信頼性とネットワーク接続
ネットワーク接続には、プライベート ネットワーク接続用の 3 つの Azure モデルが含まれています。
- VNet インジェクション
- VNet サービス エンドポイント
- Private Link
VNet インジェクションは、お客様専用にデプロイされた次のようなサービスに適用されます。
- Azure Kubernetes Service (AKS) ノード
- SQL Managed Instance
- Virtual Machines
これらのリソースは、仮想ネットワークに直接接続します。
Virtual Network (VNet) サービス エンドポイントは、セキュリティで保護された Azure サービスへの直接接続を提供します。 これらのサービス エンドポイントは、Azure ネットワーク経由で最適化されたルートを使用します。 サービス エンドポイントを使用すると、VNet 上のパブリック IP アドレスを必要とせずに、VNet 内のプライベート IP アドレスで Azure サービスのエンドポイントに接続できます。
Private Linkは、Azure PaaS インスタンスへのプライベート IP アドレス、または Azure Load Balancer Standard の背後にあるカスタム サービスを使用して専用アクセスを提供します。
設計上の考慮事項
ネットワーク接続には、信頼性の高いワークロードに関連する次の設計上の考慮事項が含まれています。
使用可能な場合は、Private Link を共有 Azure PaaS サービスに対して使用します。 Private Link は、一部のサービスについては一般提供されており、多くのサービスではパブリック プレビュー段階です。
ExpressRoute プライベート ピアリングを介してオンプレミスから Azure PaaS サービスにアクセスします。
専用の Azure サービスに対する仮想ネットワーク インジェクション、または使用可能な共有 Azure サービスに対する Azure Private Link を使用します。 仮想ネットワーク インジェクションまたは Private Link を使用できない場合にオンプレミスから Azure PaaS サービスにアクセスするには、Microsoft ピアリングで ExpressRoute を使用します。 この方法により、パブリック インターネット経由での推移を回避できます。
仮想ネットワーク サービス エンドポイントを使用して、仮想ネットワーク内から Azure PaaS サービスへのアクセスをセキュリティで保護します。 仮想ネットワーク サービス エンドポイントは、Private Linkが使用できなくなり、データの不正な移動に関する懸念がない場合にのみ使用します。
サービス エンドポイントでは、PaaS サービスにオンプレミス ネットワークからアクセスすることはできません。 プライベート エンドポイントはそうします。
サービス エンドポイントを使用したデータの不正な移動に関する懸念に対処するには、ネットワーク仮想アプライアンス (NVA) フィルタリングを使用します。 Azure Storage に仮想ネットワーク サービス エンドポイント ポリシーを使用することもできます。
次のネイティブ ネットワーク セキュリティ サービスは、フル マネージド サービスです。 お客様には、インフラストラクチャのデプロイに関連する運用コストと管理コストは発生せず、大規模に複雑になる可能性があります。
- Azure Firewall
- Application Gateway
- Azure Front Door
PaaS サービスは通常、パブリック エンドポイント経由でアクセスされます。 Azure プラットフォームには、これらのエンドポイントをセキュリティで保護したり、完全にプライベートにしたりする機能が用意されています。
また、ネイティブ サービスが特定の要件を満たさない状況でサードパーティのネットワーク仮想アプライアンス (NVA) を使用することもできます。
チェック リスト
信頼性を念頭に置いてネットワーク接続を構成しましたか?
- Azure から Azure リソースへの通信を可能にするために強制トンネリングを実装しないでください。
- ネットワーク仮想アプライアンス (NVA) フィルタリングを使用しない限り、データの不正な移動に関する懸念がある場合は、仮想ネットワーク サービス エンドポイントを使用しないでください。
- すべてのサブネットにおいて既定で仮想ネットワーク サービス エンドポイントを有効にしないでください。