Azure App Service の VNET 統合とサービス エンドポイント

こんにちは。Azure Dev サポートの村山です。

 

今日は App Service の VNET 統合とサービス エンドポイントの連携についてお話します。

 

仮想ネットワークのサービス エンドポイントと呼ばれる機能を利用すると、 Azure SQL Database や、Azure Storage Account へのアクセスを仮想ネットワーク内からのみに限定することが可能です。

 

最近この機能と、Azure App Service の VNET 統合の機能を組み合わせて、Azure App Service から仮想ネットワーク経由で、Azure SQL Database や、Azure Storage Account へアクセスできるかというお問い合わせをいただきます。

 

残念ですが、Azure App Service と VNET 統合の機能を組み合わせて、プライベートに Azure SQL Database や Azure Storage Account へ接続することはできません。

※ Web Apps だけではなく、App Service Plan 上にホストされたFunction App や、API App の場合も同様です。

 

一方、App Service Environment (以下 ASE) であれば、サービス エンドポイントが有効化された Azure  SQL Database や、Azure Storage Account へアクセスすることができます。

 

下記画像は、Azure SQL Database でサービスエンドポイントを有効化した例になります。

ASE に関しては、以前の記事で紹介しておりますので、こちらもご覧ください。

 

 

なお、ASE とオンプレミスのネットワーク間で VPN や ExpressRoute を利用している場合、インターネットへ向かうトラフィックを VPN や仮想アプライアンスにリダイレクトさせて、 "強制トンネリング" と呼ばれる構成を取るお客様もいらっしゃいます。

 

そのシナリオの場合は、こちらのドキュメントにてサービスエンドポイントを設定する方法が紹介されています。

 

セキュリティ要件が厳しい案件の場合には、ASE の利用をご検討ください。

 

※ 記事の内容は予告なく変更される場合がございますのでご了承ください。