プライベートエンドポイントとは
仮想ネットワークのプライベートIPアドレスを使用するネットワークインタフェース(NIC)です。
仮想ネットワーク内のリソースがパブリックインターネットを経由せずに、プライベート接続でPaaSサービス(Azure StorageやSQL Databaseなど)に接続するために利用されます。
プライベートエンドポイントの必要性
PaaSサービス(Azure StorageやSQL Databaseなど)はセキュリティ保護のため、通常は接続を制限します。
PaaSサービスのパブリックネットワークアクセスを「選択した仮想ネットワークとIPアドレスから有効」もしくは「無効」にすることで、パブリックインターネットからのアクセスが拒否されます。
そのうえで特定の仮想ネットワークからのみのアクセスを許可するためにプライベートエンドポイントを利用します。
※他にもネットワーク制限されたPaaSサービスに接続する方法はありますが、一例です。
プライベートエンドポイントの利用
パブリックインターネットからのアクセスを拒否した状態で、プライベートエンドポイントを利用してPaaSサービスにアクセスするには、通常以下のような構成になります。
※App ServiceからAzure Storageにアクセスする例
プライベートエンドポイントではPaaSサービス(上記例のAzure Storage)の接続先URLはプライベートDNSにより名前解決されます。
そのうえでプライベートリンクを使用して安全にPaaSサービスに接続します。
Azureネットワークの基本的な構成ですが、他にもサービスエンドポイントやピアリングなど、様々なサービスが用意されています。
用途に応じて利用するサービスや構成を検討する必要がありますが、セキュリティの観点は常に意識しておきたいものです。
