仮想ネットワーク サービス エンドポイントVirtual Network service endpoints

仮想ネットワーク (VNet) サービス エンドポイントでは、仮想ネットワークのプライベート アドレス空間が拡張されます。Virtual Network (VNet) service endpoints extend your virtual network private address space. さらに、エンドポイントでは、VNet の ID が直接接続によって Azure サービスに拡張されます。The endpoints also extend the identity of your VNet to the Azure services over a direct connection. エンドポイントを使用することで、重要な Azure サービス リソースへのアクセスを仮想ネットワークのみに限定することができます。Endpoints allow you to secure your critical Azure service resources to only your virtual networks. VNet から Azure サービスへのトラフィックは常に、Microsoft Azure のバックボーン ネットワーク上に残ります。Traffic from your VNet to the Azure service always remains on the Microsoft Azure backbone network.

この機能は、次の Azure サービスとリージョンで提供されています。This feature is available for the following Azure services and regions. Microsoft.* リソースはかっこ内に示されています。The Microsoft.* resource is in parenthesis. お使いのサービスに対してサービス エンドポイントを構成する際に、サブネット側でこのリソースを有効にしてください。Enable this resource from the subnet side while configuring service endpoints for your service:

一般公開Generally available

パブリック プレビューPublic Preview

  • Azure Container Registry (Microsoft.ContainerRegistry):プレビュー公開 (Azure Container Registry を利用できる全 Azure リージョン)。Azure Container Registry (Microsoft.ContainerRegistry): Preview available in all Azure regions where Azure Container Registry is available.

最新情報については、Azure 仮想ネットワークの更新情報ページをご覧ください。For the most up-to-date notifications, check the Azure Virtual Network updates page.

主な利点Key benefits

サービス エンドポイントには次の利点があります。Service endpoints provide the following benefits:

  • Azure サービス リソースのセキュリティ強化:VNet プライベート アドレス空間は重複することがあります。Improved security for your Azure service resources: VNet private address spaces can overlap. 重複する空間を使用して、VNet を起点とするトラフィックを一意に特定することはできません。You can't use overlapping spaces to uniquely identify traffic that originates from your VNet. サービス エンドポイントは、VNet の ID をサービスまで拡張することで、Azure サービス リソースへのアクセスを仮想ネットワークに限定する機能を提供します。Service endpoints provide the ability to secure Azure service resources to your virtual network by extending VNet identity to the service. ご利用の仮想ネットワークでサービス エンドポイントを有効にしたら、仮想ネットワーク規則を追加して、Azure サービス リソースへのアクセスを仮想ネットワークに限定することができます。Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network. この規則を追加すれば、リソースへのパブリック インターネット アクセスを完全に排除し、仮想ネットワークからのトラフィックのみを許可することにより、セキュリティが強化されます。The rule addition provides improved security by fully removing public internet access to resources and allowing traffic only from your virtual network.

  • ご利用の仮想ネットワークから Azure サービスへの最適なトラフィック ルーティング:オンプレミス、仮想アプライアンス、またはその両方へのインターネット トラフィックが、ご利用の仮想ネットワーク内のすべてのルートにおいて強制されている場合、Azure サービスへのトラフィックにもそのインターネット トラフィックと同じルートが強制されます。Optimal routing for Azure service traffic from your virtual network: Today, any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances also force Azure service traffic to take the same route as the internet traffic. サービス エンドポイントを使用することで、Azure トラフィックのルーティングを最適化することができます。Service endpoints provide optimal routing for Azure traffic.

    エンドポイントは常に、ご利用の仮想ネットワークから Microsoft Azure のバックボーン ネットワーク上のサービスへのサービス トラフィックを直接受け取ります。Endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Azure のバックボーン ネットワーク上でトラフィックを維持することで、サービス トラフィックに影響を与えることなく、強制トンネリングを通じて、ご利用の仮想ネットワークからの送信インターネット トラフィックの監査と監視を続けることができます。Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound Internet traffic from your virtual networks, through forced-tunneling, without impacting service traffic. ユーザー定義のルートと強制トンネリングの詳細については、Azure 仮想ネットワーク トラフィックのルーティングに関するページを参照してください。For more information about user-defined routes and forced-tunneling, see Azure virtual network traffic routing.

  • 管理の手間がかからないシンプルな設定:ご利用の仮想ネットワークで予約済みのパブリック IP アドレスを使用することなく、IP ファイアウォールを経由して Azure リソースにアクセスできるようになりました。Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through IP firewall. サービス エンドポイントの設定には、ネットワーク アドレス変換 (NAT) またはゲートウェイ デバイスは必要ありません。There are no Network Address Translation (NAT) or gateway devices required to set up the service endpoints. サービス エンドポイントは、サブネット上での単純なクリック操作で構成できます。You can configure service endpoints through a simple click on a subnet. エンドポイントを維持するために余分なコストはかかりません。There's no additional overhead to maintaining the endpoints.

制限事項Limitations

  • この機能は、Azure Resource Manager デプロイ モデルを使ってデプロイされた仮想ネットワークでのみ使用できます。The feature is available only to virtual networks deployed through the Azure Resource Manager deployment model.
  • エンドポイントは、Azure 仮想ネットワークに構成されたサブネット上で有効になります。Endpoints are enabled on subnets configured in Azure virtual networks. エンドポイントは、オンプレミスから Azure サービスへのトラフィックには使用できません。Endpoints can't be used for traffic from your premises to Azure services. 詳細については、「オンプレミスから Azure サービスへのアクセスの保護」を参照してください。For more information, see Secure Azure service access from on-premises
  • Azure SQL の場合、サービス エンドポイントは、仮想ネットワークのリージョン内の Azure サービス トラフィックにのみ適用されます。For Azure SQL, a service endpoint applies only to Azure service traffic within a virtual network's region. Azure Storage では、仮想マシンをデプロイするペアになっているリージョンを含むようにエンドポイントを拡張して、読み取りアクセス geo 冗長ストレージ (RA-GRS) および geo 冗長ストレージ (GRS) のトラフィックをサポートできます。For Azure Storage, endpoints also extend to include paired regions where you deploy the virtual network to support Read-Access Geo-Redundant Storage (RA-GRS) and Geo-Redundant Storage (GRS) traffic. 詳細については、「Azure のペアになっているリージョン」をご覧ください。For more information, see Azure paired regions.
  • Azure Data Lake Storage (ADLS) Gen 1 では、VNet 統合機能は同じリージョン内の仮想ネットワークでのみ利用できます。For Azure Data Lake Storage (ADLS) Gen 1, the VNet Integration capability is only available for virtual networks within the same region. また、ADLS Gen1 の仮想ネットワーク統合では、仮想ネットワークと Azure Active Directory (Azure AD) との間で仮想ネットワーク サービス エンドポイント セキュリティを利用して、アクセス トークン内に追加のセキュリティ要求が生成されることにご注意ください。Also note that virtual network integration for ADLS Gen1 uses the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. これらの要求は、ご利用の Data Lake Storage Gen1 アカウントに対して仮想ネットワークを認証し、アクセスを許可するために使用されます。These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. サービス エンドポイントをサポートするサービスの下にリストされている Microsoft.AzureActiveDirectory タグは、ADLS Gen 1 へのサービス エンドポイントをサポートするためだけに使用されます。The Microsoft.AzureActiveDirectory tag listed under services supporting service endpoints is used only for supporting service endpoints to ADLS Gen 1. サービス エンドポイントは Azure AD によってネイティブにサポートされていません。Azure AD doesn't support service endpoints natively. Azure Data Lake Store Gen 1 の VNet 統合の詳細については、Azure Data Lake Storage Gen1 のネットワーク セキュリティに関するページを参照してください。For more information about Azure Data Lake Store Gen 1 VNet integration, see Network security in Azure Data Lake Storage Gen1.

Azure サービスへのアクセスを仮想ネットワークに限定するSecure Azure services to virtual networks

  • 仮想ネットワーク サービス エンドポイントは、ご利用の仮想ネットワークの ID を Azure サービスに提供します。A virtual network service endpoint provides the identity of your virtual network to the Azure service. ご利用の仮想ネットワークでサービス エンドポイントを有効にしたら、仮想ネットワーク規則を追加して、Azure サービス リソースへのアクセスを仮想ネットワークに限定することができます。Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network.

  • 現在、仮想ネットワークからの Azure サービス トラフィックは、パブリック IP アドレスを発信元 IP アドレスとして使用します。Today, Azure service traffic from a virtual network uses public IP addresses as source IP addresses. サービス エンドポイントを使用すると、サービス トラフィックは、仮想ネットワークから Azure サービスにアクセスするときに、仮想ネットワークのプライベート アドレスを発信元 IP アドレスとして使用するよう切り替えます。With service endpoints, service traffic switches to use virtual network private addresses as the source IP addresses when accessing the Azure service from a virtual network. この切り替えにより、IP ファイアウォールで使用される予約済みのパブリック IP アドレスを使用することなく、サービスにアクセスすることができます。This switch allows you to access the services without the need for reserved, public IP addresses used in IP firewalls.

    注意

    サービス エンドポイントを使用すると、サービス トラフィックのサブネット内にある仮想マシンの発信元 IP アドレスは、パブリック IPv4 アドレスの使用からプライベート IPv4 アドレスの使用に切り替わります。With service endpoints, the source IP addresses of the virtual machines in the subnet for service traffic switches from using public IPv4 addresses to using private IPv4 addresses. この切り換えにより、Azure のパブリック IP アドレスを使用している既存の Azure サービスのファイアウォール規則が動作を停止します。Existing Azure service firewall rules using Azure public IP addresses will stop working with this switch. サービス エンドポイントを設定する前に、Azure サービスのファイアウォール規則でこの切り替えが考慮されていることを確認してください。Please ensure Azure service firewall rules allow for this switch before setting up service endpoints. サービス エンドポイントの構成中にこのサブネットからのサービス トラフィックが一時的に中断される場合もあります。You may also experience temporary interruption to service traffic from this subnet while configuring service endpoints.

オンプレミスから Azure サービスへのアクセスの保護Secure Azure service access from on-premises

既定では、仮想ネットワークからのアクセスに限定された Azure サービス リソースは、オンプレミスのネットワークからはアクセスできません。By default, Azure service resources secured to virtual networks aren't reachable from on-premises networks. オンプレミスからのトラフィックを許可する場合は、オンプレミスまたは ExpressRoute からのパブリック IP アドレス (通常は NAT) を許可する必要もあります。If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. これらの IP アドレスは、Azure サービス リソースの IP ファイアウォール構成を使用して追加できます。You can add these IP addresses through the IP firewall configuration for Azure service resources.

ExpressRoute:パブリック ピアリングまたは Microsoft ピアリングのためにオンプレミスから ExpressRoute を使用している場合、使用している NAT IP アドレスを識別する必要があります。ExpressRoute: If you're using ExpressRoute for public peering or Microsoft peering from your premises, you'll need to identify the NAT IP addresses that you're using. パブリック ピアリングの場合、既定で、Azure サービスのトラフィックが Microsoft Azure のネットワーク バックボーンに入ったときに適用される 2 つの NAT IP アドレスが各 ExpressRoute 回線に使用されます。For public peering, each ExpressRoute circuit uses two NAT IP addresses, by default, applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Microsoft ピアリングの場合、NAT IP アドレスは、ユーザーが指定するか、サービス プロバイダーが指定します。For Microsoft peering, the NAT IP addresses are either customer provided or provided by the service provider. サービス リソースへのアクセスを許可するには、リソースの IP ファイアウォール設定でこれらのパブリック IP アドレスを許可する必要があります。 To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. パブリック ピアリングの ExpressRoute 回線の IP アドレスを確認するには、Azure portal から ExpressRoute のサポート チケットを開いてください。 To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. ExpressRoute のパブリック ピアリングおよび Microsoft ピアリングの NAT の詳細については、ExpressRoute の NAT 要件に関するページを参照してください。For more information about NAT for ExpressRoute public and Microsoft peering, see ExpressRoute NAT requirements.

Azure サービスへのアクセスを仮想ネットワークに限定する

構成Configuration

  • 仮想ネットワーク内のサブネット上でサービス エンドポイントを構成します。Configure service endpoints on a subnet in a virtual network. エンドポイントは、そのサブネット内で実行されているどの種類のコンピューティング インスタンスでも動作します。Endpoints work with any type of compute instances running within that subnet.
  • サブネット上のサポートされているすべての Azure サービス (Azure Storage や Azure SQL Database など) に対して複数のサービス エンドポイントを構成できます。You can configure multiple service endpoints for all supported Azure services (Azure Storage or Azure SQL Database, for example) on a subnet.
  • Azure SQL Database の場合、仮想ネットワークは、Azure サービス リソースと同じリージョンにある必要があります。For Azure SQL Database, virtual networks must be in the same region as the Azure service resource. GRS および RA-GRS Azure Storage アカウントを使用している場合、プライマリ アカウントは仮想ネットワークと同じリージョンにある必要があります。If using GRS and RA-GRS Azure Storage accounts, the primary account must be in the same region as the virtual network. その他のすべてのサービスでは、任意のリージョンで、Azure サービス リソースへのアクセスを仮想ネットワークに限定できます。For all other services, you can secure Azure service resources to virtual networks in any region.
  • エンドポイントが構成されている仮想ネットワークのサブスクリプションは、Azure サービス リソースのサブスクリプションと同じでも違っていてもかまいません。The virtual network where the endpoint is configured can be in the same or different subscription than the Azure service resource. エンドポイントを設定して Azure サービスのセキュリティを保護するために必要なアクセス許可の詳細については、プロビジョニングに関するページを参照してください。For more information on permissions required for setting up endpoints and securing Azure services, see Provisioning.
  • サポートされているサービスについては、サービス エンドポイントを使って新規または既存のリソースへのアクセスを仮想ネットワークに限定することができます。For supported services, you can secure new or existing resources to virtual networks using service endpoints.

考慮事項Considerations

  • サービス エンドポイントを有効にすると、サブネット内の仮想マシンの接続元 IP アドレスは切り替わります。After enabling a service endpoint, the source IP addresses of virtual machines in the subnet switch. 接続元 IP アドレスは、そのサブネットからサービスと通信するときに、パブリック IPv4 アドレスからプライベート IPv4 アドレスを使用するように切り替わります。The source IP addresses switch from using public IPv4 addresses to using their private IPv4 address when communicating with the service from that subnet. この切り替え中に、サービスに接続中の既存の TCP 接続はすべて閉じられます。Any existing open TCP connections to the service are closed during this switch. サービスに接続するサブネットのサービス エンドポイントを有効または無効にするときは、重要なタスクが実行されていないことを確認してください。Ensure that no critical tasks are running when enabling or disabling a service endpoint to a service for a subnet. また、この IP アドレスの切り替えの後に、ご利用のアプリケーションが自動的に Azure サービスに接続できることを確認してください。Also, ensure that your applications can automatically connect to Azure services after the IP address switch.

    IP アドレスの切り替えが影響するのは、ご利用の仮想ネットワークからのサービス トラフィックのみです。The IP address switch only impacts service traffic from your virtual network. 仮想マシンに割り当てられたパブリック IPv4 アドレスとの間でやりとりされる他のトラフィックへの影響はありません。There's no impact to any other traffic addressed to or from the public IPv4 addresses assigned to your virtual machines. Azure サービスについては、Azure のパブリック IP アドレスを使用する既存のファイアウォール ルールがある場合、これらのルールは仮想ネットワークのプライベート アドレスへの切り替え時に停止します。For Azure services, if you have existing firewall rules using Azure public IP addresses, these rules stop working with the switch to virtual network private addresses.

  • サービス エンドポイントを使用しても、Azure サービスの DNS エントリは変わらず、引き続き Azure サービスに割り当てられているパブリック IP アドレスに解決されます。With service endpoints, DNS entries for Azure services remain as-is today and continue to resolve to public IP addresses assigned to the Azure service.

  • ネットワーク セキュリティ グループ (NSG) でのサービス エンドポイントの使用:Network security groups (NSGs) with service endpoints:

    • 既定では、NSG は送信インターネット トラフィックを許可し、VNet から Azure サービスへのトラフィックも許可します。By default, NSGs allow outbound internet traffic and also allow traffic from your VNet to Azure services. このトラフィックは、サービス エンドポイントでも同じように機能します。This traffic continues to work with service endpoints as is.
    • すべての送信インターネット トラフィックを拒否して特定の Azure サービスへのトラフィックだけを許可する場合は、NSG のサービス タグを使います。If you want to deny all outbound internet traffic and allow only traffic to specific Azure services, you can do so using service tags in your NSGs. NSG の規則で、サポートされている Azure サービスを接続先として指定することができます。また、各タグの基になる IP アドレスのメンテナンスは Azure によって提供されます。You can specify supported Azure services as destination in your NSG rules and Azure also provides the maintenance of IP addresses underlying each tag. 詳細については、NSG の Azure サービス タグに関するページをご覧ください。For more information, see Azure Service tags for NSGs.

シナリオScenarios

  • ピアリングされた仮想ネットワーク、接続された仮想ネットワーク、または複数の仮想ネットワーク:Azure サービスへのアクセスを 1 つの仮想ネットワーク内または複数の仮想ネットワークにまたがる複数のサブネットに限定するには、サブネットごとに個別にサービス エンドポイントを有効にして、Azure サービス リソースへのアクセスをこれらのサブネットに限定します。Peered, connected, or multiple virtual networks: To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, you can enable service endpoints on each of the subnets independently, and secure Azure service resources to all of the subnets.
  • 仮想ネットワークから Azure サービスへの送信トラフィックのフィルタリング:仮想ネットワークから Azure サービスに送信されるトラフィックを検査またはフィルター処理する場合は、仮想ネットワーク内にネットワーク仮想アプライアンスをデプロイします。Filtering outbound traffic from a virtual network to Azure services: If you want to inspect or filter the traffic sent to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. その後、ネットワーク仮想アプライアンスがデプロイされているサブネットにサービス エンドポイントを適用し、このサブネットのみに Azure サービス リソースへのアクセスを限定します。You can then apply service endpoints to the subnet where the network virtual appliance is deployed, and secure Azure service resources only to this subnet. このシナリオは、ネットワーク仮想アプライアンス フィルタリングを使用して、ご利用の仮想ネットワークから Azure サービスへのアクセスを特定の Azure リソースにのみ制限する場合に役立ちます。This scenario might be helpful if you want use network virtual appliance filtering to restrict Azure service access from your virtual network only to specific Azure resources. 詳細については、ネットワーク仮想アプライアンスを持つエグレスに関するページを参照してください。For more information, see egress with network virtual appliances.
  • Azure リソースへのアクセスを仮想ネットワークに直接デプロイされたサービスに限定する:さまざまな Azure サービスを仮想ネットワーク内の特定のサブネットに直接デプロイできます。Securing Azure resources to services deployed directly into virtual networks: You can directly deploy various Azure services into specific subnets in a virtual network. 管理されたサービスのサブネット上にサービス エンドポイントを設定することで、Azure サービス リソースへのアクセスを管理されたサービスのサブネットに限定することができます。You can secure Azure service resources to managed service subnets by setting up a service endpoint on the managed service subnet.
  • Azure の仮想マシンからのディスク トラフィック:マネージドおよびアンマネージド ディスクの仮想マシン ディスク トラフィックは、Azure Storage のサービス エンドポイントのルーティング変更の影響を受けません。Disk traffic from an Azure virtual machine: Virtual Machine Disk traffic for managed and unmanaged disks isn't affected by service endpoints routing changes for Azure Storage. このトラフィックには diskIO と、マウントおよびマウント解除が含まれます。This traffic includes diskIO as well as mount and unmount. サービス エンドポイントと Azure Storage ネットワーク規則を使用して、ページ BLOB への REST アクセスを選択したネットワークに制限することができます。You can limit REST access to page blobs to select networks through service endpoints and Azure Storage network rules.

ロギングおよびトラブルシューティングLogging and troubleshooting

特定のサービスに対してサービス エンドポイントを構成したら、そのサービス エンドポイントのルートが有効であることを次の方法で検証します。Once you configure service endpoints to a specific service, validate that the service endpoint route is in effect by:

  • サービスの診断で任意のサービス要求の発信元 IP アドレスを検証します。Validating the source IP address of any service request in the service diagnostics. サービス エンドポイントを使った新しい要求では、ご利用の仮想ネットワークから要求元のクライアントに割り当てられた仮想ネットワークのプライベート IP アドレスとして、要求の発信元 IP アドレスが表示されます。All new requests with service endpoints show the source IP address for the request as the virtual network private IP address, assigned to the client making the request from your virtual network. エンドポイントを使用しない場合、このアドレスは Azure のパブリック IP アドレスになります。Without the endpoint, the address is an Azure public IP address.
  • サブネット内の任意のネットワーク インターフェイス上に有効なルートを表示する。Viewing the effective routes on any network interface in a subnet. サービスへのルートでは次のことを確認できます。The route to the service:
    • 各サービスのアドレス プレフィックス範囲へのより詳細な既定のルート表示。Shows a more specific default route to address prefix ranges of each service
    • VirtualNetworkServiceEndpoint に存在する nextHopTypeHas a nextHopType of VirtualNetworkServiceEndpoint
    • 任意の強制トンネリングのルートに比べ、より直接的なサービスへの接続が実施されていること。Indicates that a more direct connection to the service is in effect compared to any forced-tunneling routes

注意

サービス エンドポイントのルートは、アドレス プレフィックスが Azure サービスのものと一致するすべての BGP または UDR のルートをオーバーライドします。Service endpoint routes override any BGP or UDR routes for the address prefix match of an Azure service. 詳細については、有効なルートについてのトラブルシューティングに関するページを参照してください。For more information, see troubleshooting with effective routes.

プロビジョニングProvisioning

サービス エンドポイントは、仮想ネットワークへの書き込みアクセス権を持つユーザーが仮想ネットワーク上で個別に構成できます。Service endpoints can be configured on virtual networks independently by a user with write access to a virtual network. Azure サービス リソースへのアクセスを VNet に限定するには、ユーザーが、追加されたサブネットの Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action へのアクセス許可を持っている必要があります。To secure Azure service resources to a VNet, the user must have permission to Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the added subnets. 組み込みのサービス管理者ロールには、既定でこのアクセス許可が含まれています。The built-in service administrator roles include this permission by default. アクセス許可を変更するには、カスタム ロールを作成します。You can modify the permission by creating custom roles.

組み込みロールの詳細については、「Azure リソースの組み込みロール」を参照してください。For more information about built-in roles, see Built-in roles for Azure resources. 特定のアクセス許可をカスタム ロールに割り当てる方法の詳細については、「Azure リソースのカスタム ロール」を参照してください。For more information about assigning specific permissions to custom roles, see Custom roles for Azure resources.

仮想ネットワークと Azure サービス リソースのサブスクリプションは、同じでも異なっていてもかまいません。Virtual networks and Azure service resources can be in the same or different subscriptions. 仮想ネットワークと Azure サービス リソースのサブスクリプションが異なる場合、リソースは同じ Active Directory (AD) テナントの下に置かれている必要があります。If the virtual network and Azure service resources are in different subscriptions, the resources must be under the same Active Directory (AD) tenant.

料金と制限Pricing and limits

サービス エンドポイントの使用に追加料金はかかりません。There's no additional charge for using service endpoints. 現時点では、Azure サービス (Azure Storage、Azure SQL Database など) の現在の価格モデルが適用されます。The current pricing model for Azure services (Azure Storage, Azure SQL Database, etc.) applies as-is today.

仮想ネットワーク内のサービス エンドポイントの合計数に制限はありません。There's no limit on the total number of service endpoints in a virtual network.

特定の Azure サービス (Azure Storage アカウントなど) では、リソースのセキュリティ保護に使用されるサブネットの数に制限が適用される場合があります。Certain Azure services, such as Azure Storage Accounts, may enforce limits on the number of subnets used for securing the resource. 詳細については、「次のステップ」セクションの各種サービスに関するドキュメントを参照してください。Refer to the documentation for various services in the Next steps section for details.

VNet サービス エンドポイント ポリシーVNet service endpoint policies

VNet サービス エンドポイント ポリシーを使用すると、Azure サービスへの仮想ネットワーク トラフィックをフィルター処理できます。VNet service endpoint policies allow you to filter virtual network traffic to Azure services. このフィルターでは、サービス エンドポイント経由の特定の Azure サービス リソースだけが許可されます。This filter allows only specific Azure service resources over service endpoints. サービス エンドポイント ポリシーでは、Azure サービスへの仮想ネットワーク トラフィックに対する詳細なアクセス制御が提供されます。Service endpoint policies provide granular access control for virtual network traffic to Azure services. 詳細については、「仮想ネットワーク サービス エンドポイント ポリシー」を参照してください。For more information, see Virtual Network Service Endpoint Policies.

FAQFAQs

FAQ については、仮想ネットワーク サービス エンドポイントの FAQ に関するページを参照してください。For FAQs, see Virtual Network Service Endpoint FAQs.

次の手順Next steps