Azure ネットワーク接続の基本
Azure におけるネットワーク接続は、リソース間の通信、オンプレミスとの接続、そしてインターネットへの公開を制御する重要な要素です。ここでは主要な接続オプションについて解説します。
VNet ピアリング (VNet Peering)
VNet ピアリングは、2つの仮想ネットワーク (VNet) を接続し、あたかも1つのネットワークであるかのように通信できるようにする機能です。
主な特徴
- 低遅延・高帯域幅: Microsoft のバックボーンネットワークを経由して通信が行われます。
- リージョン間対応: 異なるリージョンにある VNet 同士も接続可能です(グローバル VNet ピアリング)。
- ゲートウェイ不要: VPN ゲートウェイなどを介さずに直接通信できます。
ユースケース
- ハブ&スポーク構成でのハブ VNet とスポーク VNet の接続
- 異なるシステム間でのプライベートなデータ連携
VPN (Virtual Private Network)
Azure VPN Gateway を使用して、オンプレミスネットワークや他のクラウド、または個々のクライアントデバイスと Azure VNet を安全に接続します。
接続の種類
- サイト間 (Site-to-Site) VPN: オンプレミスの VPN デバイスと Azure VPN Gateway を IPsec/IKE トンネルで接続します。拠点のネットワーク全体を Azure に拡張する場合に使用します。
- ポイント対サイト (Point-to-Site) VPN: 個々のクライアント PC から Azure VNet へ安全に接続します。リモートワークなどで利用されます。
- VNet 間 (VNet-to-VNet) VPN: 異なる VNet 同士を VPN Gateway を介して接続します(ピアリングが利用できない場合など)。
VNet 統合 (VNet Integration)
Azure App Service や Azure Functions などの PaaS サービスから、Azure VNet 内のリソースにアクセスするための機能です。
仕組み
- PaaS サービスのアウトバウンドトラフィックを、指定した VNet のサブネットにルーティングします。
- これにより、PaaS アプリから VNet 内の VM、データベース、または Private Endpoint を持つリソースへプライベート IP でアクセス可能になります。
注意点
- インバウンド(PaaS へのアクセス)をプライベート化する機能ではありません(それは Private Endpoint の役割です)。
- 統合先のサブネットには他のリソースを配置できない場合があります(委任されたサブネット)。
Private Endpoint (プライベート エンドポイント)
Azure PaaS サービス (Azure SQL Database, Storage Account, App Service など) に、VNet 内のプライベート IP アドレスを割り当てるネットワークインターフェースです。
メリット
- セキュリティ向上: パブリックインターネットを経由せず、VNet 内からプライベートに PaaS サービスへアクセスできます。
- データ流出防止: 特定のリソースインスタンスへの接続のみを許可し、サービス全体へのアクセスは許可しません。
- オンプレミスからのアクセス: VPN や ExpressRoute を介して、オンプレミスからもプライベート IP でアクセス可能です。
Private Link との関係
Private Endpoint は、Azure Private Link サービスを利用するためのネットワークインターフェースです。Private Link は、サービスを VNet にプライベートに公開するための基盤技術です。
典型的な構成例
以下は、App Service、SQL Database、Blob Storage を使用し、セキュリティを高めた典型的なネットワーク構成です。
- Hub VNet: VPN Gateway と踏み台サーバー (Jumpbox) を配置し、オンプレミスや管理者からの入り口を集約します。
- Spoke VNet: アプリケーションのリソースを配置します。
- VNet Peering: Hub と Spoke を接続し、VPN 経由で Spoke 内のリソースへアクセス可能にします。
- VNet Integration: App Service から VNet 内の Private Endpoint へのアクセスを可能にします。
- Private Endpoint: SQL Database と Blob Storage を VNet 内にプライベートに公開します。
この構成により、以下のメリットが得られます。
- PaaS へのアクセス制限: SQL や Storage へのパブリックアクセスを遮断し、VNet 内からのアクセスのみに限定できます。
- 安全なメンテナンス: 管理者は VPN 経由で Jumpbox に接続し、そこからプライベート IP で各リソースを操作できます。
- ネットワークの分離: Hub-Spoke 構成により、ネットワーク管理とアプリケーションリソースを分離できます。
比較まとめ
| 機能 | 目的 | 通信方向 | 主な対象 |
|---|---|---|---|
| VNet Peering | VNet 間の接続 | 双方向 | VNet - VNet |
| VPN | 拠点/端末と VNet の接続 | 双方向 | On-premise/Client - VNet |
| VNet Integration | PaaS から VNet へのアクセス | アウトバウンド (PaaS -> VNet) | PaaS (App Service等) |
| Private Endpoint | VNet から PaaS へのアクセス | インバウンド (VNet -> PaaS) | PaaS (SQL, Storage等) |