プライベートエンドポイントを使う場合のVnetピアリングの必要性
はじめに
プライベートエンドポイントを使う時って、ピアリングは必要?必須ではないにしても、ユースケース的に登場する機会がある?
しらべてみた
そもそもプライベートエンドポイントとは
AzureのPaaSサービスは、デフォルトだとインターネットからの接続を前提としてサービスがデプロイされる。
ただ、案件の性質上、インターネットからの接続を遮断したいケースが存在する。
そういった時にプライベートエンドポイントを利用することで、パブリックな受け口がサービスから排除される。この場合のパブリックな受け口とは、インターネット経由はもちろんのこと、MSのバックボーンNW(WAN)経由のアクセスも含まれる。
プライベートリンクとの違い
プライベートエンドポイントは、その名の通り、PaaSにプライベートにアクセスする際のエンドポイント(NIC)になる。
プライベートリンクというサービスも類似で存在するが、上記のNICとPaaSを結ぶ(リンクさせる)ものと考えればよい。
Azureにおけるエンドポイントの種類
本題からは逸れるため省略するが、エンドポイントには、サービスエンドポイントとプライベートエンドポイントが存在する。
前者はパブリックIPでのアクセスのままになる。SNATがされないまま、MSのWANを通ってPaaSのパブリックな受け口にアクセスをする。そのため、PaaS側でのアクセスログでは、プライベートな接続元で記録される。複数のサーバをSNATしてインターネットアクセスにすると、接続元のIPはパブリックに記録されて具体的なサーバの判別は苦労するが、サービスエンドポイントではその手間は無くなるということもある。
後者は完全にプライベートIPからのアクセスになる。またVnetに接続できる経路であれば、利用可能なので、ExpressRoute経由でオンプレからも利用ができる。Azure Filesなど、オンプレからもアクセスする要件がある場合は利用を推奨したい。
本題
Q:プライベートエンドポイントを使う際には、Vnetピアリングが登場する機会はあるのか?
A:無くは無い!
必須ではないが、Vnetピアリングを実施した上で利用することも可能である。
例えば、ハブVnetが存在し、その中でエンドポイント系のサービスが集約されている。他のVnetからもハブを利用してストレージアカウントに接続する・・・といった場合には、Vnetピアリング×プライベートエンドポイントも利用されるだろう。
Discussion