Z こんにちは、Azure テクニカル サポート チームの木下・富田です。

今回は Azure ストレージ アカウント内コンテンツへのアクセス時に 401 もしくは 403 エラー(認証エラー)が発生した場合の、対処法をストレージファイアウォール観点でエラー事]]>

403 エラーが発生し Azure ストレージ アカウント内のコンテンツにアクセスできない 2026-04-20T03:45:50.525Z Japan Azure IaaS Core Support Team こんにちは、Azure テクニカル サポート チームです。
Virtual WAN では、仮想ハブと接続されている仮想ネットワーク、および各ブランチ (サイト間 VPN (S2S VPN)、ExpressRoute、およびユーザー VPN (P2S VPN)) 間の接続が可能になります。
(以下、この仮想ネットワークや各ブランチと仮想ハブとの接続を、「接続」と表記します。)
この接続において、仮想ハブ内にデプロイした Azure Firewall を経由させることができますので、ご紹介させていただきます。

目次

  • はじめに - セキュリティ保護付き仮想ハブとは -
  • セキュリティ保護付き仮想ハブをご利用いただくメリット
  • ルーティング インテントとルーティング ポリシーの構成方法について
  • ルーティング インテントとルーティング ポリシーを構成した後の通信確認例
  • 最後に

はじめに - セキュリティ保護付き仮想ハブとは -

Virtual WAN においては、上述したとおり複数の接続間で通信が可能となる反面、例えば、

  • ある Vnet は他の Vnet とは接続させたいがブランチとは接続させたくない
  • ある Vnet は他の Vnet とは接続させたくないがブランチとは接続したい

といった、お互いに接続したい要件と接続させたくない要件が両立する場合など、仮想ハブを介した接続同士で通信制御を行いたい場合は考慮が必要となります。
また、各接続からインターネットに接続するにあたり、一度 Azure Firewall を経由させることで、通信のフィルターを行いたい、というご要件もあるかと存じます。

上述したようなご要件に対応する方法として、Virtual WAN をご利用いただき、かつ仮想ハブとしてセキュリティ保護付き仮想ハブをご利用いただけます。
セキュリティ保護付き仮想ハブとは、ハブとスポークの構成を提供する仮想ハブとしての機能に加え、Azure Firewall の機能、
および Azure Firewall や Network Virtual Appliance (NVA) を経由するためのルーティング機能がセットになっている仮想ハブとなります。

セキュリティ保護付き仮想ハブを用いた構成例

ひとつの Virtual WAN に一つのセキュリティ保護付き仮想ハブのみをご利用いただく場合、以下のような接続形態を提供します。
なお、複数の仮想ハブをまたがる構成においてご利用いただくことも可能ですが、ここでは一つのセキュリティ保護付き仮想ハブのみをご利用いただいている場合を例にご説明します。

構成例 1. プライベートな通信間を Azure Firewall にてフィルター

以下のような接続形態になります。

(各接続) - (仮想ハブ内の Azure Firewall) - (各接続)

■構成例 1 の図

具体的には、以下のような各通信が該当します。
・仮想ネットワーク間の接続 (V2V)
・ブランチ間の接続 (B2B)
・ブランチと仮想ネットワーク (B2V)

構成例 2. インターネットへの通信を Azure Firewall にてフィルター

以下のような接続形態になります。

(各接続) - (仮想ハブ内の Azure Firewall) - (インターネット)

■構成例 2 の図

具体的には、以下の通信が該当します。
・仮想ネットワークからインターネットに向けた接続 (V2I)
・ブランチからインターネットに向けた通信において Azure Firewall を通したい場合 (B2I) (*ご参考)

(*ご参考)
こちらの構成は、以下弊サポート発行 Blog の項目「1)Virtual WAN を利用する」に記載がございますのでご参考になさってください。
オンプレミスからのインターネット宛ての通信を Azure 経由にする方法

セキュリティ保護付き仮想ハブをご利用いただくメリット

上記のような接続形態は、セキュリティ保護付き仮想ハブをご利用いただかない Virtual WAN、または Virtual WAN そのものをご使用いただかなくても、ご要件次第ではありますが実現可能です。
では、セキュリティ保護付き仮想ハブをご利用いただくメリットは何か、というと、
一つ一つの接続に対してルーティングを独自に設定する必要がない、という点が挙げられます。

セキュリティ保護付き仮想ハブをご利用いただく際、ルーティング インテントとルーティング ポリシーを構成いただくことで、ルーティング制御も自動的に行われます。
この構成時にご指定いただくのは、仮想ハブがひとつの構成においては

・プライベート トラフィックを保護するか (上記 <形態 1> が該当します)
・インターネット トラフィックを保護するか (上記 <形態 2> が該当します)

のいずれかとなりますが、この際にルーティングをお客様で別途設定いただく必要はなく、ルーティングの制御も含めて自動的に行われます。
もし、ルーティング インテントとルーティング ポリシーをご利用いただかない場合、Azure Firewall で保護したい通信はすべてお客様でルーティングの設定をしていただくことになり、構成次第では複雑な制御が必要になり、また接続が増える等の要件変更のたびに設定が必要となります。

ルーティング インテントとルーティング ポリシーの構成方法について

ルーティング インテントとルーティング ポリシーの構成方法としては二通りの方法があり、Azure portal を介して、Virtual WAN ポータルまたは Azure Firewall Manager を使って構成できます。
仮想ハブ内に Azure Firewall をデプロイされている場合、どちらで実施いただいても同等となります。

Azure Firewall が仮想ハブにデプロイされている環境において、Virtual WAN ポータルからプライベート トラフィックを構成する際の図例は以下となります。
対象の仮想ハブを選択し、[ルーティング] の [ルーティング ポリシー] を選択し、[プライベート トラフィック] で [Azure Firewall]、[ネクスト ホップ リソース] で、当該の Azure Firewall のリソースを選択します。

■Virtual WAN ポータルからの構成図例

上記、Virtual WAN ポータルからの構成後に Azure Firewall Manager を確認すると、プライベート トラフィックが Azure Firewall を経由する構成となっていることがわかります。(Send via Azure Firewall)
併せて、仮想ハブ間 (Inter-hub) の通信も Azure Firewall を経由することがわかります。

■Azure Firewall Manager における表示例

ルーティング インテントとルーティング ポリシーを構成した後の通信確認例

試しに Vnet 間の通信を行ってみると、仮想ハブ内の Azure Firewall を経由していることがわかります。
仮想ハブ内の Azure Firewall を経由していることの確認方法は何点か考えられますが、Azure Firewall の診断ログを確認いただけます。
ログを確認するには、事前に診断ログを記録するように設定いただく必要はございますが、運用管理上の観点からも推奨となります。

■診断ログ確認画面例

最後に

今回は、Virtual WAN をご利用いただき Any to Any の接続を実現しつつ、かつ Azure Firewall を経由させて通信のフィルターを実現するにあたってのセキュリティ保護付き仮想ハブの概要、およびルーティング インテントとルーティング ポリシーについてご説明いたしました。
今回は概要ご説明のため、比較的簡易な仮想ハブ 1 つの構成についてご説明いたしましたが、さらに複雑な構成を含む、ルーティング インテントとルーティング ポリシーについての詳細は以下公開文書をご確認ください。

Virtual WAN ハブのルーティング インテントとルーティング ポリシーの構成方法

]]> https://jpaztech.github.io/blog/network/vwan-vhub-firewall-overview/ 2025-01-05T15:00:00.000Z こんにちは、Azure テクニカル サポート チームです。
Virtual WAN では、仮想ハブと接続されている仮想ネットワーク、および各ブランチ (サイト間 VPN (S2S VPN)、ExpressRoute、およびユーザー VPN (P2S VPN)) 間の]]> Azure 仮想ハブに Azure Firewall を配置する構成について 2026-04-20T03:45:50.467Z Japan Azure IaaS Core Support Team

こんにちは、Azure テクニカル サポート チームです。
この記事では Azure VirtualWAN を効果的に利用いただくためのアイデアをご提供させていただきます。

VWAN はハブ&スポーク VNET 構成を手軽にかつ、大規模に実現することができるサービスです。
複数の仮想ネットワークをハブ&スポークで接続するだけでなく、 ExpressRoute や Site-to-Site 接続によるオンプレミス接続、Point-to-Site 接続によるクライアントアクセスだけでなく、Azure Firewall や NVA を配置する等の高機能を提供することもできる、 Azure Network の最終形のようなサービスです。

img1

VWAN は高機能で様々なユースケースに対応することができる柔軟性がある反面、機能面、設定面が複雑でわかりにくいというご意見もございました。今回のドキュメントでは、シンプルな構成であっても VWAN を有効に活用できるケースをご紹介いたします。

1.1 VWAN アーキテクチャと特徴

VWAN standard は1つ以上の仮想ハブ( vHUB ) を含みます。vHUB を作成すると内部的に仮想ネットワークと vHUB ルータが配置されます。その他、必要に応じて以下のリソースを配置して機能を拡張することができ、オンプレミスサイトへの接続や、セキュリティソリューションを vHUB 内にデプロイが可能です。

  1. ExpressRoute ゲートウェイ
  2. Site-to-Site ゲートウェイ
  3. Point-to-Site ゲートウェイ
  4. Azure Firewall ( 以降 AzFW )
  5. NVA ( Network Virtual Appliance )

vHUB は複数作成することができ、vHUB には VM などリソースを配置されたスポークVNET を接続します。同一 vHUB に接続する異なる VNET 上のリソースは vHUB ルータ経由で通信することができます ( VNet 間のトランジット接続 )

img2

また、 同一 VWAN リソース内の vHUB リソース同士はデフォルト状態で接続されており、明示的な設定なしに異なる vHUB に接続するスポーク VNET 上のリソース間で通信ができます。

VWAN を活用することで簡単に実現できる構成例
1.VNET ハブ&スポーク構成
通常、VNET でハブ&スポーク 構成ではハブ VNET に AzFWもしくは NVA を配置し、スポーク VNET 側では UDR を設定する必要がありますが、設定・管理の手間が発生いたします。
VWAN を使用する場合には vHUB がハブ VNET + AzFW/NVA の代わりとなるため、簡単かつシンプルにハブ&スポーク構成を実現できます。

img3

2. VWAN 活用例

2.1 大規模 VNET 構成例

一般的に複数 VNET 間で通信が必要になる環境では、 VNET 間をメッシュで VNET Peering するか、ハブ&スポーク構成をとる必要があります。
しかしながら、どちらの方法でも設定工数が多く、また VNET 追加が発生した場合の作業が多いなど設定管理面で課題があります。

構成 1. VNET をフルメッシュで VNET Peering する

img4

課題点 VNET ピアリング数が多く、新たに VNET を追加する場合にも設定工数がかかる

構成 2. ハブ VNET を作成して AzFW, NVA を配置し、ハブ&スポーク構成を作る

img5

課題点 ハブ VNET 上に AzFW, NVA が必須となり、またスポークVNET 側にはそれぞれユーザ定義ルートを設定、管理する必要がある

VirtualWAN を使用することでこれらの課題点を解決し、シンプルな運用が可能です。
VirtualWAN ( Standard SKU ) では標準で仮想ハブに仮想ハブルータが配置されるため、ユーザが AzFW, NVA を仮想ハブに配置する必要がなく、
またスポーク VNET にユーザ定義ルート設定も不要であるため、 VNET 数が多い環境への対応も容易です。

img6

2.2. ExpressRoute, Site-to-Site, Point-to-Site 間のトランジットルーティング

非 VirtualWAN 環境でも 1 VNET に ExpressRoute GW, VPNGW を配置し、 ExpressRoute, サイト間接続, ポイント対サイト接続することができますが、
ExpressRoute, サイト間接続/ポイント対サイト接続の相互接続( トランジット接続 ) はできません。
Azure Route Server を追加することで ExpressRoute ⇔ サイト間接続の相互接続は可能になりますが、それでも ExpressRoute ⇔ ポイント対サイト間の接続はできません。

ご参考. ExpressRoute と Azure VPN のサポート - Azure Route Server

2.3. スポーク VNET 間、オンプレミスサイト間の通信を強制的に AzFW 経由させる

しばしば通信セキュリティ要件として、オンプレミスサイトと VNET 間の通信や、VNET 間の通信を AzFW を経由させたい、という要件がございます。
非 VirtualWAN 環境でもハブ&スポーク VNET 構成を組むことで、通信をハブ VNET 上の AzFW を経由させることは可能ではありますが、
前述の通り、 スポーク VNET にユーザ定義ルート設定が必要になり煩雑な運用が発生いたします。

VirtualWAN では、セキュリティ付き仮想ハブ機能を有効にするだけで、
仮想ハブ上に AzFW や、その他認定された NVA を配置することができます

ご参考. セキュリティ保護付き仮想ハブとは

2.4 複数リージョンにまたがる大規模 VNET 構成

VirtualWAN を使用しない場合、複数ハブ VNET を接続・運用する際のルーティング設計は非常に難しくなります。
一方、VirtualWAN では複数 vHUB を配置することができ、ハブ間を簡単に自動で接続する機能が標準で準備されております。
これにより、 VirtualWAN ユーザーはスポーク VNET やハブ VNET のルーティングを意識することなく、スポークVNET間の通信が行えます。
vHUB はどのリージョンにも配置することができ、ハブごとにゲートウェイを配置することが可能です。
これにより下記2つのメリットが期待できます。

  • オンプレミスサイトとの通信品質の改善
    オンプレミスサイトとの通信でも、地理的に近いリージョンの vHUB に接続ポイントを設けることで通信遅延を低減が可能です。

  • リージョン障害への耐性向上
    リージョン障害が発生し vHUB の一つが支障した場合でも別リージョン vHUB がオンプレミスサイトへの接続を持っていれば、
    自動的に通信が迂回し、サービス継続させることができます。
    例としては vHUB A, B, C が存在し、vHUB C 配下にスポーク VNET C が接続。vHUB A, B がオンプレミスサイトへの接続を持っている構成を想定します。
    このとき vHUB A が大規模障害により停止した場合でも、スポーク VNET C は vHUB B 経由でオンプレイスサイトとの通信を継続できます。

3. まとめ

この記事では VirtualWAN を使用するだけで簡単に実現ができる構成についてご紹介をいたしました。
VirtualWAN は高機能なサービスではございますが、シンプルに使用するだけでも強力なソリューションとなります。
今後、ご活用の機会がありましたらご検討をお願いいたします。

]]> https://jpaztech.github.io/blog/network/vwan_intro/ 2024-12-25T03:30:00.000Z

こんにちは、Azure テクニカル サポート チームです。
この記事では Azure VirtualWAN を効果的に利用いただくためのアイデアをご提供させていただきます。

VWAN はハブ&スポーク V]]>

VirtualWAN 活用について 2026-04-20T03:45:50.469Z