先日(2023/1/24)にPrivate EndpointでApplication Security Groupがサポートされるようになりました。
Application Security Groupとは
仮想マシン(NIC)をグループ化する事ができ、NSGの送信元/宛先として適用できます。同じ役割のサーバー同士をグルーピングする事で、アプリケーションの通信パターンに適応したNSG設定が容易になります。
今回このNICの対象にPrivate EndpointのNICも含めるようになり、閉域通信で構築しているPaaSサービスもグルーピングができるようになりました。
触ってみた
前提の環境
以下のような環境を作成しました。
Private Linkについては前回の記事をご確認ください。
結果確認用のVMからはそれぞれのWebAppにアクセスできることを確認しています。
ASGを作成する
ASGをあらかじめ作成しておきます。
作成時点では特に特別なパラメータは必要ありません。
Private EndpointにASGを割り当てる
Private Endpointのリソースから「アプリケーションセキュリティグループ」を選択して、先程作成したASGを割り当てます。
今回は2つエンドポイントがあるので両方に割り当てを行います。
NSGに対して受信ルールを設定する
今回はエンドポイントが含まれた二つのサブネットを制御するNSGに対して、ASG内のNICを宛先とするすべてのHTTPS通信を拒否します。
サブネットに対してプライベート エンドポイントのネットワーク ポリシーを有効にする
忘れがちなポイントとして、プライベートエンドポイントが含まれたサブネットでネットワークポリシーを有効化しないとNSGでの制御はできません。
※これはASGだけではなく単体のプライベートエンドポイントに対してNSGで制御する際も同じです。
結果確認
結果確認用のVMからEdgeなどでWebAppにアクセスし、アクセスできなければ成功です。
参考