Azureサービスエンドポイント機能とは?
Azureサービスエンドポイントとは?
サービスエンドポイントとは、Azure StorageやAzure SQL Datebaseなどの仮想ネットワークに、直接デプロイ出来ないサービスを仮想ネットワーク内の特定のサブネットからのみにアクセスを制限できる機能で、各サービスが持っているファイアウォールの機能と連動して動作する事が出来ます。Azure Storageなどのファイアウォールの設定で許可するサブネットを指定するだけで利用する事が可能です。
サービスエンドポイントの利点
◆Azureサービスリソースのセキュリティ強化
利用している仮想ネットワークでサービスエンドポイントを有効にし、仮想ネットワーク規則を追加する事で、Azureサービスリソースへのアクセスを仮想ネットワークに限定する事が可能です。これをする事で、リソースへのパブリックインターネットからのアクセスを完全に排除され、仮想ネットワークからのトラフィックのみを許可する事になります。これによりサービスエンドポイント機能を有効にすることは、セキュリティの強化に繋がります。
◆Azureトラフィックのルーティングを最適化
サービスエンドポイントは、利用している仮想ネットワークからAzureのバックボーンサービス上でトラフィックを直接受け取ります。そのため、サービストラフィックに影響を与える事なく、トラフィックの監査と監視を続ける事が出来ます。
◆管理の手間がかからない
サービスエンドポイントの設定には、ネットワークアドレス交換(NAT)やゲートウェイデバイスは必要ありません。そのため、サブネット上での単純なクリックで操作する事ができ、サービスエンドポイントを維持する為の余分な手間がかかりません。
サービスエンドポイントの注意点
◆PaaSからVNETへの接続
サービスエンドポイントは、VNET内→PaaSへの一方通行になります。そのためPaaSからVNETへアクセスする際には利用することが出来ません。
◆リージョン
基本的に、同一リージョン内での構成になるため、SQLServer等のペアリージョンでフェールオーバグループを構成する場合、切替時のオペレーションの注意が必要になります。
サービスエンドポイントの設定の流れ
1,ストレージカウントのリソース画面で[ファイアウォールと仮装ネットワーク]の設定画面を開きます。
2,[+既存の仮装ネットワークを追加]をクリックして、アクセスを許可したいサブネットを選択します。
3,サービスエンドポイントを利用するために[有効化]をクリックします。
4,[追加]をクリックすることで、このサブネットからのアクセスが有効になります。
サービスエンドポイントとプライベートエンドポイントとの違いとは
では次に、仮想ネットワーク内のアクセスを限定する機能として似ているAzureの「サービスエンドポイント」と「プライベートエンドポイント」の違いについてご紹介していきます。その前に、プライベートエンドポイントの概要及び利点について簡単にご説明致します。
プライベートエンドポイントとは
プライベートエンドポイントとは、プライベートリンクを実現するための仕組みの一つで、プライベートリンクサービスにプライベートで安全に接続するネットワークインターフェイスを提供することが出来る機能のことです。
プライベートエンドポイントの利点
※以下の記事をかみ砕いてご紹介致します。
「https://docs.microsoft.com/ja-jp/azure/private-link/private-link-overview」
◆Azure プラットフォーム上のサービスへのプライベートアクセス
接続元もしくは接続先にパブリックIPアドレスを使用せずに、Azure内のサービスに仮想ネットワークを接続することが出来ます。
◆オンプレミス及びピアリングされたネットワーク
Azureで実行されているサービスに対して、オンプレミスからExpressRouteやVPNを通してプライベートアクセスすることが出来ます。
◆データ漏洩に対する保護
プライベートエンドポイントはサービス全体ではなく、PaaSリソース特定のインスタンスにマップされます。そのため他のリソースにアクセスしないようにすることができ、データ漏洩のリスクを防ぐ事が出来ます。
◆グローバルな展開
実行しているサービスと異なるリージョンの仮想ネットワークを接続する事が出来ます。
サービスエンドポイントとプライベートエンドポイントと異なる点
プライベートエンドポイントも同様、仮想ネットワーク内のアクセスを限定する機能の一つである事ができる事が分かりました。ではサービスエンドポイントとプライベートエンドポイント の違いを3点に分けてご紹介致します。
◆通信方法(to PaaS)
・サービスエンドポイント:パブリック
・プライベートエンドポイント:プライベート
◆アクセス制限(受信)
・サービスエンドポイント:リソースのファイアウォール設定
・プライベートエンドポイント:接続要求の許可/拒否
◆アクセス制限(送信)
・サービスエンドポイント:サービスエンドポイントの有効化/サービスエンドポリシーの定義
・プライベートエンドポイント:アクセス先のPaaSリソースを指定
まとめ
Azureのサービスエンドポイントについていかがでしたでしょうか。サービスエンドポイントは、Azureを使用する上でとても有意義な機能です。また、プライベートエンドポイントも同じく仮想ネットワーク内のアクセスを限定する機能を持ち、どちらも一長一短があります。是非この記事を参考にして、それぞれの特徴を理解し活用してみてください!