この記事の内容
- 2025年10月1日以降、AzureのVMからデフォルトのインターネットアウトバウンドアクセスが廃止される予定であることの続報です
- Microsoftが「デフォルトアウトバウンドアクセス」に関するドキュメントを更新し、外部IPの決定ロジックが整理されました
- Igniteにて新機能「Private Subnet」がプレビューとして登場しました
- Private Subnetを使うことで、将来の挙動を今の段階から再現・検証できます
- 既存サブネットへの後付け有効化はできないため、新規サブネット作成時に設定する必要があります
はじめに
以前の動画で紹介した「2025年10月1日以降、AzureのVMからデフォルトのインターネットアウトバウンドアクセスができなくなる」という変更について、フォローアップの情報が出てきましたので紹介します。
ドキュメントの更新内容
Microsoftが「デフォルトアウトバウンドアクセス(Default Outbound Access)」に関するドキュメントページを更新しました。このページには以下の内容が記載されています。
- 変更後に何が起こるのか
- インターネットにアクセスする際の送信元IPがどのように決定されるか(優先順位のロジック)
特に送信元IPの優先順位に関する記載は重要な情報です。ネットワーク構成を検討する際には必ず確認しておくことをおすすめします。
新機能「Private Subnet」とは
Microsoft Igniteにて、Private Subnet(プライベートサブネット) というパラメーターが新たに登場しました(現在プレビュー)。
Private Subnetとは、インターネットへの送信元IPアドレスを持たない、つまりアウトバウンドのインターネット接続を持たないサブネットのことです。
現状では、パブリックIPを持たないVMでもデフォルトのアウトバウンドアクセスによってインターネットに出ることができます。しかし2025年10月1日以降、この挙動は廃止されます。Private Subnetは、この将来の状態を今の段階から再現するための設定です。
Microsoftの説明によれば、Private Subnetを使うことでより安全なネットワーク構成を実現できるとされています。
Private Subnetの有効化方法
AzureポータルでPrivate Subnetを有効にするには、新しいサブネットを作成する際にチェックボックスをオンにします。
この設定を有効にしたサブネットに配置されたVMは、明示的にパブリックIPやNATゲートウェイなどのアウトバウンド手段を持たない限り、インターネットへ接続できなくなります。
注意点:既存サブネットへの適用はできない
Private Subnetの属性は、既存のサブネットに対して後から有効化することはできません。必ず新規サブネット作成時に設定する必要があります。
将来の挙動を検証したい場合は、新しいサブネットを作成してPrivate Subnetを有効化し、そこにVMを配置して動作確認を行う形になります。
また、指定された日付以降は、新しく作成したサブネットもこのパラメーターがデフォルトでオンになる予定です。
今から準備すべき理由
将来の変更に備えてNATゲートウェイや明示的なパブリックIPを構成していても、設定ミスがあった場合、現状では誤ってインターネットに出てしまうことがあります。
Private Subnetを使えば、設定ミスがあった際にインターネットへの接続がブロックされるため、意図した構成になっているかどうかを挙動レベルで確認できます。本番適用前の検証環境として活用するにも適した機能です。
まとめ
- 「デフォルトアウトバウンドアクセス廃止」に関するMicrosoftのドキュメントが更新され、IPの決定ロジックが明確化されました
- Igniteにて、将来の挙動を先取りできるPrivate Subnet機能がプレビューとして登場しました
- Private Subnetを有効にすると、明示的なアウトバウンド手段を持たないVMはインターネットへ接続できなくなります
- 既存サブネットへの後付け適用は不可のため、新規サブネット作成時に設定する必要があります
- 現時点ではプレビューのため、本番環境への適用は組織のポリシーに従って判断してください。しかし、将来の変更に向けた検証・準備として活用することをおすすめします