Azure Private Link

このエントリは2020/02/25現在の情報に基づいています。将来の機能追加や変更に伴い、記載内容との乖離が発生する可能性があります。

以下の発表にある通り、Azure Private Linkの一般提供(General Availability/GA)が始まった。とはいえ、GAなのは一部であり、多くのPaaSサービスはまだPreview段階。

Azure Private Link の一般提供が開始
https://azure.microsoft.com/ja-jp/updates/private-link-now-available-in-ga/
Azure Private Link is now generally available
https://azure.microsoft.com/en-us/updates/private-link-now-available-in-ga/

Azure Private Link を使用すると、仮想ネットワーク内のプライベート エンドポイント経由で Azure PaaS サービス (Azure Storage、Azure Cosmos DB、SQL Database など) と Azure でホストされている顧客/パートナー サービスにアクセスできます。 仮想ネットワークとサービスの間のトラフィックは、Microsoft のバックボーン ネットワークを経由して、パブリック インターネットからの公開を排除します。 また、独自の Private Link サービスを仮想ネットワーク (VNet) 内に作成し、そのサービスを顧客に非公開で配信することもできます。

Azure Private Link とは https://docs.microsoft.com/ja-jp/azure/private-link/private-link-overview
What is Azure Private Link? https://docs.microsoft.com/en-us/azure/private-link/private-link-overview
https://docs.microsoft.com/ja-jp/azure/private-link/private-link-overview

メリット

ドキュメントに記載の通り、

  • Public IPを使わなくてすむこと
  • インターネットに出ずにPaaSと接続できること
  • サービス全体ではなく利用しているインスタンスにのみ接続するため、データ流出のリスクが低下すること

などが大きなメリットとしてあげられる。

主な利点
https://docs.microsoft.com/ja-jp/azure/private-link/private-link-overview#key-benefits
Key benefits
https://docs.microsoft.com/en-us/azure/private-link/private-link-overview#key-benefits

現在の状況

以下のドキュメントの通り。日本語訳ではAvailabilityを可用性としているが、「いま利用できるもの、リージョン」という意味なのは言うまでも無い。

可用性
https://docs.microsoft.com/ja-jp/azure/private-link/private-link-overview#availability
Availability
https://docs.microsoft.com/en-us/azure/private-link/private-link-overview#availability

Private Linkのパターン

2方式あり、サービスごとにパターンが異なる。

  • VNet Injection(Virtual Machines、Service Fabric、API Managementなど)
    • サービスインスタンスがVNet内で動作している場合
    • 管理トラフィックはNSGでサービスタグを付けて制限する
  • Private Endpoints(Azure Key Vault、Storage、SQL Databaseなど)
    • サービスインスタンスがVNet外で動作している場合

注意点

  • Public Previewの場合、SLAはない。
  • サービスによってはリージョン制限が存在する。例えばCosmos DBの場合、現時点ではWest Central US, WestUS, North Central USのみ。
  • 現時点ではPrivate Endpoint内でNSGとUDRは使えないという制限事項がある。

制限事項
https://docs.microsoft.com/ja-jp/azure/private-link/private-endpoint-overview#limitations
Limitations
https://docs.microsoft.com/en-us/azure/private-link/private-endpoint-overview#limitations

  • サービスエンドポイントとPrivate Linkのどちらを選択すべきかは状況によって異なるため、以下のガイドを参考に検討することが望ましい。
サービスエンドポイント
- AzureサービスとVNetを接続し、Azureサービスへのアクセスを管理
- 無償
プライベートリンク
- Azure PaaSサービスやプライベートリンクを使ってホストされている他のサービスをVNet内のプライベートエンドポイントとして公開
- 期間、処理データに応じて課金

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google フォト

Google アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中