🔚
サービスエンドポイントでサブネットとPaaSサービスを1:1に絞る
モチベ
サービスエンドポイントで1:1に通信を絞る際の設定と影響を確認したい
作成したリソース
VNET
- ストレージアカウントのサービスエンドポイントで指定する
VM
- サービスエンドポイントで指定するサブネットに所属
ストレージアカウント
- PaaSの代表選手
サービスエンドポイントを有効化
- VMの属するVNET/Subnetを指定する
- VMのNICに見えているルートにService Endpointが追加される
- EastUSのストレージアカウントとペアリージョンのWestUSのストレージアカウントのパブリックIPに対してのルールがNexthopをVirtualNetworkServiceEndpoinにする形で追加される
- IPレンジの確認はこちら
サービスエンドポイントポリシーの設定
- このままだとVNETから他のストレージアカウントにもアクセスできてしまうため、特定のものに絞る
- サブネットに関連付ける
1:1になっていることの確認
-
サービスエンドポイントポリシーで指定したストレージアカウント⇒コンテナ内部アクセス可能
-
その他のストレージアカウント⇒コンテナ内部アクセス不可
以上
サービスエンドポイントで1:1通信許可の検証をしてみました。
Discussion