プライベート リンクの用途を確認する
Azure Private Link を使用すると、仮想ネットワークから Azure のサービスとしてのプラットフォーム (PaaS)、顧客所有、または Microsoft パートナーの各サービスへのプライベート接続が可能になります。 ネットワーク アーキテクチャが簡素化され、パブリック インターネットへのデータの公開をなくすことで Azure でのエンドポイント間の接続がセキュリティで保護されます。
Azure Private Link について知っておくべきこと
Azure Private Link とネットワーク ルーティング構成の特性を調べてみましょう。
Azure Private Link により、トラフィックはすべて Microsoft グローバル ネットワーク上に維持されます。 パブリック インターネット アクセスはありません。
Private Link はグローバルであり、リージョンに関する制限はありません。 他の Azure リージョンで実行中のサービスにプライベートに接続できます。
Azure で提供されるサービスは、ネットワークをプライベート エンドポイントにマッピングすることで、プライベート仮想ネットワークに取り込むことができます。
Private Link では、独自のサービスを顧客の仮想ネットワークでプライベートに提供できます。
サービスへのすべてのトラフィックは、プライベート エンドポイント経由でルーティングできます。 ゲートウェイ、NAT デバイス、Azure ExpressRoute や VPN 接続、パブリック IP アドレスは必要ありません。
次の図は、Azure Private Link を使用したネットワーク ルーティング構成を示しています。 サービスは、Azure SQL Database を使用してネットワーク セキュリティ グループ (NSG) プライベート エンドポイントに接続されます。 この構成では直接接続を防ぎます。
Azure Private Link を使用するときに考慮すべきこと
Azure Private Link を操作することには多くの利点があります。 次の点を確認し、シナリオに合わせてサービスを実装する方法を検討します。
Azure 上のサービスへのプライベート接続を検討する。 他の Azure リージョンで実行中のサービスにプライベートに接続します。 トラフィックは、パブリック インターネット アクセスを使用せず、Microsoft ネットワークに留まります。
オンプレミスのピアリングされたネットワークとの統合を検討する。 オンプレミスまたはピアリングされた仮想ネットワークから、プライベート ピアリングまたは VPN トンネル経由でプライベート エンドポイントにアクセスします。 Microsoft がトラフィックをホストするため、パブリック ピアリングを設定したり、インターネットを使用してワークロードをクラウドに移行したりする必要はありません。
Azure リソースのデータ流出に対する保護を検討する。 プライベート エンドポイントを Azure PaaS リソースにマップします。 ネットワーク内でセキュリティ インシデントが発生しているときは、マップされたリソースにのみアクセスできます。 この実装により、データ流出の脅威が排除されます。
顧客の仮想ネットワークに直接配信されるサービスを検討する。 Azure 上の仮想ネットワークでは、Azure PaaS、Microsoft パートナー、ご利用のサービスをプライベートに使用します。 Private Link は Microsoft Entra テナント全体にわたって機能し、サービス間のエクスペリエンスを統合するのに役立ちます。 要求を直接的に送信、承認、または拒否します。アクセス許可やロールベースのアクセス制御はありません。