このブログ記事は、Azure ネットワークのシニア プログラム マネージャーである Sumeet Mittal との共著です。

Azure Database for MariaDB 向けに一般提供が開始された仮想ネットワーク (VNet) サービス エンドポイントを使用して、セキュリティを確保し、MariaDB サーバーへのアクセスを制限しましょう。VNet サービス エンドポイントを利用すると、仮想ネットワーク内の特定サブネットからの、論理サーバーへの接続を分離できます。VNet から Azure Database for MariaDB へのトラフィックは、常に Azure のネットワーク内に留まります。この直接ルートは、仮想アプライアンスまたはオンプレミスを経由してインターネット トラフィックをルーティングする特定のルートよりも優先されます。

VNet サービス エンドポイント経由の仮想ネットワーク アクセスに対して別途課金されることはありません。Azure Database for MariaDB の現在の価格モデルがそのまま適用されます。

ファイアウォール規則と VNet サービス エンドポイントを併用する

VNet サービス エンドポイントを有効にしても、Azure Database for MariaDB 上でプロビジョニングしたファイアウォール規則がオーバーライドされることはなく、どちらも適用できます。

VNet サービス エンドポイントがオンプレミスにまで展開されることはありません。オンプレミスからのアクセスを許可するには、ファイアウォール規則を使用してパブリック (NAT) IP のみに接続を制限することができます。

VNet 保護の詳細については、「Use Virtual Network service endpoints and rules for Azure Database for MariaDB (Virtual Network のサービス エンドポイントと規則を Azure Database for MariaDB に対して使用する)」を参照してください。

既存のファイアウォール規則を使用してサーバーのサービス エンドポイントを有効にする

サービス エンドポイントが有効になっているサーバーに接続すると、データベース接続の接続元 IP がご利用の VNet のプライベート IP 空間に切り替わります。構成には、Azure Database for MariaDB、Azure Database for MySQL、Azure Database for PostgreSQL、Azure SQL Database Managed Instance、Azure SQL Data Warehouse を含め、すべての Azure データベースに対応する共有サービス タグ "Microsoft.Sql" を使用します。現時点で、ご利用のサーバーまたはデータベースのファイアウォール規則で特定の Azure パブリック IP が許可されている場合は、特定の VNet/サブネットを VNet のファイアウォール規則で指定して許可するまで接続が中断されます。確実に接続できるようにするには、サービス エンドポイントを有効にする前に、IgnoreMissingServiceEndpoint フラグを使用して VNet のファイアウォール規則を指定してください。

ASE のサポート

Microsoft では、一般提供の一環として、ご利用の仮想ネットワークにデプロイされた App Service Environment (ASE) サブネット向けのサービス エンドポイントをサポートします。

次の手順

• サービスの利用を開始するには、Azure portal または Azure CLI を使用して、最初の Azure Database for MariaDB サーバーを作成します。
• Azure portal または Azure CLI を使用して MariaDB 用の VNet サービス エンドポイントを構成する方法をご確認ください。
• Microsoft のチームへのお問い合わせは、電子メール (AskAzureDBforMariaDB@service.microsoft.com) でお寄せください。
• 機能に関するご要望は、UserVoice までお寄せください。
• 最新機能については、Twitter (@AzureDBMariaDB) でご確認ください。