LoginSignup
5
4

More than 3 years have passed since last update.

@ryoma-nagata(Ryoma Nagata)

Azure Private Linkが出たのでStorageとSQLへの接続を試してみる

Last updated at Posted at 2019-09-18

Azure Private Linkについて

概要

https://docs.microsoft.com/ja-jp/azure/private-link/private-link-overview
よりセキュアにPaasサービスに接続できまっせというもの
image.png

手順参考url

プライベートエンドポイントを作成する
https://docs.microsoft.com/ja-jp/azure/private-link/create-private-endpoint-portal
非公開でストレージに接続する
https://docs.microsoft.com/ja-jp/azure/private-link/create-private-endpoint-storage-portal

環境構成

Virtual Network

仮想ネットワークを作成しておきます
Private Linkはこのネットワーク内のPrivate IPをPaaSサービスに割当てて各サービスに接続する仕組みのようです。
image.png

Storage Account

テスト対象のストレージを作成します。

ストレージアカウント作成

ネットワーク設定部分にPrivate Linkの設定が表示されるようにUIが変更されています。
image.png

Private End Point(Storage)

ではプライベートエンドポイントを作成します
image.png

ストレージアカウントが作成できたら信頼されたAzure Serviceのチェックを外しておきます。
これでPrivate Linkの経路以外ではアクセスできないストレージになりました。
image.png

SQL Server

作成方法は割愛。こちらはサーバ作るタイミングではネットワーク設定がないので。
Azure Serviceのチェックは外しておきます。
image.png

Private Link Center

image.png
Private End Pointの一覧が見れます。
ストレージアカウント用のエンドポイントが作成されています。
image.png
SQL Serverのエンドポイントを作成しましょう。※画像は西部2にしてますが、米国西部です。

image.png

なるほど、ここで他サブスクリプションが選べるのかな
image.png

デプロイ先の仮想ネットワークとDNSゾーンの確認をして作成
image.png

リソースの状況
エンドポイントを作成すると、エンドポイントを作成したリソース用のNICが作成されます。
image.png
内部IPが確認できます。
image.png

Network Security Group

ちなみにsubnetの構成は以下。
bastion Subnet・・・踏み台用。WindowsVMをデプロイします。自環境からのRDPのみを許可してます。
default Subnet・・・Private End Pointをデプロイしてます。既定の設定でInt経由のアクセスを不許可です。
image.png

image.png
image.png

Virtual Machine

bastionサブネットにデプロイ
image.png

接続確認

IP確認

VMから接続してみます。
まずはIPを確認してみましょう。エンドポイントはDNSゾーンから確認できます。
image.png

SQL Server

nslookup <SQL Server名>.privatelink.database.windows.net

ストレージアカウント

nslookup <ストレージアカウント名>.blob.core.windows.net/

見つかりました。Private IPで見えてますね
image.png

168.63.129.16はMicrosoftの管理するPublicIPです。
https://docs.microsoft.com/ja-jp/azure/virtual-network/what-is-ip-address-168-63-129-16

では実際に接続をしてみます。

SQL Server接続確認

SQL Server Management Studioから接続してみます。
SQL Server のFWはどこからもアクセスさせない設定です。サービスエンドポイントも使用しないので、ネットワーク選択もしてません。
image.png

ローカルPCから接続不可です。
image.png

VMからつながりました
image.png

Storage Account接続確認

再掲ですが、どこからもアクセスさせない設定です。
image.png

ローカルPCから接続不可です。
image.png

ドキュメントにhost設定が必要の旨があったので編集しておきます。
image.png

VMからつながりました
image.png

所感

かなり簡単に作成ができました。
今期のAzureはセキュリティ部分のかゆいところが改善されていきそう。
既存のサービスエンドポイントとの使い分けや、ロードバランサが使えるPrivate Link Serviceの活用は要勉強ですね

追記

2019/10/24
DataFactoryからSelf-hosted iRを使ってStorageAccountのPrivate Endpointにつなごうとしたところ、自動入力される部分が微妙そうで、Endpointのsuffix変更やほかにもちょっと検証が必要そうでした。
検証でき次第記事化(したい)

5
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
4