仮想ネットワーク サービス エンドポイントVirtual Network Service Endpoints

仮想ネットワーク (VNet) サービス エンドポイントは、直接接続によって仮想ネットワークのプライベート アドレス空間を拡張し、VNet の ID を Azure サービスに提供します。Virtual Network (VNet) service endpoints extend your virtual network private address space and the identity of your VNet to the Azure services, over a direct connection. エンドポイントを使用することで、重要な Azure サービス リソースへのアクセスを仮想ネットワークのみに限定することができます。Endpoints allow you to secure your critical Azure service resources to only your virtual networks. VNet から Azure サービスへのトラフィックは常に、Microsoft Azure のバックボーン ネットワーク上に残ります。Traffic from your VNet to the Azure service always remains on the Microsoft Azure backbone network.

この機能は、次の Azure サービスとリージョンで提供されています。This feature is available for the following Azure services and regions:

一般公開Generally available

プレビューPreview

最新情報については、Azure 仮想ネットワークの更新情報ページをご覧ください。For the most up-to-date notifications, check the Azure Virtual Network updates page.

主な利点Key benefits

サービス エンドポイントには次の利点があります。Service endpoints provide the following benefits:

  • Azure サービス リソースのセキュリティ向上: サービス エンドポイントを使用すると、Azure サービス リソースへのアクセスをご利用の仮想ネットワークに限定することができます。Improved security for your Azure service resources: With service endpoints, Azure service resources can be secured to your virtual network. サービス リソースを仮想ネットワークに限定することで、リソースへのパブリック インターネット アクセスを完全に排除し、ご利用の仮想ネットワークからのトラフィックのみを許可することにより、セキュリティが向上します。Securing service resources to a virtual network provide improved security by fully removing public Internet access to resources, and allowing traffic only from your virtual network.
  • ご利用の仮想ネットワークから Azure サービスへの最適なトラフィック ルーティング: 現在、お客様の構内および 仮想アプライアンスの両方、またはそのいずれかへのインターネット トラフィックが、ご利用の仮想ネットワーク内のすべてのルートにおいて強制されている場合 (強制トンネリング)、Azure サービス へのトラフィックにもそのインターネット トラフィックと同じルートが強制されます。Optimal routing for Azure service traffic from your virtual network: Today, any routes in your virtual network that force Internet traffic to your premises and/or virtual appliances, known as forced-tunneling, also force Azure service traffic to take the same route as the Internet traffic. サービス エンドポイントを使用することで、Azure トラフィックのルーティングを最適化することができます。Service endpoints provide optimal routing for Azure traffic.

    エンドポイントは常に、ご利用の仮想ネットワークから Microsoft Azure のバックボーン ネットワーク上のサービスへのサービス トラフィックを直接受け取ります。Endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Azure のバックボーン ネットワーク上でトラフィックを維持することで、サービス トラフィックに影響を与えることなく、強制トンネリングを通じて、ご利用の仮想ネットワークからの送信インターネット トラフィックの監査と監視を続けることができます。Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound Internet traffic from your virtual networks, through forced-tunneling, without impacting service traffic. 詳細については、ユーザー定義のルートと強制トンネリングに関するページをご覧ください。Learn more about user-defined routes and forced-tunneling.

  • 管理の手間がかからないシンプルな設定: ご利用の仮想ネットワークで予約済みのパブリック IP アドレスを使用することなく、IP ファイアウォールを経由して Azure リソースにアクセスできるようになりました。Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through IP firewall. サービス エンドポイントの設定に NAT やゲートウェイ用のデバイスは必要ありません。There are no NAT or gateway devices required to set up the service endpoints. サービス エンドポイントは、サブネット上での単純なクリック操作で構成されます。Service endpoints are configured through a simple click on a subnet. エンドポイントを維持するために余分なコストはかかりません。There is no additional overhead to maintaining the endpoints.

制限事項Limitations

  • この機能は、Azure Resource Manager デプロイ モデルを使ってデプロイされた仮想ネットワークでのみ使用できます。The feature is available only to virtual networks deployed through the Azure Resource Manager deployment model.
  • エンドポイントは、Azure 仮想ネットワークに構成されたサブネット上で有効になります。Endpoints are enabled on subnets configured in Azure virtual networks. エンドポイントは、お客様の構内から Azure サービスへのトラフィックに対しては使用できません。Endpoints cannot be used for traffic from your premises to Azure services. 詳細については、「オンプレミスから Azure サービスへのアクセスの保護」をご覧ください。For more information, see Securing Azure service access from on-premises
  • Azure SQL の場合、サービス エンドポイントは、仮想ネットワークのリージョン内の Azure サービス トラフィックにのみ適用されます。For Azure SQL, a service endpoint applies only to Azure service traffic within a virtual network's region. Azure Storage の場合、RA-GRS および GRS のトラフィックをサポートするには、仮想ネットワークのデプロイ先のリージョンとペアになっているリージョンを含めるようにエンドポイントも拡張します。For Azure Storage, to support RA-GRS and GRS traffic, endpoints also extend to include paired regions where the virtual network is deployed. Azure のペアになっているリージョンの詳細をご覧ください。Learn more about Azure paired regions..

Azure サービスへのアクセスを仮想ネットワークに限定するSecuring Azure services to virtual networks

  • 仮想ネットワーク サービス エンドポイントは、ご利用の仮想ネットワークの ID を Azure サービスに提供します。A virtual network service endpoint provides the identity of your virtual network to the Azure service. ご利用の仮想ネットワークでサービス エンドポイントが有効になったら、Azure サービス リソースに仮想ネットワーク ルールを追加することで、このリソースへのアクセスを仮想ネットワークに限定することができます。Once service endpoints are enabled in your virtual network, you can secure Azure service resources to your virtual network by adding a virtual network rule to the resources.
  • 現在、仮想ネットワークからの Azure サービス トラフィックは、パブリック IP アドレスを発信元 IP アドレスとして使用します。Today, Azure service traffic from a virtual network uses public IP addresses as source IP addresses. サービス エンドポイントを使用すると、サービス トラフィックは、仮想ネットワークから Azure サービスにアクセスするときに、仮想ネットワークのプライベート アドレスを発信元 IP アドレスとして使用するよう切り替えます。With service endpoints, service traffic switches to use virtual network private addresses as the source IP addresses when accessing the Azure service from a virtual network. この切り替えにより、IP ファイアウォールで使用される予約済みのパブリック IP アドレスを使用することなく、サービスにアクセスすることができます。This switch allows you to access the services without the need for reserved, public IP addresses used in IP firewalls.
  • オンプレミスから Azure サービスへのアクセスの保護:Securing Azure service access from on-premises:

    既定では、仮想ネットワークからのアクセスに限定された Azure サービス リソースは、オンプレミスのネットワークからはアクセスできません。By default, Azure service resources secured to virtual networks are not reachable from on-premises networks. オンプレミスからのトラフィックを許可する場合は、オンプレミスまたは ExpressRoute からのパブリック IP アドレス (通常は NAT) を許可する必要もあります。If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. これらの IP アドレスは、Azure サービス リソースの IP ファイアウォール構成を通じて追加できます。These IP addresses can be added through the IP firewall configuration for Azure service resources.

    ExpressRoute: パブリック ピアリングまたは Microsoft ピアリングのためにオンプレミスから ExpressRoute を使用している場合、使用されている NAT の IP アドレスを識別する必要があります。ExpressRoute: If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. パブリック ピアリングの場合、既定で、Azure サービスのトラフィックが Microsoft Azure のネットワーク バックボーンに入ったときに適用される 2 つの NAT IP アドレスが各 ExpressRoute 回線に使用されます。For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Microsoft ピアリングの場合、使用される NAT の IP アドレスは、ユーザーが指定するか、サービス プロバイダーが指定します。For Microsoft peering, the NAT IP address(es) that are used are either customer provided or are provided by the service provider. サービス リソースへのアクセスを許可するには、リソースの IP ファイアウォール設定でこれらのパブリック IP アドレスを許可する必要があります。To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. パブリック ピアリングの ExpressRoute 回線の IP アドレスを確認するには、Azure Portal から ExpressRoute のサポート チケットを開いてください。To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. 詳細については、ExpressRoute のパブリック ピアリングと Microsoft ピアリングの NAT に関するセクションを参照してください。Learn more about NAT for ExpressRoute public and Microsoft peering.

Azure サービスへのアクセスを仮想ネットワークに限定する

構成Configuration

  • サービス エンドポイントは仮想ネットワーク内のサブネット上で構成されます。Service endpoints are configured on a subnet in a virtual network. エンドポイントは、そのサブネット内で実行されているどの種類のコンピューティング インスタンスでも動作します。Endpoints work with any type of compute instances running within that subnet.
  • サブネット上のサポートされているすべての Azure サービス (Azure Storage や Azure SQL Database など) に対して複数のサービス エンドポイントを構成できます。You can configure multiple service endpoints for all supported Azure services (Azure Storage, or Azure SQL Database, for example) on a subnet.
  • Azure SQL Database の場合、仮想ネットワークは、Azure サービス リソースと同じリージョンにある必要があります。For Azure SQL Database, virtual networks must be in the same region as the Azure service resource. GRS および RA-GRS Azure Storage アカウントを使用している場合、プライマリ アカウントは仮想ネットワークと同じリージョンにある必要があります。If using GRS and RA-GRS Azure Storage accounts, the primary account must be in the same region as the virtual network. その他のすべてのサービスでは、任意のリージョンで、仮想ネットワークに対する Azure サービス リソースをセキュリティで保護できます。For all other services, Azure service resources can be secured to virtual networks in any region.
  • エンドポイントが構成されている仮想ネットワークのサブスクリプションは、Azure サービス リソースのサブスクリプションと同じでも違っていてもかまいません。The virtual network where the endpoint is configured can be in the same or different subscription than the Azure service resource. エンドポイントを設定して Azure サービスのセキュリティを保護するために必要なアクセス許可の詳細については、プロビジョニングに関するページを参照してください。For more information on permissions required for setting up endpoints and securing Azure services, see Provisioning.
  • サポートされているサービスについては、サービス エンドポイントを使って新規または既存のリソースへのアクセスを仮想ネットワークに限定することができます。For supported services, you can secure new or existing resources to virtual networks using service endpoints.

考慮事項Considerations

  • サービス エンドポイントを有効にすると、サブネット内の仮想マシンの発信元 IP アドレスは、そのサブネットからサービスへの通信時に、パブリック IPv4 アドレスからプライベート IPv4 アドレスを使用するように切り替わります。After enabling a service endpoint, the source IP addresses of virtual machines in the subnet switch from using public IPv4 addresses to using their private IPv4 address, when communicating with the service from that subnet. この切り替え中に、サービスに接続中の既存の TCP 接続はすべて閉じられます。Any existing open TCP connections to the service are closed during this switch. サービスに接続するサブネットのサービス エンドポイントを有効または無効にするときは、重要なタスクが実行されていないことを確認してください。Ensure that no critical tasks are running when enabling or disabling a service endpoint to a service for a subnet. また、この IP アドレスの切り替えの後に、ご利用のアプリケーションが自動的に Azure サービスに接続できることを確認してください。Also, ensure that your applications can automatically connect to Azure services after the IP address switch.

    IP アドレスの切り替えが影響するのは、ご利用の仮想ネットワークからのサービス トラフィックのみです。The IP address switch only impacts service traffic from your virtual network. ご利用の仮想マシンに割り当てられたパブリック IPv4 アドレスとの間でやりとりされる他のトラフィックへの影響はありません。There is no impact to any other traffic addressed to or from the public IPv4 addresses assigned to your virtual machines. Azure サービスについては、Azure のパブリック IP アドレスを使用する既存のファイアウォール ルールがある場合、これらのルールは仮想ネットワークのプライベート アドレスへの切り替え時に停止します。For Azure services, if you have existing firewall rules using Azure public IP addresses, these rules stop working with the switch to virtual network private addresses.

  • サービス エンドポイントを使用しても、Azure サービスの DNS エントリは変わらず、引き続き Azure サービスに割り当てられているパブリック IP アドレスに解決されます。With service endpoints, DNS entries for Azure services remain as-is today, and continue to resolve to public IP addresses assigned to the Azure service.
  • ネットワーク セキュリティ グループ (NSG) でのサービス エンドポイントの使用:Network security groups (NSGs) with service endpoints:
    • 既定では、NSG は送信インターネット トラフィックを許可するので、VNet から Azure サービスへのトラフィックも許可します。By default, NSGs allow outbound Internet traffic and so, also allow traffic from your VNet to Azure services. これは、サービス エンドポイントを使用しても変わりません。This continues to work as is, with service endpoints.
    • すべての送信インターネット トラフィックを拒否して特定の Azure サービスへのトラフィックだけを許可する場合は、NSG のサービス タグを使います。If you want to deny all outbound Internet traffic and allow only traffic to specific Azure services, you can do so using service tags in your NSGs. NSG のルールで、サポートされている Azure サービスを接続先として指定することができ、各タグの基になる IP アドレスのメンテナンスは Azure によって提供されます。You can specify supported Azure services as destination in your NSG rules and the maintenance of IP addresses underlying each tag is provided by Azure. 詳細については、NSG の Azure サービス タグに関するページをご覧ください。For more information, see Azure Service tags for NSGs.

シナリオScenarios

  • ピアリングされた仮想ネットワーク、接続された仮想ネットワーク、または複数の仮想ネットワーク: Azure サービスへのアクセスを 1 つの仮想ネットワーク内または複数の仮想ネットワークにまたがる複数のサブネットに限定するには、サブネットごとに個別にサービス エンドポイントを有効にして、Azure サービス リソースへのアクセスをこれらのサブネットに限定します。Peered, connected, or multiple virtual networks: To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, you can enable service endpoints on each of the subnets independently, and secure Azure service resources to all of the subnets.
  • 仮想ネットワークから Azure サービスへの送信トラフィックのフィルタリング: 仮想ネットワークから Azure サービスへのトラフィックを検査またはフィルター処理する場合は、仮想ネットワーク内にネットワーク仮想アプライアンスをデプロイします。Filtering outbound traffic from a virtual network to Azure services: If you want to inspect or filter the traffic destined to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. その後、ネットワーク仮想アプライアンスがデプロイされているサブネットにサービス エンドポイントを適用し、このサブネットのみに Azure サービス リソースへのアクセスを限定します。You can then apply service endpoints to the subnet where the network virtual appliance is deployed, and secure Azure service resources only to this subnet. このシナリオは、ネットワーク仮想アプライアンス フィルタリングを使用して、ご利用の仮想ネットワークから Azure サービスへのアクセスを特定の Azure リソースにのみ制限する場合に役立ちます。This scenario might be helpful if you wish to restrict Azure service access from your virtual network only to specific Azure resources, using network virtual appliance filtering. 詳細については、ネットワーク仮想アプライアンスを持つエグレスに関するページを参照してください。For more information, see egress with network virtual appliances.
  • Azure リソースへのアクセスを仮想ネットワークに直接デプロイされたサービスに限定する: さまざまな Azure サービスを仮想ネットワーク内の特定のサブネットに直接デプロイできます。Securing Azure resources to services deployed directly into virtual networks: Various Azure services can be directly deployed into specific subnets in a virtual network. 管理されたサービスのサブネット上にサービス エンドポイントを設定することで、Azure サービス リソースへのアクセスを管理されたサービスのサブネットに限定することができます。You can secure Azure service resources to managed service subnets by setting up a service endpoint on the managed service subnet.
  • Azure の仮想マシンからのディスク トラフィック: マネージド/アンマネージド ディスクの仮想マシン ディスク トラフィック (マウント、マウント解除、diskIO を含みます) は、Azure Storage のサービス エンドポイントのルーティング変更の影響を受けません。Disk traffic from an Azure virtual machine: Virtual Machine Disk traffic (including mount and unmount, diskIO), for managed/unmanaged disks, is not affected by service endpoints routing changes for Azure Storage. サービス エンドポイントと Azure Storage ネットワーク ルールを介して、ページ BLOB への REST アクセスを選択したネットワークに制限することができます。You can limit REST access to page blobs to select networks, through service endpoints and Azure Storage network rules.

ロギングおよびトラブルシューティングLogging and troubleshooting

特定のサービスに対してサービス エンドポイントを構成したら、そのサービス エンドポイントのルートが有効であることを次の方法で検証します。Once service endpoints are configured to a specific service, validate that the service endpoint route is in effect by:

  • サービスの診断で任意のサービス要求の発信元 IP アドレスを検証します。Validating the source IP address of any service request in the service diagnostics. サービス エンドポイントを使った新しい要求では、ご利用の仮想ネットワークから要求元のクライアントに割り当てられた仮想ネットワークのプライベート IP アドレスとして、要求の発信元 IP アドレスが表示されます。All new requests with service endpoints show the source IP address for the request as the virtual network private IP address, assigned to the client making the request from your virtual network. エンドポイントを使用しない場合、このアドレスは Azure のパブリック IP アドレスになります。Without the endpoint, the address is an Azure public IP address.
  • サブネット内の任意のネットワーク インターフェイス上に有効なルートを表示する。Viewing the effective routes on any network interface in a subnet. サービスへのルートでは次のことを確認できます。The route to the service:
    • 各サービスのアドレス プレフィックス範囲へのより詳細な既定のルート表示。Shows a more specific default route to address prefix ranges of each service
    • VirtualNetworkServiceEndpoint に存在する nextHopTypeHas a nextHopType of VirtualNetworkServiceEndpoint
    • 強制トンネリングのルートに比べ、より直接的なサービスへの接続が実施されていること。Indicates that a more direct connection to the service is in effect, compared to any forced-tunneling routes

注意

サービス エンドポイントのルートは、アドレス プレフィックスが Azure サービスのものと一致するすべての BGP または UDR のルートをオーバーライドします。Service endpoint routes override any BGP or UDR routes for the address prefix match of an Azure service. 有効なルートを使用したトラブルシューティングの詳細をご覧ください。Learn more about troubleshooting with effective routes

プロビジョニングProvisioning

サービス エンドポイントは、仮想ネットワークへの書き込みアクセス権を持つユーザーが仮想ネットワーク上で個別に構成できます。Service endpoints can be configured on virtual networks independently, by a user with write access to a virtual network. Azure サービス リソースへのアクセスを VNet に限定するには、ユーザーが、追加されるサブネットの Microsoft.Network/JoinServicetoaSubnet へのアクセス許可を持っている必要があります。To secure Azure service resources to a VNet, the user must have permission to Microsoft.Network/JoinServicetoaSubnet for the subnets being added. このアクセス許可は、既定では組み込みのサービス管理者のロールに含まれ、カスタム ロールを作成することで変更できます。This permission is included in the built-in service administrator roles, by default and can be modified by creating custom roles.

組み込みロールと、特定のアクセス許可をカスタム ロールに割り当てる方法の詳細をご覧ください。Learn more about built-in roles and assigning specific permissions to custom roles.

仮想ネットワークと Azure サービス リソースのサブスクリプションは、同じでも異なっていてもかまいません。Virtual networks and Azure service resources can be in the same or different subscriptions. 仮想ネットワークと Azure サービス リソースのサブスクリプションが異なる場合、リソースは同じ Active Directory (AD) テナントの下に置かれている必要があります。If the virtual network and Azure service resources are in different subscriptions, the resources must be under the same Active Directory (AD) tenant.

料金と制限Pricing and limits

サービス エンドポイントの使用に追加料金はかかりません。There is no additional charge for using service endpoints. 現時点では、Azure サービス (Azure Storage、Azure SQL Database など) の現在の価格設定モデルが適用されます。The current pricing model for Azure services (Azure Storage, Azure SQL Database etc.) applies as is today.

仮想ネットワーク内のサービス エンドポイントの合計数に制限はありません。There is no limit on the total number of service endpoints in a virtual network.

Azure サービス リソース (Azure Storage アカウントなど) の場合、リソースへのアクセスに使用されるサブネットの数がサービスによって制限される場合があります。For an Azure service resource (such as, an Azure Storage account), services may enforce limits on the number of subnets used for securing the resource. 詳細については、「次のステップ」の各種サービスに関するドキュメントを参照してください。Refer to the documentation for various services in Next steps for details.

次のステップNext steps