Azure 仮想ネットワーク と Azure Synapse Analytics の マネージド仮想ネットワーク との違い

Azure Synapse Analytics には マネージド仮想ネットワーク (マネージド ワークスペース仮想ネットワーク) という機能があります。これは、Synapse ワークスペースの作成段階におけるネットワークの設定から有効/無効を選択できます。

そして、パブリックネットワークアクセスを無効とする場合、マネージド仮想ネットワークを有効にしなければなりません。パブリックネットワークアクセスを無効とする場合、プライベートリンクハブ と プライベートエンドポイント を使用して 仮想ネットワーク経由で Synapse ワークスペース を利用する形になるため、この時点においてユーザーは「仮想ネットワーク」と「マネージド仮想ネットワーク」の 2つのネットワークを認識していることになります。

これらは、実体としては同じものなのでしょうか？それとも異なるものなのでしょうか？異なるものであるとしたら、マネージド仮想ネットワークとはどのようなものなのでしょうか？そして Synapse ワークスペースと紐付ける既存の仮想ネットワークには影響するものなのでしょうか？

本記事では、これらの疑問に回答していきます。

マネージド仮想ネットワークとは

Azure Synapse Analytics のセキュリティに関するホワイト ペーパー: ネットワークのセキュリティ - Azure Synapse Analytics | Microsoft Learn によると、以下のようなものであることが分かります。

• Synapse によって完全な管理が行われる独自の仮想ネットワーク。
• 複数の Synapse ワークスペース間のネットワーク分離を実現するためのネットワークセキュリティ機能。
• ネットワーク分離の対象となるリソースは以下の通り。
  • パイプライン (およびデータフロー) のコンピューティングリソース
  • Apache Spark プール のコンピューティングリソース
• ネットワーク分離の対象と ならない (マルチテナントサービスの) リソースは以下の通り。
  • 専用 SQL プール
  • サーバーレス SQL プール
• Spark クラスターについては、単一の Synapse ワークスペース内においても、クラスターごとにネットワークが分離される。
• ワークスペースの作成時にのみ構成することが可能。
• ユーザーからは見えない。

マネージド仮想ネットワークの目的

目的は、 Azure Synapse Analytics ワークスペースにおけるデータ流出の防止です。例えば以下のようなセキュリティを実現することができます。

• パブリックネットワークアクセスを無効にすることで、インターネット側から Synapse ワークスペースに対して不正にアクセスされてしまった場合でも、Synapse の各機能が利用できないようにすることができる。
• 承認されたターゲットへの送信データトラフィックのみを許可することで、悪意のある内部関係者が Synapse ワークスペースから外部 (他の Syanpse ワークスペースも含む) にデータを送信しようとしても失敗に終わらせることができる。

アーキテクチャ上の位置づけ

Understanding Azure Synapse Private Endpoints - Microsoft Tech Community によると、マネージド仮想ネットワークを有効にした場合の Azure Synapse Analytics ワークスペース内のアーキテクチャは以下のようになります。

先述の通り、Synapse ワークスペース内にマネージド仮想ネットワークが構築され、パイプライン (およびデータフロー)、そして Apache Spark プール のコンピューティングリソースがその内部にデプロイされます。これらのリソースは、マネージドプライベートエンドポイント経由で外部と通信します。

何がどのようにマネージドとなるのか

マネージド仮想ネットワーク - Azure Synapse Analytics | Microsoft Learn によると、マネージド仮想ネットワークは以下の管理を、ユーザーに代わって行います。

• インバウンド (Synapse ワークスペース外部から) の NSG (Network Security Group) ルール管理
• Spark クラスターのネットワーク負荷をコントロールするためのサブネット管理

Azure における 仮想ネットワーク との関係

これまでの説明からも明らかな通り、Azure Synapse Analytics のマネージド仮想ネットワークは、Azure においてユーザーが作成・管理する仮想ネットワークとは異なるものです。

これは、Understanding Azure Synapse Private Endpoints - Microsoft Tech Community における全体アーキテクチャの図からも読み取れます。

ユーザーが作成・管理する仮想ネットワークは、図左端の「Customer VNet」にあたります。Customer VNet と Synapse ワークスペースとの間の通信は プライベートリンクハブ および プライベートエンドポイント を経由して行われますが、ワークスペース内部ではマネージド仮想ネットワーク内の各リソースへとルーティングされます。

したがって、マネージド仮想ネットワーク自体はユーザーが作成・管理する仮想ネットワークとは異なるものですし、例えば既存の仮想ネットワークからワークスペースに接続できるようにしたとしても、既存の仮想ネットワークへの影響はありません。もちろん、既存の仮想ネットワークが Azure Synapse Analytics による管理となり、管理者の意図に反した変更が行われ、既存のユーザーの利用に支障が出るようなこともありません。

なお、マネージド仮想ネットワークは通常の仮想ネットワーク (Customer VNet) とのピアリングもできません。その点においても「Synapse によって完全な管理が行われる独自の仮想ネットワーク」であると言えます。

まとめ

Azure 仮想ネットワーク と Azure Synapse Analytics の マネージド仮想ネットワーク との違いについて説明しました。パブリックネットワークアクセスを無効にする際にはマネージド仮想ネットワークを有効にすることになりますが、これを活用することで、Azure Synapse Analytics のネットワークセキュリティを簡単に高めることができます。

マネージド仮想ネットワークを有効にしても Azure Synapse Analytics 上からは 有効/無効 しか確認できず、それらしいネットワーク項目が見当たらないことから、ドキュメントを精査しないと、どのようなものか分かりづらい機能であると思います。上記説明が参考になれば幸いです。

See also

• Wrap up: How to run a Synapse Spark Notebook within a Virtual Network without Public Network Access
• Azure Synapse Analytics ワークスペースでのデータ流出の防止 - Azure Synapse Analytics | Microsoft Learn
• マネージド仮想ネットワークとマネージド プライベート エンドポイント - Azure Data Factory | Microsoft Learn