今回は、PrivateLinkとPrivateLinkサービスについてです。
- ■PrivateLinkとPrivateLinkサービスについて
- ■PrivateLinkサービスについて
- ■ConsumerとProviderについて
- ■PrivateLinkサービスを利用する際の注意点
- ■PrivateLinkサービスの作成
■PrivateLinkとPrivateLinkサービスについて
まずは、用語の整理をしたいと思います。
私の認識が間違っているかもしれませんが、
PrivateLinkと言った場合、「プライベートエンドポイント(PrivateEndpoint)」を含んでおります。
PrivateLink = プライベートエンドポイント + PrivateLinkサービス
です。
プライベートエンドポイントは以下の記事を参照ください。
PrivateLinkサービスについては本記事で記載(後述)致します。
とはいえ、実際にここまで厳密に呼称を使い分けているのかってところがあります。
そのため、PrivateLinkという言葉が出てきたときには、PrivateLinkを利用して何を実現したいのか(※)に着目することで双方の認識違いは防げるかと。
※PaaSへの接続であればPrivateEndpointだけでOKですし、Azure上の自前サービスにローカル接続したい場合にはPrivateEndpoint+PrivateLinkサービスを構成する必要があります。
■PrivateLinkサービスについて
出典元:Azure Private Link サービスとは | Microsoft Docs
右側の「Provider Network」内の「PrivateLink Service」がPrivateLinkサービスです。
PrivateLinkサービスは、Azure上に構成済みの自前のサービス(※)にローカル接続するために利用します。
※: 図の右側にある Azure Standard Load Balancerのバックエンドプールが接続対象
"ExpressRoute接続でローカル接続すればよいのでは?"という疑問が出てきますが、
ExpressRoute接続を構成していないAzureテナント上(=上図の場合にはProvider Network)の自前サービスに対してもローカル接続(Microsoftネットワーク、バックボーン接続)が可能になるのがメリットです。
通信イメージは、
オンプレからExpressRouteを利用しConsumerNetwork(=上図の左側)を経由した後、ProviderNetwork(=上図の右側)の自前サービスへアクセスするような感じです。
この際の通信はすべてローカル接続(プライベート接続)となります。
※ExpressRouteを利用した通信はもちろんプライベート接続(閉域網)です。
■ConsumerとProviderについて
Consumer・・・PrivateLinkサービスへ接続する側(接続元。PrivateEndpoint設置側)です。
Provider・・・PrivateLinkサービスを構成する側(接続先)です。
PrivateLinkサービスは、
PrivateEndpointが構成されていることが前提であり、PrivateEndpointを構成していない場合には、PrivateLinkサービスは利用できません。
そのため、前述の通り、ConsumerにはPrivateEndpointを作成し、
ProviderにはPrivateLinkサービスを作成します。
■PrivateLinkサービスを利用する際の注意点
既にチラッと記載しておりますが、以下のような注意点(制限事項)があります。
①StandardLoadBalancerが必須です。 BasicLoadBalancerはNGです。
②StandardLoadBalancerのバックエンドプール構成は「NIC」である必要があります。※「IPアドレス」を指定した場合は、PrivateLinkサービスを構成できません。
③IPv4トラフィックのみがサポートされます
④TCPおよび UDPトラフィックのみがサポートされます。
Azure Private Link サービスとは | Microsoft Docs
■PrivateLinkサービスの作成
実際の設定画面を見た方がイメージがつきやすいと思いますので、PrivateLinkサービスの作成画面を下記致します。
※StandardLoadBalancerは作成済みとしています。
1.「PrivateLink」をクリックします。
2.左ペインで「プライベートリンクサービス」をクリックします。
3.「作成」をクリックします。
4.「基本」タブに必要事項を入力します。
5.「送信設定」タブに必要事項を入力します。
ロードバランサー: StandardLoadBalancerを選択します。
ロードバランサーのフロントエンドIPアドレス: StandardLoadBalancerのフロントエンドIPを選択します。
ソースNAT仮想ネットワーク: StandardLoadBalancerが所属するVnetを選択します。
ソースNATサブネット: StandardLoadBalancerと同じサブネット(配下の仮想マシン等と同じサブネット)を選択します。
6.「アクセスセキュリティ」タブに必要事項を入力します。
7.内容を確認し、「作成」をクリックします。
以上です。