●サービスエンドポイント
Azureには、「インターネットを経由して利用するシナリオ」と「Azure内部から利用するシナリオ」の2つがある。
既定では、これらのサービスへのアクセスおよびトラフィックでは送信元IPアドレスとしてパブリックIPアドレスが使用されるため、インターネットを経由してそれらのサービスにアクセスすることが可能。
アクセス元の仮想マシンとアクセス先のストレージが同じリージョンやデータセンターに存在しているにも関わらず、インターネット経由でアクセスするのは非効率であり不正アクセスの心配もある。
このようにAZure内部から利用したいシナリオでは、インターネット経由のアクセスを許可しない様に制限んしたい場合がある。
■サービスエンドポイントを使用すると、Azureバックボーンネットワーク上で最適化されたルートを介して、ストレージやSQL DatabaseなどのAzureサービスに安全に直接接続できる。
サービスポイントの有効化により、仮想ネットワークかわAzureサービスにアクセスするときのトラフィックにおいて、発信元IPアドレスとして仮想ネットワークのプライベートアドレスが使用される様に切り替わる。
つまり、仮想マシンなどがパブリックIPアドレスを使用せずに仮想ネットワーク内からストレージやSQL Databaseなどのサービスに直接接続できる。
※インターネット経由のアクセスがブロックされる。
●サービスエンドポイントを有効化した後は、各サービスで具体的な制限の内容について構成する必要がある
サービスエンドポイントは、各サービスが持っているファイアウォール機能と連動して動作するがmリソースへのネットワークアクセスを制限するために必要な手順はサービスの種類によって異なる。
■サービスエンドポイントはルートテーブルの変更とサービスごとのファイアーウォールによって実現する、その結果、サービス側で許可した特定の仮想ネットワークからのアクセスだけが受け入れられ、仮想ネットワークからAzureサービsへのアクセスがインターネットを経由せず、直接に行われる様になる。