MySQL と PostgreSQL 向けの VNet サービス エンドポイントの一般提供に関するお知らせ

8月 16, 2018 に投稿済み

Principal Program Manager, Azure Data

このブログ記事は、Azure ネットワークの主席プログラム マネージャーである Anitha Adusumilli 氏と共同で執筆されました。

Microsoft は先般、MySQL と PostgreSQL 向けの Azure データベース サービスの一般提供を開始しました。これらのサービスにより、Azure 上で、ビルトインの高可用性、99.99% の可用性 SLA、エラスティックなパフォーマンス スケーリング、そして業界最先端のセキュリティコンプライアンスを備えたコミュニティ バージョンの MySQL と PostgreSQL が提供されます。Microsoft は、一般提供開始後も、世界中のさらに多くのリージョンでストレージの容量を増やし、可用性を高めるなど、新機能を投入してきました。

Azure Database for MySQL と Azure Database for PostgreSQL 向けの仮想ネットワーク (VNet) サービス エンドポイントが、General Purpose サーバーとメモリ最適化サーバーでこのサービスを利用可能なすべてのリージョンで一般提供となったことをお知らせします。サービスが利用可能かどうかについては、MySQLPostgreSQL を利用できるリージョンの展開状況をご確認ください。VNet サービス エンドポイントを利用すると、仮想ネットワーク内にある特定のサブネットまたは一連のサブネットのみからの論理サーバーへの接続を分離できます。VNet から Azure Database for MySQL や Azure Database for PostgreSQL へのトラフィックは、常に Azure のバックボーン ネットワーク内に留まります。この直接ルートは、仮想アプライアンスまたはオンプレミスを経由してインターネット トラフィックをルーティングする特定のルートよりも優先されます。

サービス エンドポイント経由の仮想ネットワーク アクセスに対して別途課金されることはありません。Azure Database for MySQL と Azure Database for PostgreSQL の現在の価格モデルがそのまま適用されます。

画像 1

ファイアウォール規則と VNet サービス エンドポイントを併用する

VNet サービス エンドポイントを有効にしても、Azure Database for MySQL または Azure Database for PostgreSQL 上でプロビジョニングしたファイアウォール規則がオーバーライドされることはありません。どちらも引き続き適用できます。

VNet サービス エンドポイントがオンプレミスにまで展開されることはありません。オンプレミスからのアクセスを許可するには、ファイアウォール規則を使用してパブリック (NAT) IP のみに接続を制限することができます。

VNet の保護を有効にするには、Azure Database for MySQL の場合はこちらの記事、Azure Database for PostgreSQL の場合はこちらの記事をご覧ください。

既存のファイアウォール規則を使用してサーバーのサービス エンドポイントを有効にする

サービス エンドポイントが有効になっているサーバーに接続すると、データベース接続の接続元 IP がご利用の VNet のプライベート IP 空間に切り替わります。構成には、Azure Database for MySQL、Azure Database for PostgreSQL、Azure SQL Database Managed Instance、Azure SQL Data Warehouse を含め、すべての Azure データベースに対応する共有サービス タグ "Microsoft.Sql" を使用します。現時点で、ご利用のサーバーまたはデータベースのファイアウォール規則で特定の Azure パブリック IP が許可されている場合は、特定の VNet/サブネットを VNet のファイアウォール規則で指定して許可するまで接続が中断されます。確実に接続できるようにするには、サービス エンドポイントを有効にする前に、IgnoreMissingServiceEndpoint フラグを使用して VNet のファイアウォール規則を指定してください。

既存のファイアウォール規則

App Service Environment のサポート

Microsoft では、一般提供の一環として、ご利用の VNet にデプロイされた App Service Environment (ASE) サブネット向けのサービス エンドポイントをサポートします。

次の手順

最初に、「仮想ネットワーク サービス エンドポイント」のほか、MySQLPostgreSQL 向けの VNET サービス エンドポイントの構成方法に関するドキュメントをご覧ください。

機能の詳細やシナリオについては、Azure におけるアプリケーションのネットワーク セキュリティに関する Microsoft Ignite セッションをご覧ください。