Azure Batch セキュリティの機能について検討する
多くの場合、大規模な並列コンピューティング アプリケーションは、銀行や保険などのセキュリティが重要な業界で使用されます。 Azure Batch アカウントのセキュリティを強化するには、次の機能を使用することを検討します。
Batch アカウント用のプライベート エンドポイント
Azure Private Link を使用すると、仮想ネットワーク内のプライベート エンドポイントを経由して、Azure のサービスとしてのプラットフォーム (PaaS) サービスや Azure でホストされている顧客所有のサービスにアクセスできます。 Private Link を使用すると、仮想ネットワーク内から、またはピアリングされた任意の仮想ネットワークからの、Batch アカウントへのアクセスが制限されます。 Private Link にマップされたリソースは、プライベート ピアリングを使用して、VPN または Azure ExpressRoute 経由でオンプレミスからアクセスすることもできます。
プライベート エンドポイントを使用するには、Batch アカウントを作成し、それを適切に構成する必要があります。 パブリック ネットワーク アクセスの構成を無効にする必要があります。 Batch アカウントを作成した後は、プライベート エンドポイントを作成し、それをアカウントに関連付けることができます。
既定では、プライベート エンドポイントは Azure Resource Manager リソースです。 Azure Resource Manager テンプレート (ARM テンプレート) によって、デプロイに必要なインフラストラクチャと構成が定義されるので、一連のプログラミング コマンドを記述する必要はありません。 ARM テンプレートによるデプロイは、仮想ネットワーク、Web アプリ、プライベート エンドポイント、プライベート DNS ゾーンを作成するのに役立ちます。
パブリック IP アドレスのないプール
既定では、Batch プールのすべての計算ノードには、パブリック IP アドレスが割り当てられています。 このアドレスは、タスクをスケジュールするため、および計算ノードとの通信 (インターネットへの送信アクセスなど) を行うために、Batch サービスによって使用されます。
これらのノードへのアクセスを制限し、インターネットからのこれらのノードの探索可能性を低く抑えるには、パブリック IP アドレスのないプールをプロビジョニングできます。 この機能は、ほとんどの場合、プライベート エンドポイントと併せて使用されます。
ディスクの暗号化
Batch プールを使用すると、コンピューティング ノードの OS と一時ディスクにアクセスしてデータを格納することができます。 プラットフォーム マネージド キーを使用してサーバー側のディスクを暗号化すると、オーバーヘッドを軽減しながら簡単にこのデータを保護できます。