※当サイトの記事には、広告・プロモーションが含まれます。

トップ > ネットワーク関連 > Azureのエンドポイントでprivate、public、serviceの違いが知りたかったのだが...

Azureのエンドポイントでprivate、public、serviceの違いが知りたかったのだが...

ネットワーク関連 Microsoft Azure Azure Virtual Network (VNet) Azure Private Link ネットワークセキュリティグループ(NSG:Network Security Group)

www.publickey1.jp

レポートでは、オープンソースは無料の道具ではなく私たち全員が担い手となるべき社会的な「公共財」として捉え直した上で、技術的主権の確保と共創社会の実現に向けた国家的戦略の構築を提言しています。

IPA、日本におけるオープンソース戦略形成に向けた現状と展望をまとめた「2024年度オープンソース推進レポート」公開 - Publickey

⇧ 何と言うか、課題を提唱してくれるのは構わないのだが、課題解決のための具体的なアプローチをどうするつもりなのかは、検討されているのだろうか?

全員が担い手とか言ってますが、費用の負担とかどうするつもりなのかしら?

まさか、労働に対しての報酬として、無償のボランティアや、些少の寸志程度でお茶を濁すつもりではないと信じたいが...

Azureのエンドポイントでprivate、public、serviceの違いが知りたかったのだが...

今更ながら、Azureの

  1. パブリックエンドポイント(public endpoint)
  2. プライベートエンドポイント(private endpoint)
  3. サービスエンドポイント(service endpoint)

の違いとか分かっていなかったので、調べてみました。

 

まずは、各々のドキュメントを確認。

■パブリックエンドポイント(public endpoint)

learn.microsoft.com

Azure SQL Managed Instance のパブリック エンドポイントを使うと、仮想ネットワークの外部からマネージド インスタンスにデータ アクセスできます。

https://learn.microsoft.com/ja-jp/azure/azure-sql/managed-instance/public-endpoint-configure?view=azuresql&tabs=azure-portal

■プライベートエンドポイント(private endpoint)

learn.microsoft.com

Azure Private Link を使用すると、お使いの仮想ネットワーク内のプライベート エンドポイント経由で Azure PaaS サービス (Azure Storage、SQL Database など) と Azure でホストされている顧客所有の、またはパートナー サービスにアクセスできます。

https://learn.microsoft.com/ja-jp/azure/private-link/private-link-overview

learn.microsoft.com

プライベート エンドポイントは、仮想ネットワークのプライベート IP アドレスを使用するネットワーク インターフェイスです。 ユーザーはこのネットワーク インターフェイスにより、Azure Private Link を利用するサービスに非公開で安全に接続します。 プライベート エンドポイントを有効にして、サービスを仮想ネットワークに取り込みます。

https://learn.microsoft.com/ja-jp/azure/private-link/private-endpoint-overview

■サービスエンドポイント(service endpoint)

learn.microsoft.com

Virtual Network サービス エンドポイントは、Azure バックボーン ネットワーク経由で最適化されたルート経由で、セキュリティで保護された直接接続を Azure サービスに提供します。 エンドポイントを使用することで、重要な Azure サービス リソースへのアクセスを仮想ネットワークのみに限定することができます。

https://learn.microsoft.com/ja-jp/azure/virtual-network/virtual-network-service-endpoints-overview

⇧ といった感じで、「リソース」の「カテゴリー」が異なるっぽい。

 

一旦、まとめると、公式のドキュメントの各々の「エンドポイント」の説明が記載されているページ上部のパンくずリストを見た感じでは、

No エンドポイント カテゴリー ドキュメントで焦点となっているリソース
1 パブリックエンドポイント
(public endpoint)		 データベース Azure SQL Managed Instance
2 プライベートエンドポイント
(private endpoint)		 ネットワーク Azure Private Link
3 サービスエンドポイント
(service endpoint)		 ネットワーク Azure Virtual Network

といった感じになるらしい。

「パブリックエンドポイント(public endpoint)」については、「SQL Server」を使っている場合のみ関係してくるらしい「エンドポイント(endpoint)」のようなので無視する。

相も変わらず、「Microsoft」の公式のドキュメントは、「ファインダビリティ(Findability)」が欠片もない感じなので、

  1. パブリックエンドポイント(public endpoint)
  2. プライベートエンドポイント(private endpoint)
  3. サービスエンドポイント(service endpoint)

の3種類の「エンドポイント(endpoint)」について、他「リソース」も焦点となっているドキュメントのページが存在するのかが調べ切れていない...

 

「パブリックエンドポイント(public endpoint)」を無視した場合、

  1. プライベートエンドポイント(private endpoint)
  2. サービスエンドポイント(service endpoint)

の2つの「エンドポイント(endpoint)」について利用する頻度が多くなってきそうなので、違いを整理したい。

で、「Azure テクニカル サポート チーム」の方が公開してくれていた。

jpaztech.github.io

⇧ 何やら、「Azure Private Link」の「リソース」を利用しなくても「プライベートエンドポイント(private endpoint)」が利用できるということなんだろうか?

相変わらず、「Microsoft」のドキュメントが分かり辛ら過ぎるんだが...

 

■サービスエンドポイント(service endpoint)とプライベートエンドポイント(private endpoint)のいずれも利用していない

シナリオ 1 : サービス エンドポイントとプライベート エンドポイントが構成されていない

https://jpaztech.github.io/blog/network/pe-difference-se/

■サービスエンドポイント(service endpoint)を利用している

シナリオ 2 : サービス エンドポイントを有効化

https://jpaztech.github.io/blog/network/pe-difference-se/

■プライベートエンドポイント(private endpoint)を利用している

シナリオ 3 : プライベート エンドポイントを有効化

https://jpaztech.github.io/blog/network/pe-difference-se/

⇧ といった感じの違いがあるようだ。

なのだが、アイコンの正解が分からな過ぎる...

というのも、

learn.microsoft.com

⇧「private link」のアイコンを利用している時と利用していない時のルールの違いがよく分からないのよね...

「Azure テクニカル サポート チーム」の方の公開していた注釈の『(*1)PLS は Private Link Service を指す。Azure 内部ロードバランサーに対して関連付けする機能。』が該当するということなんですかね?

「サービスエンドポイント(service endpoint)」のアイコンについても、

learn.microsoft.com

⇧ 上記みたいに利用している時もあるので、ルールが全くもってよく分からない...

 

ちなみに、

  1. プライベートエンドポイント(private endpoint)
  2. サービスエンドポイント(service endpoint)

の使い分けについては、

使い分けについて

サービス エンドポイントは対象の仮想ネットワークのサブネットに対してのみ適用可能な機能となるため、ExpressRoute や VPN で接続されたオンプレミスのリソースはサービス エンドポイントを利用できません。しかし、強制トンネリング構成において特定の Azure PaaS に対してのパブリック エンドポイントへのアクセスを構成できることや、Azure PaaS 側でサービス エンドポイントを有効化した仮想ネットワーク上のサブネットからの接続に制限できること、これらの機能が追加費用なくご利用いただくことが特徴として挙げられます。

https://jpaztech.github.io/blog/network/pe-difference-se/

プライベートエンドポイントでは、プライベート エンドポイントのプライベート IP アドレスに接続性があれば利用可能なため、ExpressRoute や VPN で接続されたオンプレミスのリソースから Azure PaaS に接続するシナリオでご利用いただくことが可能です。なお、サービス エンドポイントとは異なり、プライベート エンドポイントは費用が発生する点にはご留意ください。

https://jpaztech.github.io/blog/network/pe-difference-se/

⇧ 上記の説明によると、

  1. オンプレミス環境
  2. Azure以外のクラウドサービスプロバイダー

などと連携が必要な場合は、「サービスエンドポイント(service endpoint)」の利用は無理っぽい。

なのだが、

jpaztech.github.io

⇧ 上記によると、「プロキシサーバー」用の「Azure Virtual Machine」を用意して、「プロキシサーバー」用の「Azure Virtual Machine」を経由する形にすれば、「サービスエンドポイント(service endpoint)」でも通信できるってことなのだろうか?

 

プライベートエンドポイント(private endpoint)でもネットワークセキュリティグループ(NSG:Network Security Group)が利用できるようになったらしい

「ネットワークセキュリティグループ(NSG:Network Security Group)」はというと、

learn.microsoft.com

Azure 仮想ネットワーク内の Azure リソース間のネットワーク トラフィックは、Azure ネットワーク セキュリティ グループを使ってフィルター処理できます。

https://learn.microsoft.com/ja-jp/azure/virtual-network/network-security-groups-overview

ネットワーク セキュリティ グループには、何種類かの Azure リソースとの送受信ネットワーク トラフィックを許可または拒否するセキュリティ規則が含まれています。 各規則で、送信元と送信先、ポート、およびプロトコルを指定することができます。

https://learn.microsoft.com/ja-jp/azure/virtual-network/network-security-groups-overview

⇧とあるのだが、

zenn.dev

⇧ 上記サイト様によりますと、「ネットワークセキュリティグループ(NSG:Network Security Group)」で「プライベートエンドポイント(private endpoint)」がサポートされたらしい。

参照先のページを確認してみると、

azure.microsoft.com

General availability: Network security groups support for private endpoints

Network security groups (NSGs) support for private endpoints is now generally available. This feature enhancement provides you with the ability to enable advanced security controls on traffic destined to a private endpoint. In order to leverage this feature, you will need to set a specific subnet level property, called PrivateEndpointNetworkPolicies, to enabled on the subnet containing private endpoint resources.

https://azure.microsoft.com/ja-jp/updates?id=general-availability-of-network-security-groups-support-for-private-endpoints

Regional availability:

This feature will be available in the following regions at this time:

US East, US West, US North, US South, US Central, US East 2, Europe North, Europe West, Asia East, Asia South East, Japan East, Japan West, Brazil South, Australia East, Australia South East, India Central, India South, Canada Central, Canada East, US West 2, US West Central, UK West, UK South, Korea South, Korea Central, France South, France Central, Australia Central, South Africa North, United Arab Emirates Central, United Arab Emirates North, Switzerland North, Switzerland West, Germany North, Germany West Central, Norway East, Norway West, US West 3, Jio India Central, Jio India West, Sweden South, Sweden Central, Qatar Central, US Central Early Updates Access Program, US East 2 Early Updates Access Program

https://azure.microsoft.com/ja-jp/updates?id=general-availability-of-network-security-groups-support-for-private-endpoints

⇧ 対応している「リージョン」として、

  1. 東日本(Japan East)
  2. 西日本(Japan West)

の両方が記載されている。

とりあえず、

learn.microsoft.com

プライベート エンドポイントのネットワーク ポリシーを管理する

既定では、仮想ネットワーク内のサブネットに対してネットワーク ポリシーは無効になっています。 ユーザー定義ルートやネットワーク セキュリティ グループのサポートなどのネットワーク ポリシーを使用するには、サブネットに対してネットワーク ポリシーのサポートを有効にする必要があります。 この設定は、サブネット内のプライベート エンドポイントにのみ適用され、サブネット内のすべてのプライベート エンドポイントに影響します。 サブネット内の他のリソースについては、ネットワーク セキュリティ グループのセキュリティ規則に基づいてアクセスが制御されます。

https://learn.microsoft.com/ja-jp/azure/private-link/disable-private-endpoint-network-policy?tabs=network-policy-portal

⇧ 公式のドキュメントによると、「サブネット」単位での設定になるっぽいので、「サブネット」内に「プライベートエンドポイント(private endpoint)」が複数ある場合は、全てに適用されてしまうということになるってことですかね。

相も変わらず、ネットワーク周りが何も分からん...

 

毎度モヤモヤ感が半端ない…

今回はこのへんで。