🔚

サービスエンドポイントでサブネットとPaaSサービスを1:1に絞る

2022/07/29に公開

モチベ

サービスエンドポイントで1:1に通信を絞る際の設定と影響を確認したい

作成したリソース

VNET

  • ストレージアカウントのサービスエンドポイントで指定する

VM

  • サービスエンドポイントで指定するサブネットに所属

ストレージアカウント

  • PaaSの代表選手

サービスエンドポイントを有効化

  • VMの属するVNET/Subnetを指定する
  • VMのNICに見えているルートにService Endpointが追加される
  • EastUSのストレージアカウントとペアリージョンのWestUSのストレージアカウントのパブリックIPに対してのルールがNexthopをVirtualNetworkServiceEndpoinにする形で追加される
  • IPレンジの確認はこちら

サービスエンドポイントポリシーの設定

  • このままだとVNETから他のストレージアカウントにもアクセスできてしまうため、特定のものに絞る
  • サブネットに関連付ける

1:1になっていることの確認

  • サービスエンドポイントポリシーで指定したストレージアカウント⇒コンテナ内部アクセス可能

  • その他のストレージアカウント⇒コンテナ内部アクセス不可

以上

サービスエンドポイントで1:1通信許可の検証をしてみました。

GitHubで編集を提案

Discussion