Azure サービスエンドポイント

サービスエンドポイント

サービスエンドポイントは、ストレージアカウント、SQL Databaseなどのサービスに対して、接続を制限するための機能。
サブネットに統合される。
サービスタグ（Microsoft.SQLなど）があらかじめ設定されていて、サブネットやネットワークインターフェースに対して設定が可能。

以下のような環境を考える。

• 仮想ネットワーク：vnet-main
  • サブネット001：subnet-001
    • 仮想マシン：vm-001
    • NIC：nic-001
    • NSG：nsg-001
  • サブネット002：subnet-002
    • 仮想マシン：vm-002
    • NIC：nic-002
    • NSG：nsg-002
  • サブネット003：subnet-003
    • 仮想マシン：vm-003
    • NIC：nic-003
    • NSG：nsg-003
• ストレージアカウント：storage-A

subnet-001、subnet--002のサービスエンドポイントに「Microsoft.Storage」と設定する。

　1. storage-Aが何も接続設定をしていない場合
　　仮想マシンvm-001、vm-002、vm-003はstorage-Aに接続できる
　　ストレージアカウントは基本的に仮想ネットワーク内、およびインターネットからのアクセスを拒否しないため
　　このとき、vm-001とvm-002はプライベートアクセス、vm-003はパブリックアクセスとなっている

　2. storage-Aがsubnet-002にのみ接続可にしていた場合
　　仮想マシンvm-001、vm-003は接続できず、vm-002は接続ができる
　　vm-001はstorage-Aの接続設定で接続が拒否される
　　vm-003はサービスタグが設定されていないため、パブリックアクセスを行おうとして拒否される

サービスエンドポイントを使用した接続は、プライベートIPを使用したプライベートアクセスとなる。
対象の仮想ネットワーク内のアドレス範囲で決定されたプライベートIPアドレスを使用して接続が行われる。
それ以外のアクセスはパブリックアクセスとなる。

サービスエンドポイントの利点としては以下。

• インターネットや関係のないサブネット内のリソースからのアクセスを制御できる
• プライベート接続になるので、セキュリティ面で安全

「仮想ネットワーク サービス エンドポイント」
https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-service-endpoints-overview