ao-iro
2020-11-22に更新

Azure プライベートエンドポイント

プライベートエンドポイント

プライベートエンドポイントは、作成した仮想ネットワーク内のプライベートDNSゾーンと統合可能な、プライベートIPアドレス。
作成すると、対象仮想ネットワークのアドレス範囲内でIPアドレスが付与され、対象仮想ネットワーク内のリソースは、プライベートエンドポイントが指すリソースへ、DNS名で接続が可能となる。
サービスエンドポイントの場合は許可されたサブネット範囲となっていたが、プライベートエンドポイントはNSGなどの設定も無視して、対象仮想ネットワーク内全般からアクセスが可能。

以下のような構成を考える。

  • 仮想ネットワーク:vnet-main
    • サブネット:subnet-001
      • 仮想マシン:vm-001
      • NIC:nic-001
      • NSG:nsg-001 ※storage-Aへのアウトバウンドを拒否
    • サブネット:subnet-002
      • 仮想マシン:vm-002
      • NIC:nic-002
      • NSG:nsg-002
  • ストレージアカウント:storage-A

storage-Aのプライベートエンドポイントをvnet-mainに作成すると、vm-001、vm-002はstorage-Aにアクセスができる。
vm-001はNSGで拒否となっているが、プライベートエンドポイントでは無効となる。
プライベートエンドポイントを設定したリソースがパブリックアクセスを拒否するかは、そのリソースの接続しだいとなる点はサービスエンドポイントと同じ。

サービスエンドポイントとの違いは、対象の仮想ネットワーク内のリソースに対してアクセス制御を行えない点。

不明点

  1. 上記のvnet-mainの他に、仮想ネットワークvnet-subが存在し、storage-Aがパブリックアクセスを拒否していた場合、vnet-sub内のリソースがstorage-Aにアクセスするためには、vnet-sub内にもプライベートエンドポイントを作成する必要があるのか?もしくは、プライベートリンクサービスを使用するのか?

「Azure プライベートエンドポイントとは」
https://docs.microsoft.com/ja-jp/azure/private-link/private-endpoint-overview

プライベートエンドポイントの利点と使いどころがいまいち...。オンプレとの接続か、プライベートリンクサービスを使うとき以外はあまり使わないものなのか?

ツイッターでシェア
みんなに共有、忘れないようにメモ
ao-iro
ao-iro

Crieitは誰でも投稿できるサービスです。 是非記事の投稿をお願いします。どんな軽い内容でも投稿できます。

また、「こんな記事が読みたいけど見つからない!」という方は是非記事投稿リクエストボードへ!

有料記事を販売できるようになりました!

こじんまりと作業ログやメモ、進捗を書き残しておきたい方はボード機能をご利用ください。
ボードとは?

関連記事

コメント

プライベートエンドポイント
不明点