モチベ

サービスエンドポイントで1：1に通信を絞る際の設定と影響を確認したい

作成したリソース

VNET

• ストレージアカウントのサービスエンドポイントで指定する

VM

• サービスエンドポイントで指定するサブネットに所属

ストレージアカウント

• PaaSの代表選手

サービスエンドポイントを有効化

• VMの属するVNET/Subnetを指定する
• VMのNICに見えているルートにService Endpointが追加される
• EastUSのストレージアカウントとペアリージョンのWestUSのストレージアカウントのパブリックIPに対してのルールがNexthopをVirtualNetworkServiceEndpoinにする形で追加される
• IPレンジの確認はこちら
  • https://www.microsoft.com/en-us/download/details.aspx?id=56519
    

サービスエンドポイントポリシーの設定

• このままだとVNETから他のストレージアカウントにもアクセスできてしまうため、特定のものに絞る
  
• サブネットに関連付ける
  

1：1になっていることの確認

• サービスエンドポイントポリシーで指定したストレージアカウント⇒コンテナ内部アクセス可能
  

• その他のストレージアカウント⇒コンテナ内部アクセス不可
  

以上

サービスエンドポイントで1：1通信許可の検証をしてみました。