Azure Private Link の発表

2019年9月17日 に投稿済み

Corporate Vice President, Azure Networking

高可用性を実現しつつ世界中に展開できる Azure のスケーラビリティは、お客様にご好評をいただいています。Azure の採用が急速に進むのに伴い、自社のネットワークからデータやサービスにプライベートかつ安全にアクセスするというお客様のニーズがますます高まっています。こうしたお客様を支援するため、Azure Private Link のプレビューを発表いたします。

Azure Private Link は、Azure のお客様が Azure Virtual Network (VNet) から Azure Storage や Azure SQL などの Azure サービス、Microsoft パートナー サービス、お客様独自のサービスをプライベートに利用するための、安全でスケーラブルな方法です。このテクノロジは、プロバイダーとコンシューマーの両方が Azure でホストされる、プロバイダー/コンシューマー モデルに基づいています。接続は、同意に基づく呼び出しフローを使用して確立されます。いったん接続が確立されると、サービス プロバイダーとサービス コンシューマー間のすべてのデータ フローがインターネットから隔離され、Microsoft ネットワーク上に留まります。サービスと通信するために、ゲートウェイ、ネットワーク アドレス変換 (NAT) デバイス、パブリック IP アドレスは必要ありません。

Azure Private Link を使用すると、お客様のプライベート VNet 内で Azure のサービスを利用できるようになります。サービス リソースにアクセスする際、VNet 内にある他のあらゆるリソースと同様に、プライベート IP アドレスを使用できます。これにより、アクセス規則をプライベートに保つことで、ネットワーク構成が大幅に簡略化されます。

Private Link のトポロジを示す図。サービスはまず Private Link に接続され、その後プライベート エンドポイント経由でお客様の VNet にリンクされ、その内部で使用できるようになる。

今日は、Azure Private Link の発表によって可能になる、独自の重要なユース ケースをいくつか紹介します。

Azure PaaS サービスへのプライベート接続

Azure Storage や Azure SQL Database などのマルチテナント共有サービスは VNet 外にあり、従来はパブリック インターフェイス経由でのみアクセスできました。現在は、VNet サービス エンドポイントを使用してこの接続を保護できます。これにより、トラフィックは Microsoft のバックボーン ネットワーク内に留まり、PaaS リソースは VNet 内にロックダウンされます。しかし、PaaS エンドポイントは引き続きパブリック IP アドレス経由で提供されているため、オンプレミスから Azure ExpressRoute プライベート ピアリングまたは VPN ゲートウェイを介してアクセスすることはできません。今日の Azure Private Link の発表により、お客様は簡単に VNet にプライベート エンドポイントを作成し、PaaS リソース (Azure Storage アカウント BLOB または SQL Database サーバー) にマップできるようになります。そうすることで、VNet 内のプライベート IP アドレス経由でこれらのリソースにアクセスできるようになり、オンプレミスから Azure ExpressRoute プライベート ピアリングや VPN ゲートウェイを介した接続が実現します。パブリック IP アドレスに公開する必要がないので、ネットワーク構成をシンプルに保つことができます。

お客様独自のサービスへのプライベート接続

この新しいオファリングは Azure PaaS サービスに限定されません。お客様独自のサービスにも活用できます。現在、Azure 内のサービス プロバイダーが Azure 内で実行している他のコンシューマーにサービスを提供するには、サービスをパブリック インターフェイス (IP アドレス) 経由でアクセスできるようにする必要があります。VNet ピアリングを使用してコンシューマーの VNet に接続すれば、接続をプライベートにすることもできますが、これはスケーラブルではなく、すぐに IP アドレスの競合が発生します。今日の発表により、サービスを Azure Standard Load Balancer の背後にある独自の Vnet で完全にプライベートな形で実行し、また Azure Private Link に対して有効化できるようになります。これにより、VNet やサブスクリプションが異なるコンシューマーや、Azure Active Directory (AD) テナントで実行しているコンシューマーが、シンプルなクリックと承認呼び出しフローで、そのサービスにアクセスできるようになります。サービス コンシューマーは、自身の Vnet 内にプライベート エンドポイントを作成するだけで、Azure Private Link サービスを完全にプライベートで使用できます。アクセス制御リスト (ACL) をパブリック IP アドレス空間に公開する必要はありません。

従来パブリック IP 経由で公開されていたサービスと、VNet 内で Private Link 経由で公開されているサービスを示す、使用前と使用後の図

SaaS サービスへのプライベート接続

現在、さまざまな Microsoft パートナーが、多くの SaaS (サービスとしてのソフトウェア) ソリューションを Azure のお客様向けに提供しています。これらの SaaS ソリューションはパブリック エンドポイントを介して提供されており、Azure のお客様がソリューションを利用するにはプライベート ネットワークをパブリック インターネットに公開する必要があります。お客様は、これらの SaaS ソリューションを、あたかも自身のネットワーク内で展開されているかのようにプライベート ネットワーク内で利用したいと考えています。SaaS ソリューションをお客様自身のネットワーク内でプライベートに利用する機能については、よくご要望をいただいていました。Azure Private Link を使用すると、Microsoft パートナーのソリューションでもプライベートな接続エクスペリエンスを実現できます。これは、Microsoft パートナーが Azure のお客様にリーチするための、非常に強力なメカニズムです。今後、Azure Marketplace で提供される多くのオファリングが Azure Private Link を介して利用されるようになることを確信しています。 

Azure Private Link の主な特長

  • プライベートなオンプレミス アクセス: PaaS リソースはお客様の VNet のプライベート IP アドレスにマップされるため、Azure ExpressRoute プライベート ピアリングを介してアクセスできます。つまり、オンプレミスから Azure まで、データが事実上完全にプライベートなパスを通ることになります。そのため、社内ファイアウォールやルート テーブルの構成は、プライベート IP アドレスのみのアクセスを許可するように簡素化できます。
  • データ流出からの保護: Azure Private Link は、他のクラウド プロバイダーがサービス全体をプライベート IP アドレスにマップするのに対し、特定の PaaS リソースをプライベート IP アドレスにマップするという点で独特です。同じプライベート エンドポイントを使用して別のアカウントにデータを流出させようという悪意ある行為は実質的に失敗するので、組み込みのデータ流出保護が実現します。
  • シンプルなセットアップ: AzurePrivate Link は、最小限のネットワーク構成しか必要としないため、セットアップがシンプルです。接続は承認呼び出しフローに基づいて機能し、いったん PaaS リソースがプライベート エンドポイントにマップされると、ルート テーブルと Azure Network Security Group (NSG) に追加の設定を行わなくてもそのまま機能します。

  • アドレス空間の重複: 従来、お客様は VNet ピアリングのメカニズムを使用して複数の VNet を接続していました。VNet ピアリングでは、VNet 間で重複するアドレス空間があってはいけません。エンタープライズ ユース ケースでは、IP アドレス空間が重複しているネットワークが見つかることは珍しくありません。Azure Private Link では従来の方法に代わり、IP アドレス空間が重複している別々の VNet にあるアプリケーションをプライベートに接続するための方法を提供します。

1 つの VNet にある VM のサービスが、Azure Private Link を使用してプライベート IP 空間経由で別の VNet のユーザーに公開されている様子を示す、シンプルな図。

ロードマップ

本日発表した Azure Private Link プレビューは、<g>一部のリージョン</g>に限定されています。近日中に、さらに多くのリージョンに拡大する予定です。また、今後数か月以内に、Azure Cosmos DB、Azure MySQL、Azure PostgreSQL、Azure MariaDB、Azure Application Service、Azure Key Vault を含むさらに多くの Azure PaaS サービス、そしてパートナー サービスを、Azure Private Link に追加する予定です。

ぜひ、Azure Private Link プレビューをお試しいただき、フィードバックをお寄せください。皆様のフィードバックはサービスに取り入れされていただきます。詳細については、こちらのドキュメントを参照してください。