皆さんこんにちは!
今回は先日プレビュー機能としてリリースされたばかりの 「Virtual network service endpoint policies」 についてご紹介したいと思います。
サービスエンドポイントポリシーという名の通り、サービスエンドポイントに対してより詳細にポリシーを定義することが可能な機能です。
そもそもサービスエンドポイントとは?という方は以下の Microsoft 社の公開情報をご参照ください。
参考:
仮想ネットワーク サービス エンドポイント
サービスエンドポイントポリシーで提供される機能を掻い摘んで説明すると、これまでサービスエンドポイントで大きな括りとして定義されていた「ストレージアカウントへのアクセス」が「”特定の”ストレージアカウントへのアクセス」というより細かい定義を可能とする機能です。
これまでは、サービスエンドポイントを有効にし、ストレージアカウントへのアクセスを特定のサブネットに制限するところまではできていましたが、アクセスする側のサブネットに所属する VM は、任意のストレージアカウントであればどこでも接続できてしまうという課題を抱えていました。
このサービスエンドポイントポリシーは、現状(2018年10月10日現在)プレビューとして提供されており、下記2つのリージョンで利用可能となっています。
それではサービスエンドポイントポリシーを以下の手順の通り実際に設定して、その動作を見ていきます。
a. サービスエンドポイントポリシーの作成
b. 適用先のネットワーク作成
まずは [すべてのサービス] - [その他] の中にある [サービス エンドポイント ポリシー] を選択します。
[追加] ボタンを選択すると、以下のような作成画面に遷移します。
[リソースを追加する] を選択し、ポリシーを定義します。
[サービス] のリストから接続を許可するサービスの種類を選択するのですが、現在のプレビューでは [Microsoft.Storage] のみが表示されています。今後はサービスエンドポイントにリスト表示されるサービスと同様の一覧が追加されると予想されます。
続けて、このサービスエンドポイントポリシーを紐づけるネットワークリソースを作成します。今回は、単なる VNet の作成のため、変更が必要な個所のみをご紹介します。
以下の図の通り、[場所] をプレビュー提供対象の 米国中西部/米国西部2を選択すると、サービスエンドポイントポリシーの項目が追加されています。
これで準備完了です。実際にポリシーが効いているか、該当サブネットに VM を構築して見ていきます。
該当サブネット上の VM から
現状のプレビュー段階では、絞り込みが可能なリソースがサブネットのリージョンに依存する仕組みとなっていますが、今後の動向が気になる箇所かと思います。
今回の記事は以下の公開情報を参考に執筆させていただきました。
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-service-endpoint-policies-overview
Azure でこんなことができたらいいな、と考えていると、ふと求めていた機能が提供され始めるといった現象が、個人的な主観ですが最近どんどん増えてきているように思えます。
今回のプレビューは、企業における PaaS 活用を始めるにあたってのセキュリティ観点での懸念を払拭しうる機能かと思いますので、これを機に PaaS 活用の検討を前に進めていけることを願っています。
正式リリースが待ち遠しいですね!