この記事のポイント
同一リージョン内のVNet間通信にはVNetピアリングが第一候補。VPN Gatewayより低遅延・高帯域幅で、ゲートウェイコストも不要なためコスト面でも有利- 複数VNetの管理にはハブアンドスポーク構成を採用すべき。共有サービスをハブVNetに集約し、ゲートウェイトランジットで各スポークからオンプレミス接続を共有できる
- アドレス空間が重複するVNetの接続には2025年GAのサブネットピアリングが有効。重複しないサブネットだけを選択してピアリングでき、既存設計を変更せずに接続を実現できる
- グローバルVNetピアリングではBasic Load Balancerの使用は避けるべき。フロントエンドIPへの通信がサポートされないため、Standard Load Balancerへの移行が必須となる
- リージョン間で暗号化が必要ならExpressRouteまたはVPN Gatewayを選ぶのが最適。VNetピアリング自体にはネイティブ暗号化がなく、機密データの越境通信にはVNet暗号化の追加設定が不可欠
Microsoft MVP・AIパートナー。LinkX Japan株式会社 代表取締役。東京工業大学大学院にて自然言語処理・金融工学を研究。NHK放送技術研究所でAI・ブロックチェーンの研究開発に従事し、国際学会・ジャーナルでの発表多数。経営情報学会 優秀賞受賞。シンガポールでWeb3企業を創業後、現在は企業向けAI導入・DX推進を支援。
複数の仮想ネットワーク(VNet)を運用していると、ネットワーク間の通信をどう設計するかが大きな課題になります。
VPN Gatewayを使う方法もありますが、帯域幅やレイテンシに制約が出るケースも少なくありません。
Azure仮想ネットワークピアリングは、Microsoftのバックボーンネットワークを使って2つ以上のVNetを直接接続する機能です。
パブリックインターネットを経由しないため、高帯域幅・低遅延・プライベート通信を同時に実現できます。
本記事では、Azure仮想ネットワークピアリングの基本から、2025年にGAとなったサブネットピアリング、VPN Gateway・ExpressRouteとの比較、料金体系、利用時の注意点までを体系的に解説します。
✅Microsoft 365 Copilotの最新エージェント機能「Copilot Cowork」については、以下の記事をご覧ください。
Copilot Coworkとは?機能や料金、Claude Coworkとの違いを解説
目次
Azure仮想ネットワークピアリングとは
Azure仮想ネットワークピアリング(VNet Peering)は、Azure上の2つ以上の仮想ネットワーク(VNet)をシームレスに接続する機能です。ピアリングされたVNet同士は、接続の観点では1つのネットワークのように振る舞います。
ピアリングされたVNet間のトラフィックは、Microsoftのプライベートバックボーンインフラストラクチャを介して直接ルーティングされます。パブリックインターネットを経由しないため、ゲートウェイや暗号化を別途用意しなくても高速でプライベートな通信が可能です。
この仕組みを活用することで、複数のプロジェクトや部門ごとにVNetを分けて管理しつつ、必要なリソース間だけ通信を許可するネットワーク設計が実現します。大規模な企業システムや、開発環境・本番環境を分離しながら一部のリソースを共有したいケースで特に効果を発揮します。
ピアリングの作成時や作成後に、どちらの仮想ネットワークのリソースにもダウンタイムは発生しません。さらに、ピアリング中のVNetでもアドレス空間のサイズ変更がダウンタイムなしで行えるようになっています。
Azure仮想ネットワークピアリングのメリット
Azure仮想ネットワークピアリングを導入することで得られる主なメリットを3つ紹介します。
高帯域幅と低遅延
ピアリングされたVNet間の通信は、Azureのバックボーンネットワークを直接利用します。同一リージョン内でピアリングされたVNet間のネットワーク遅延は、単一のVNet内の遅延と同等です。
帯域幅の上限もピアリング自体には設けられておらず、仮想マシンのサイズに応じた最大ネットワーク帯域幅がそのまま適用されます。大量のデータ転送やリアルタイム処理を求めるアプリケーションにとって、この特性は大きな強みです。
セキュリティの強化
ピアリングされたVNet間のトラフィックはMicrosoftのプライベートバックボーン上で完結し、パブリックインターネットには一切出ません。
さらに、ネットワークセキュリティグループ(NSG)をピアリングされたVNetに適用することで、特定のサブネットやリソースへのアクセスを細かく制御できます。ネットワーク間でリソースを分離しつつ、必要な通信だけを許可する設計が可能です。
柔軟性とスケーラビリティの向上
Azure仮想ネットワークピアリングは、異なるサブスクリプション、Microsoft Entraテナント、デプロイモデル、Azureリージョンをまたいだ接続をサポートしています。
組織の成長や要件の変化に合わせてVNetを追加・変更し、ピアリングで接続するだけでネットワーク構成を柔軟に拡張できます。既定では1つのVNetに最大500のピアリングを設定でき、Azure Virtual Network Managerを利用すれば最大1,000まで拡張可能です。
Azure仮想ネットワークピアリングの種類
Azure仮想ネットワークピアリングには、用途に応じた3つの種類があります。以下の表で各種類の特徴を整理しました。
| 種類 | 接続範囲 | レイテンシ | 主なユースケース |
|---|---|---|---|
| 同一リージョン内ピアリング | 同じAzureリージョン内のVNet同士 | 単一VNetと同等 | 開発/本番環境の分離、マイクロサービス間通信 |
| グローバルVNetピアリング | 異なるAzureリージョン間のVNet同士 | 同一リージョンよりやや高い | 災害復旧(DR)、グローバルアプリの分散配置 |
| サブネットピアリング | VNet内の特定サブネット同士 | 同一リージョンと同等 | アドレス空間が重複するVNet間の部分接続 |
それぞれの種類について、詳しく解説します。
同一リージョン内ピアリング
同じAzureリージョン内のVNet間で行われるピアリングです。最も一般的に利用されるタイプで、設定も比較的シンプルです。
同一リージョン内でのピアリングでは、単一のVNet内と同等の遅延でリソース間が通信できるため、パフォーマンスへの影響をほぼ意識する必要がありません。開発環境と本番環境を別VNetに分離しつつ、共有サービス(DNSサーバー、監視基盤など)だけを相互にアクセスさせたい場合に適しています。
グローバルVNetピアリング
異なるAzureリージョン間のVNet同士を接続する方法です。地理的に分散したリソース間でもMicrosoftのバックボーンネットワークを介したプライベート通信が可能です。
グローバルVNetピアリングは、災害復旧(DR)シナリオやグローバルに展開されたアプリケーションで特に重要な役割を果たします。たとえば、Japan EastリージョンとUS Eastリージョンにそれぞれ配置したVNetをグローバルピアリングで接続し、リージョン間のデータレプリケーションを実現するといった構成が可能です。
サブネットピアリング
サブネットピアリングは、2025年3月にGA(一般提供)となった比較的新しい機能です。従来のVNetピアリングではVNet全体のアドレス空間がピアリング対象になりますが、サブネットピアリングではピアリングに参加する特定のサブネットだけを選択できます。
この機能が特に有効なのは以下のようなケースです。
- アドレス空間が重複するVNet間の接続
従来は不可能だったIPアドレス範囲の重複があるVNet同士でも、重複しないサブネットだけを指定してピアリングできます。
- マイクロセグメンテーション
多層アプリケーションのフロントエンド層だけを外部VNetに公開し、データベース層は非公開のまま維持するといった制御が可能です。
- デュアルスタック環境でのIPv6専用ピアリング
IPv4/IPv6の両方を持つサブネットで、IPv6アドレス空間のみでピアリングする構成にも対応しています。
サブネットピアリングの詳細はMicrosoft公式ドキュメントを参照してください。なお、各側のサブネット数は200以下(合計400以下)、Azure Virtual WANとの併用は未対応といった制限があります。
Azure仮想ネットワークピアリングの設定方法
Azure仮想ネットワークピアリングの設定は、Azure Portal・PowerShell・Azure CLIのいずれかで行えます。ここではAzure Portalを使った手順を紹介します。
-
Azure Portalで「仮想ネットワーク」と検索し、ピアリングを作成するVNetを選択します。
Azure Portalでの操作
-
左メニューの「設定」から「ピアリング」を選択し、「+ 追加」をクリックします。
-
ピアリング設定画面で、以下の情報を入力します。
- ピアリングリンク名(ローカル側)
VNet内で一意となる名前を指定します。
- ピアリングリンク名(リモート側)
リモート仮想ネットワーク側のピアリング名を入力します。
- ピアリング先のVNet
同じサブスクリプション内か、別のサブスクリプション内かを選択し、対象のVNetを指定します。
- トラフィック設定
ピアリングされたVNet間のトラフィック許可、転送トラフィックの受信許可、ゲートウェイ転送の使用などを設定します。
- 設定を確認し、「追加」をクリックしてピアリングを作成します。
ピアリングは本来「双方向の接続」であり、両方のVNetで設定が必要ですが、Azure Portalでは一方のVNetでピアリングを追加すると、自動的に相手側のVNetにもピアリングが作成されるため、手動で両方を設定する必要はありません。
ピアリングの状態が「接続済み」になれば、VNet間の通信が可能です。操作に必要な権限は「ネットワーク共同作成者」ロール、またはピアリングの作成・読み取り・削除に対応するカスタムロールです。
Azure仮想ネットワークピアリングの活用パターン
Azure仮想ネットワークピアリングを使うと、さまざまなネットワーク構成パターンを実現できます。代表的な3つの活用パターンを紹介します。
サービスチェイニング
サービスチェイニングは、ネットワークトラフィックをユーザー定義ルート(UDR)によって、ピアリングされたVNet内の仮想アプライアンス(Azure Firewall、ロードバランサー、侵入検知システムなど)へ誘導する構成です。
たとえば、すべてのトラフィックを中央のファイアウォールVNetを経由させてから他のVNetに転送することで、セキュリティポリシーの一元管理ときめ細かなトラフィック制御を実現できます。UDRでピアリングされたVNet内の仮想マシンのIPアドレスを「次ホップ」として指定することで、この構成を実装します。
ゲートウェイトランジットとオンプレミス接続
Azure仮想ネットワークピアリングは、ゲートウェイトランジットを通じてオンプレミスネットワークとの接続を効率化する役割も果たします。
ゲートウェイトランジットとは、ピアリングされたVNetのゲートウェイをリモートVNetから共有利用する仕組みです。たとえば、ハブVNetにVPN GatewayやExpressRouteゲートウェイを配置すれば、スポークVNet側にはゲートウェイを作成せずにオンプレミスとの接続を利用できます。ゲートウェイの数を減らせるため、コスト削減と運用の簡素化につながります。
ゲートウェイトランジットは、同一リージョン内ピアリングとグローバルVNetピアリングの両方でサポートされています。
オンプレミスとの接続にはVPNとExpressRouteの2つの方法があり、それぞれ特性が異なります。以下の表で比較しました。
| 比較項目 | VNetピアリング | VPN Gateway | ExpressRoute |
|---|---|---|---|
| 接続先 | Azure VNet同士 | Azure VNet同士 / オンプレミス | オンプレミス / マルチクラウド |
| 経路 | Microsoftバックボーン | インターネット経由(暗号化) | プライベート専用線 |
| 帯域幅 | 制限なし(VMサイズ依存) | SKUにより最大10 Gbps | 最大100 Gbps |
| レイテンシ | 最も低い | 中程度 | 低い |
| 暗号化 | Azure Virtual Network Encryption対応 | IPsec/IKE標準搭載 | 標準では非暗号化(MACsec対応可) |
| 初期セットアップ | 数秒 | 約30分 | 数日〜数週間(回線手配含む) |
| 課金モデル | 受信/送信データ転送量 | 時間課金 + データ転送量 | ポート料金 + データ転送量 |
VNetピアリングは高帯域幅・低遅延のAzure内通信に最適で、VPN Gatewayはコストを抑えたオンプレミス接続に適しています。高い信頼性と帯域幅が求められるエンタープライズ接続にはExpressRouteが推奨されます。選定時には、トラフィックの量、要求されるレイテンシ、暗号化要件、費用対効果を総合的に検討してください。
ハブアンドスポークネットワーク
ハブアンドスポーク構成は、中央の「ハブ」VNetと複数の「スポーク」VNetで構成されるネットワークアーキテクチャです。大規模な組織や複数のプロジェクトを管理する環境で広く採用されています。
ハブVNetにはAzure Firewall、VPN Gateway、DNSサーバーなどの共有リソースを配置し、スポークVNetには個別のワークロード(開発環境、本番環境、部門別システムなど)を配置します。Azure仮想ネットワークピアリングでハブとスポークを接続することで、共有リソースの集中管理とワークロードの分離を両立できます。
スポーク間の直接通信が必要な場合は、スポーク同士をピアリングするか、Azure Virtual Network Managerの接続構成で自動化できます。Azure Virtual Network Managerを使うと、1,000スポーク規模のハブアンドスポークトポロジの管理も効率的に行えます。
Azure仮想ネットワークピアリングの料金体系
Azure仮想ネットワークピアリングの料金は、データ転送量に基づく従量課金制です。ピアリングされたVNetの両端で受信・送信それぞれに課金されます。同一VNet内のデータ転送は無料です。
同一リージョン内ピアリングの料金
同じAzureリージョン内でのVNetピアリングには、以下の料金が適用されます。
| トラフィックタイプ | 料金 |
|---|---|
| 受信データ転送 | $0.01/GB |
| 送信データ転送 | $0.01/GB |
たとえば、Japan East内の2つのVNet間で1か月に1TBのデータをやり取りする場合、料金は約$20(受信$10 + 送信$10)です。
グローバルVNetピアリングの料金
異なるリージョン間のグローバルVNetピアリングでは、各リージョンが属する課金ゾーンに基づいて料金が決まります。
以下の表は、2026年3月時点の各ゾーンの料金です。
| トラフィックタイプ | ゾーン1 | ゾーン2 | ゾーン3 |
|---|---|---|---|
| 受信データ転送 | $0.035/GB | $0.09/GB | $0.16/GB |
| 送信データ転送 | $0.035/GB | $0.09/GB | $0.16/GB |
ゾーンの分類は以下のとおりです。
- ゾーン1
北米(US Central、East USなど)、ヨーロッパ(North Europe、West Europeなど)、カナダ、イギリス、フランス
- ゾーン2
アジア太平洋(Japan East、Japan West、East Asia、Southeast Asiaなど)、オーストラリア、インド、韓国
- ゾーン3
ブラジル(Brazil South)
Japan Eastはゾーン2に分類されるため、Japan EastからUS East(ゾーン1)へグローバルピアリングする場合、送信側はゾーン2の$0.09/GB、受信側はゾーン1の$0.035/GBが適用されます。
料金の詳細はVirtual Networkの価格ページで確認してください。
コスト最適化のポイント
VNetピアリングのコストを抑えるために、以下の点を意識した設計が有効です。
- 同一リージョン内で完結させる
グローバルピアリングは同一リージョン内ピアリングの3.5〜16倍の料金になるため、レイテンシ要件が許すなら同一リージョンにリソースを集約する方がコスト効率は良くなります。
- ゲートウェイトランジットで集約する
各VNetにVPN Gatewayを個別に作成するのではなく、ハブVNetのゲートウェイを共有利用することで、ゲートウェイの時間課金を削減できます。
- 不要なピアリングを整理する
使われなくなったピアリング接続でも、データ転送が発生していれば課金対象です。定期的にピアリングの利用状況を確認し、不要なものは削除してください。
Azure仮想ネットワークピアリング利用時の注意点
Azure仮想ネットワークピアリングを導入する際には、いくつかの制約と設計上の注意点を把握しておく必要があります。事前に理解しておくことで、ネットワーク設計の最適化とトラブルの回避につながります。
アドレス空間の重複
ピアリングするVNet間でIPアドレス空間が重複していると、従来のVNetピアリングは作成できません。ルーティングの競合を防ぐため、ネットワーク設計の初期段階で各VNetに一意のアドレス範囲を割り当てる必要があります。
ただし、2025年にGAとなったサブネットピアリングを利用すれば、アドレス空間に重複があるVNet間でも、重複しないサブネット同士を選択してピアリングできます。
トランジティブピアリングの制限
VNetピアリングはトランジティブ(推移的)ではありません。VNet AとVNet Bがピアリングされ、VNet BとVNet Cがピアリングされていても、VNet AとVNet Cの間で自動的に通信できるわけではない点に注意が必要です。
VNet AからVNet Cへの通信が必要な場合は、明示的にピアリングを作成するか、ハブVNet内のネットワーク仮想アプライアンス(NVA)を経由するルーティングを構成する必要があります。
ネットワークセキュリティグループ(NSG)の影響
ピアリングされたVNet間の通信にもNSGルールが適用されます。ピアリングを設定しただけでは、NSGによってブロックされているトラフィックは通過しません。
ピアリング後に「通信が通らない」というトラブルの多くは、NSGルールの設定漏れが原因です。ピアリング設定と合わせて、関連するNSGルールの確認を忘れないようにしてください。
スケーリングの上限
1つのVNetに設定できるピアリング数の既定の上限は500です。Azure Virtual Network Managerの接続構成を利用すれば最大1,000まで引き上げられますが、数百単位のスポークを接続する大規模設計では上限を意識したアーキテクチャ計画が必要です。
名前解決の考慮
ピアリングされたVNet間では、Azureの既定の名前解決(DNS)では相手のVNet内のリソース名を解決できません。ピアリングされたVNet間で名前解決を行うには、Azure Private DNSまたはカスタムDNSサーバーの構成が必要です。
VNetの移動制限
ピアリングが設定されたVNetは、別のリソースグループやサブスクリプションに直接移動できません。移動する場合は、先にピアリングを削除し、VNetを移動した後でピアリングを再作成する必要があります。
複数のVNetをまたいだ運用を行っている環境で、ネットワーク設計の変更に手間が取られないか不安な場合は、Azure仮想ネットワークのルーティングテーブル確認方法もあわせて確認しておくと、トラブルシューティングがスムーズになります。
VNet接続設計の知見をAI業務自動化にも活かすなら
VNetピアリングでネットワーク接続の設計・運用を手がけてきた経験は、AI業務自動化環境のネットワーク統合にもそのまま活きます。AI業務自動化ガイドでは、ネットワーク接続設計の知見を活かしたAI導入の進め方を220ページにわたって解説しています。
VNet接続設計からAI業務自動化へ
ピアリング設計の知見をAI環境に展開
VNetピアリングでネットワーク接続設計を手がけてきた経験は、AI業務自動化環境のネットワーク統合にも活きます。220ページの実践ガイドで、Microsoft環境でのAI導入を計画してみませんか。
まとめ
Azure仮想ネットワークピアリングは、Microsoftのバックボーンネットワークを活用してVNet間を高帯域幅・低遅延・プライベートに接続する機能です。同一リージョン内ピアリング、グローバルVNetピアリング、そして2025年にGAとなったサブネットピアリングの3種類を用途に応じて使い分けることで、柔軟なネットワーク設計が可能になります。
ハブアンドスポーク構成やサービスチェイニング、ゲートウェイトランジットと組み合わせれば、セキュリティの一元管理やオンプレミスとの効率的な接続も実現できます。料金は同一リージョン内で$0.01/GB、Japan East(ゾーン2)のグローバルピアリングで$0.09/GBと、データ転送量に応じた従量課金です。
まずはAzure Portalから、開発環境と本番環境など身近なVNet間でピアリングを試してみるのが第一歩です。ピアリングの作成は数秒で完了し、ダウンタイムも発生しないため、既存環境への影響を心配せずに検証を始められます。
