Jaa

Azure SQL Database 用 VNet サービス エンドポイントの一般提供を開始

  • Artikkeli

執筆者: Dhruv Malik (Engineer)

このポストは、2018 年 2 月 22 日に投稿された VNet Service Endpoints for Azure SQL Database now generally available の翻訳です。

 

今回の記事は、Azure ネットワーキングの主任プログラム マネージャーを務める Anitha Adusumilli と共同で執筆しました。

このたび、すべての Azure リージョンを対象に、Azure SQL Database 用の仮想ネットワーク (VNet) サービス エンドポイントの一般提供を開始します。この機能では、論理サーバーへの接続を仮想ネットワーク内の特定のサブネットまたは複数のサブネットに分離することができます。VNet から Azure SQL Database へのトラフィックは、Azure のバックボーン ネットワークのみを経由します。仮想アプライアンスやオンプレミスを経由するインターネット トラフィックよりもこのような直通ルートの方が好適です。

サービス エンドポイント経由の仮想ネットワーク利用について、追加料金はかからず、Azure SQL DB の現行の料金モデルが適用されます。

SQL Data Warehouse 用の Virtual Network のサービス エンドポイントについては、すべての Azure リージョンでプレビュー版をご利用いただけます。

clip_image002

ファイアウォール ルールと VNet サービス エンドポイントの併用

VNet サービス エンドポイントを有効化しても、SQL Server や SQL Database にプロビジョニングされているファイアウォール ルールが上書きされることはなく、両方を適用することができます。

VNet サービス エンドポイントは、オンプレミスに拡張することはできません。オンプレミスからのアクセスを許可する場合、ファイアウォール ルールで接続をパブリック (NAT) IP のみに制限します。

VNet を保護するには、まず VNet 内の SQL 用サービス エンドポイントを有効化します。

image

SQL Server では、1 つまたは複数の VNet に属する複数のサブネットのみにアクセスを制限できます。また、VNet ルールと併せてファイアウォール ルールを構成することも可能です。

image

既存のファイアウォール ルールでサーバーのサービス エンドポイントを有効化する

サービス エンドポイントが有効化されているサーバーに接続すると、SQL 接続のソース IP が VNet のプライベート IP 空間に変わります。サーバーやデータベースのファイアウォール ルールで特定の Azure パブリック IP を許可している場合、その VNet ファイアウォール ルールの中で対象の VNet またはサブネットを許可しないと、接続が切れるおそれがあります。接続を維持するには、IgnoreMissingServiceEndpoint フラグでサービス エンドポイントを有効化する前に VNet のファイアウォール ルールを構成する必要があります。

ASE のサポート

一般提供の開始に伴い、VNet にデプロイされている App Service Environment (ASE) のサブネットでもサービス エンドポイントをサポートします。

次のステップ

使用を開始する場合は、ドキュメント「仮想ネットワークのサービス エンドポイント」と「Azure Storage ファイアウォールおよび仮想ネットワークの構成」を参照してください。

機能の詳細や事例については、Microsoft Ignite の「Azure アプリケーション向けネットワーク セキュリティ (英語)」セッションをご覧ください。