主にAzure VMにアタッチして利用することができるAzure Managed Diskですが、Portalの左メニューに[ネットワーク]という項目があります。
Managed Diskにネットワーク設定ってなにかな?と疑問に思ったので、どういった利用用途で活用できるのかを検討してみます。
デフォルト値
- デフォルトでは以下のように[すべてのネットワークからのパブリックアクセスを有効にする]となっています。
他のPaaSサービスと同様にプライベートエンドポイント経由でのアクセスも選択できそうです。
- パブリックアクセスが有効というとなんだか気持ちが悪いので、これを無効にするとどういう影響があるのか検証してみます。
ディスクのエクスポート
- このネットワーク設定を変更することで、[ディスクのエクスポート]に影響があることが分かりました。
- 次にそれぞれの設定でどのような影響があるのか見ていきます。
パブリックアクセス有効
-
まずはデフォルト設定の場合です。
-
仮想マシンが停止した状態で、Portalの左メニューから[ディスクのエクスポート]を選択します。
-
[URLの生成]を選択します。デフォルトだと1時間有効なSAS URLが生成されます。
-
こんな感じでSAS URLが生成されるのでここからVHDファイルをダウンロードできるようになります。
警告
SAS URLを生成した場合、認証なしでどこからでもダウンロードできるので注意が必要です。
- [エクスポートのキャンセル]を選択することで、SAS URLを無効にできます。
プライベートエンドポイント経由のみ
-
次に[パブリック アクセスを無効にし、プライベート アクセスを有効にする]の設定を検証します。
-
Managed Diskに対するプライベートエンドポイントを設定する場合、他のPaaSと違ってディスクアクセスというリソースを作成しなければなりません。Portalから[ディスクアクセス]と入力して選択します。
-
ディスクアクセス識別子とリージョンを入力し[追加]を選択します。
-
プライベートエンドポイントの設定をします。リージョンやプライベートエンドポイント名を入力します。
-
プライベートエンドポイントを作成するvNetとサブネットを選択します。
-
プライベートDNSゾーンの統合は有効にします。
-
以上の設定でディスクアクセスリソースを作成します。
-
[Managed Disk]→[ネットワーク]の画面に戻ると、先ほど作成したディスクアクセスリソースが選択可能になっているので、選択して保存します。
-
この状態で再度SAS URLを生成してみます。
-
ブラウザからアクセスしても認証エラーとなることが分かります。
-
プライベートエンドポイント内のVMからアクセスしてみるとVHDファイルがダウンロードできることを確認しています。
無効
-
最後にネットワークアクセスを無効にしてみます。
-
URL生成自体がグレーアウトされSAS URLを発行できなくなります。
気になること
アクティビティログには記録される?
- SAS URLを発行すると以下のようにアクティビティログに記録されます。
Azure Backupは動作する?
- これAzure Backup大丈夫かな?と心配でしたが、プライベートエンドポイント経由のみ、無効、それぞれでAzure Backupが動作することを検証しました。
まとめ
- 今回エクスポートで検証しましたが、VHDのインポートでもこのネットワーク設定の影響は受けるようです。
- エクスポート/インポートの要件がない場合は、無効にする。要件があった場合でも、プライベートエンドポイント経由にするのがよいかと考えます。
以上です。