「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azure]] --Azureの ---[[GW / LB的なモノ。>AzureのGW / LB的なモノ。]] ---[[プロキシ的なモノ。>Azureのプロキシ的なモノ。]] --[[Azureの仮想ネットワーク > VNETに接続する。>Azureの仮想ネットワーク#tacd3237]] ---[[VPN Gateway]] ---[[Azure ExpressRoute]] ---[[Azure Peering Service]] ---[[仮想ネットワーク ピアリング>Azureの仮想ネットワーク ピアリング]] ---Azure Private Link / [[Endpoint>Azure Private Endpoint]] ---[[OA-LANとAzureのVNETの分離]] * 目次 [#q24a4c8c] #contents *概要 [#k559b8e2] -[[アクセス元>#l7dccaa9]]のAzureのVNETと[[アクセス先>#o0fd31b0]]のAzureのサービスを接続する。 -[[Azure Private Endpoint]]から、Azureのサービスまでの経路を言う。 *詳細 [#g85f2c11] **メリット [#y3f20da7] NATルータを介したパケット転送に相当し、[[Hub & Spoke>FgCF (Financial-grade Cloud Fundamentals)#uc3de4ee]]を構成する際に有用。 ***[[オンプレ延伸>FgCF (Financial-grade Cloud Fundamentals)#aed3c834]]でIPアドレスを浪費しない。 [#se839a85] 隔離VNETを構成し、オンプレのIPアドレスを枯渇させなくて済む。 -Spokeを隔離VNETで隔離する。 -大量のVMを起動する大量計算バッチなどをを隔離VNETで隔離。 ***単方向のみ許可するのでセキュア&負荷軽減が可能 [#m7ca72f7] 単方向のみ許可するので逆方向の通信を行う場合、逆方向のPrivate Linkが必要になる。 -[[アクセス先>#o0fd31b0]]のAzureのサービスから[[アクセス元>#l7dccaa9]]のAzureのVNETに入れないのでセキュア -この場合、 --オンプレのプロキシを経由しないので、専用線の負荷軽減が可能。 --インバウンド開放によるアクセス経路変更が容易になる。 **デメリット [#be1e9e3e] ***メンテナンス経路の検討 [#dceb752c] -イントラ側から? -インターネット側から? --[[RDP]]、[[SSH]]、SQL TDS --[[Azure Bastion]] ***SpokeからHubへアクセスするケース [#f0a5577d] -同期であれば、逆方向のPrivate Linkか、[[NSG>Network Security Group (NSG)]]だが、セキュリティ・レベルが下る。 -非同期であれば、間にデータ交換用の隔離VNETを作成することで対応できる。 ***隔離VNET用のプロキシをどのように準備するか? [#idf84589] が課題になる。 **アクセス元・先 [#qf929c11] ***アクセス元 [#l7dccaa9] [[Azureの仮想ネットワーク]](VNET) ***アクセス先 [#o0fd31b0] 各種のAzureのサービス -Azure IaaS --接続パス ---→ [[Azure Private Link]]サービス ---→ [[Standard Azure Load Balancer(ILB)>AzureのGW / LB的なモノ。#o57521ef]] --接続手順~ [[Azure Private Link]]サービスと[[ILB>AzureのGW / LB的なモノ。#o57521ef]]は依存関係。 ---事前に、[[Standard Azure Load Balancer(ILB)>AzureのGW / LB的なモノ。#o57521ef]]を作成しておく。 ---このILBに対して、[[Azure Private Link]]サービスを作成する。 ---次いで、[[Azure Private Endpoint>#tabb995f]]を作成する。 -Azure PaaS --接続パス~ → [[Azure Private Link]]と統合した各種PaaS --接続手順 ---事前に、各種PaaSを作成しておく。 ---各種PaaSに対して、[[Azure Private Endpoint>#tabb995f]]を作成する。 --参考 ---[[Azure SQL Databaseをプライベート化する。]] ---[[ACR(コンテナ・レジストリ)をプライベート化する。]] ---Azure Private Link とは | Microsoft Docs > 可用性 > サポートされているサービス~ https://docs.microsoft.com/ja-jp/azure/private-link/private-link-overview#availability -Azure SaaS~ SaaS側のサポートによっては適用可能らしい。 --参考 ---Azure Private LinkとSnowflake — Snowflake Documentation~ https://docs.snowflake.com/ja/user-guide/privatelink-azure.html#configuring-access-to-snowflake-with-azure-private-link *参考 [#b0e2ab5b] **Qiita [#f470041c] -Azure Private Link について~ https://qiita.com/Aida1971/items/e8a0671a07afaf57b2b1 -Azure Private Linkが出たのでStorageとSQLへの接続を試してみる~ https://qiita.com/ryoma-nagata/items/590242bd8b1865a57a82 **Microsoft Docs [#ncb88033] -Azure Private Link とは~ https://docs.microsoft.com/ja-jp/azure/private-link/private-link-overview ***クイックスタート [#ra643376] -Azure portal を使用してプライベート リンク サービスを作成する~ https://docs.microsoft.com/ja-jp/azure/private-link/create-private-link-service-portal -Azure PowerShell を使用して Azure プライベート リンク サービスを作成する~ https://docs.microsoft.com/ja-jp/azure/private-link/create-private-link-service-powershell -Azure CLI を使用して Azure プライベート リンク サービスを作成する~ https://docs.microsoft.com/ja-jp/azure/private-link/create-private-link-service-cli ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュリティ]], [[:通信技術]], [[:Azure]]