Private Link サービスとプライベート エンドポイントを定義する

  • 7 分

Azure Private Link を使用すると、仮想ネットワーク内のプライベート エンドポイント経由で Azure PaaS サービス (Azure Storage、SQL Database など) と Azure でホストされている顧客所有の/パートナー サービスにアクセスできます。

Azure Private Link およびその機能とベネフィットについて学習する前に、Private Link が解決するように設計されている問題を調べてみましょう。

Contoso 社には Azure 仮想ネットワークがあり、Azure SQL Database などの PaaS リソースに接続する必要があります。 そのようなリソースを作成するときに、通常、接続方法として "パブリック エンドポイント" を指定します。

パブリック エンドポイントを使用するということは、リソースにパブリック IP アドレスが割り当てられることを意味します。 そのため、仮想ネットワークと Azure SQL Database の両方が Azure クラウド内に配置されている場合でも、それらの間の接続はインターネットを介して行われます。

ここで懸念されるのは、会社の Azure SQL Database がパブリック IP アドレスによってインターネットに公開されていることです。 その公開によって、複数のセキュリティ リスクが生じます。 次の場所からパブリック IP アドレスを使用して Azure リソースにアクセスする場合も、同じセキュリティ リスクが発生します。

  • ピアリングされた Azure 仮想ネットワーク
  • ExpressRoute と Microsoft ピアリングを使用して Azure に接続するオンプレミス ネットワーク
  • あなたの会社が提供する Azure サービスに接続する顧客の Azure 仮想ネットワーク

image showing private endpoint and private link zone, customer v-net zone, and intersection with customer premises

Private Link は、接続の "パブリック" 部分を取り除くことによって、これらのセキュリティ リスクを回避するように設計されています。

Private Link を使用すると、Azure サービスに安全にアクセスできます。 Private Link により、リソースのパブリック エンドポイントがプライベート ネットワーク インターフェイスに置き換えられることによって、そのセキュリティが実現されます。 この新しいアーキテクチャに関しては、次の 3 つの重要な点を考慮する必要があります。

  • Azure リソースは、ある意味で、仮想ネットワークの一部になります。
  • パブリック インターネットではなく Microsoft Azure のバックボーン ネットワークが、リソースへの接続で使用されるようになります。
  • パブリック IP アドレスを公開しないように Azure リソースを構成することができ、潜在的なセキュリティ リスクが解消されます。

Azure プライベート エンドポイントとは

プライベート エンドポイントは、Private Link の内側にある重要なテクノロジです。 プライベート エンドポイントは、仮想ネットワークと Azure サービスの間をプライベートでセキュリティ保護された接続にすることができるネットワーク インターフェイスです。 つまり、プライベート エンドポイントは、リソースのパブリック エンドポイントを置き換えるネットワーク インターフェイスです。

Private Link を使用すると、Azure サービスに安全にアクセスできます。 Private Link により、リソースのパブリック エンドポイントがプライベート ネットワーク インターフェイスに置き換えられることによって、そのセキュリティが実現されます。 プライベート エンドポイントでは、VNet からのプライベート IP アドレスを使用して、サービスを VNet に取り込みます。

Azure プライベート エンドポイントとサービス エンドポイントの違い

プライベート エンドポイントでは、詳細なセグメンテーションを提供する特定のサービスの背後にある特定のリソースへのネットワーク アクセスが許可されます。 トラフィックは、パブリック エンドポイントを使用せずにオンプレミスからサービス リソースに到達できます。

サービス エンドポイントは、公的にルーティング可能な IP アドレスのままです。 プライベート エンドポイントは、プライベート エンドポイントが構成されている仮想ネットワークのアドレス空間にあるプライベート IP です。

Note

Azure プラットフォームでホストされるサービスに対して、セキュリティで保護されたプライベートなアクセスを行うには、Azure Private Link の使用をお勧めします。

Private Link を使用すると、Azure 仮想ネットワークから Azure 内の PaaS サービスおよび Microsoft パートナーのサービスへのプライベート アクセスが可能になります。 ところで、あなたの会社が自社の顧客によって使用される独自の Azure サービスを作成してある場合はどうでしょうか。 自社のサービスへのプライベート接続を、それらの顧客に提供できるでしょうか。

Azure Private Link サービスを使用することで可能です。 このサービスを使用すると、カスタム Azure サービスへの Private Link 接続を提供できます。 カスタム サービスのコンシューマーは、独自の Azure 仮想ネットワークから、それらのサービスにプライベートに (つまり、インターネットを使用せずに) アクセスできるようになります。

Azure Private Link サービスは、Azure Private Link を使用する独自のサービスに対する参照です。 Azure Standard Load Balancer の背後で実行されている自分のサービスで Private Link アクセスを有効にすると、自分のサービスのコンシューマーがそのサービスに対して独自の VNet からプライベートにアクセスできるようになります。 顧客は、自分の VNet 内にプライベート エンドポイントを作成し、それをこのサービスにマッピングすることができます。 1 つの Private Link サービスでは複数のプライベート エンドポイントから接続を受信できます。 1 つのプライベート エンドポイントは 1 つの Private Link サービスに接続します。

Private link service workflow

プライベート エンドポイントのプロパティ

プライベート エンドポイントを作成する前に、プライベート エンドポイントのプロパティについて検討し、対処すべき特定のニーズに関するデータを収集する必要があります。 これには以下が含まれます。

  • リソース グループで一意の名前
  • 仮想ネットワークからプライベート IP アドレスをデプロイして割り当てるためのサブネット
  • 使用可能な種類の一覧から、リソース ID または別名を使用して接続する Private Link リソース。 このリソースに送信されるすべてのトラフィックに対して、一意のネットワーク識別子が生成されます。
  • 接続するサブリソース。 それぞれの種類の Private Link リソースには、好みに応じて選択できるさまざまなオプションがあります。
  • 自動または手動の接続承認方法。 Azure ロールベースのアクセス制御 (Azure RBAC) のアクセス許可に基づいて、自分のプライベート エンドポイントを自動的に承認することができます。 Azure RBAC を使用せずに Private Link リソースに接続する場合は、手動による方法を使用して、リソースの所有者が接続を承認できるようにします。
  • 要求された接続を手動で承認する特定の要求メッセージ。 このメッセージは、特定の要求を識別するために使用できます。
  • 接続状態。プライベート エンドポイントがアクティブな場合に指定する読み取り専用プロパティです。 トラフィックの送信に使用できるのは、承認済み状態のプライベート エンドポイントのみです。

また、次の詳細を検討します。

  • プライベート エンドポイントは、VPN と Express Route のどちらかのほか、Private Link を使用したサービスを使って、同じ VNet、各リージョンでピアリングされた VNet、グローバルにピアリングされた VNet、およびオンプレミスのコンシューマー間の接続を可能にします。
  • ネットワーク接続は、クライアントがプライベート エンドポイントに接続することでしか開始できません。サービス プロバイダーに、サービス コンシューマーへの接続を開始するルーティング構成はありません。 接続は一方向にのみ確立できます。
  • プライベート エンドポイントを作成すると、リソースのライフサイクルにわたって読み取り専用のネットワーク インターフェイスも作成されます。 このインターフェイスには、Private Link リソースにマップされる、サブネットからのプライベート IP アドレスが動的に割り当てられます。 プライベート IP アドレスの値は、プライベート エンドポイントのライフサイクル全体にわたって変更されません。
  • プライベート エンドポイントは、仮想ネットワークと同じリージョンとサブスクリプションにデプロイする必要があります。
  • Private Link リソースは、仮想ネットワークおよびプライベート エンドポイントとは別のリージョンにデプロイできます。
  • 同じ Private Link リソースを使用して、複数のプライベート エンドポイントを作成できます。 共通の DNS サーバー構成を使用する単一のネットワークでは、特定の Private Link リソースに単一のプライベート エンドポイントを使用することで、エントリの重複や DNS 解決の競合を回避することをお勧めします。
  • 同じ仮想ネットワーク内の同じサブネットまたは異なるサブネットに複数のプライベート エンドポイントを作成できます。 サブスクリプションに作成できるプライベート エンドポイントの数には制限があります。 詳細については、Azure の制限 に関する記事をご覧ください。
  • Private Link リソースからのサブスクリプションも Microsoft に登録する必要があります。

自分の知識をチェックする

1.

プライベート リンクを支える重要なテクノロジは何ですか?

2.

サービス エンドポイントとプライベート エンドポイントは何が違うのでしょうか?