Azure 仮想マシンのネットワークの変更について検討する
Azure Virtual Machines (VM) または SAP HANA on Azure の大規模なインスタンスをデプロイする一環として、追加のネットワーク要件の考慮が必要な場合があります。
Azure Virtual Machines
仮想ネットワーク構成の変更については、「仮想ネットワークの作成、変更、削除」を参照してください。
強制トンネリング
既定ルート (0.0.0.0/0) をアドバタイズして、すべてのトラフィックをクロスプレミス接続 (ExpressRoute 回線やサイト間 VPN トンネルなど) を経由してルーティングすることができます。 このルーティングにより、Azure PaaS サービス (Azure Storage など) へのトラフィックは強制的にオンプレミス環境に戻されます。 ExpressRoute 用の Microsoft ピアリング パス経由またはインターネット経由でトラフィックを Azure に返すようにルーターを構成する必要があります。 多くの場合、このようなルーティングは、パフォーマンス上の理由から望ましくありません。 このような望ましくないパフォーマンスの問題を修復するには、サービス エンドポイントを使用してください。
Virtual Network (VNet) サービス エンドポイント
仮想ネットワーク (VNet) サービス エンドポイントは、直接接続によって仮想ネットワークのプライベート アドレス空間を拡張し、VNet の ID を Azure サービスに提供します。 エンドポイントを使用することで、重要な Azure サービス リソースへのアクセスを仮想ネットワークのみに限定することができます。 VNet から Azure サービスへのトラフィックは常に、Microsoft Azure のバックボーン ネットワーク上に残ります。 サービス エンドポイントは、Azure Storage を含む多くの PaaS サービスで使用できます。 サービスのサービス エンドポイントを有効にした場合、サービスへのトラフィックはオンプレミスに強制されません。 代わりに、トラフィックは Azure のバックボーン ネットワーク内にとどまります。 サービス エンドポイントを追加しても、パブリック エンドポイントは削除されません。 トラフィックがリダイレクトされるようになるだけです。
サービス エンドポイントを有効にするには、次の 2 つのことを行う必要があります。
- サービスへのパブリック アクセスをオフにする。
- 仮想ネットワークにサービス エンドポイントを追加する。
サービス エンドポイントを有効にするとき、トラフィックのフローを制限し、自分のプライベート アドレス空間からサービスに Azure VM が直接アクセスできるようにします。 デバイスでは、パブリック ネットワークからサービスにアクセスすることはできません。 デプロイされた仮想マシンの vNIC で [有効なルート] を確認すると、サービス エンドポイントが [次ホップの種類] になっていることに気付きます。
Azure プライベート エンドポイント
Azure プライベート エンドポイントは、仮想ネットワークと Azure サービスの間をプライベートでセキュリティ保護された接続にすることができるネットワーク インターフェイスです。 つまり、プライベート エンドポイントは、リソースのパブリック エンドポイントを置き換えるネットワーク インターフェイスです。 ユーザーはこのネットワーク インターフェイスにより、Azure Private Link を利用するサービスに非公開で安全に接続します。 プライベート エンドポイントを有効にして、サービスを仮想ネットワークに取り込みます。
サービスには、以下のような Azure サービスが利用できます。
- Azure Storage
- Azure Cosmos DB
- Azure SQL データベース
- Private Link サービスを使用する独自のサービス