Azure Front Door Premium で Private Link を使用して配信元を保護する
Azure Private Link を使用すると、お使いの仮想ネットワーク内のプライベート エンドポイント経由で、Azure PaaS サービスと Azure でホストされているサービスにアクセスできます。 仮想ネットワークとサービスの間のトラフィックは、Microsoft のバックボーン ネットワークを経由するので、パブリック インターネットに公開されることがなくなります。
Azure Front Door Premium は、Private Link を介して配信元に接続できます。 配信元は、仮想ネットワークでホストできるほか、Azure Web アプリや Azure Storage といった PaaS サービスを使用してホストすることもできます。 Private Link を使用すれば、配信元をパブリックにアクセス可能にする必要はありません。
Private Link のしくみ
Azure Front Door Premium で配信元に対して Private Link を有効にすると、Front Door はユーザーの代わりに、Azure Front Door が管理するプライベート ネットワークからプライベート エンドポイントを作成します。 承認待ちの配信元で、Azure Front Door プライベート エンドポイント要求を受け取ります。
重要
プライベートでトラフィックを配信元に渡すには、あらかじめプライベート エンドポイント接続を承認しておく必要があります。 Azure portal、Azure CLI、Azure PowerShell のいずれかを使用して、プライベート エンドポイント接続を承認できます。 詳細については、「プライベート エンドポイント接続を管理する」を参照してください。
Private Link の配信元を有効にしてプライベート エンドポイント接続を承認した後、接続が確立されるまでに数分かかることがあります。 この間の配信元への要求では Azure Front Door エラー メッセージが表示されます。 このエラー メッセージは接続が確立されると表示されなくなります。
要求が承認されると、Azure Front Door で管理されている仮想ネットワークから、プライベート IP アドレスが割り当てられます。 Azure Front Door と配信元の間のトラフィックは、確立されたプライベート リンクを使用して Microsoft バックボーン ネットワーク経由で通信を行います。 配信元への着信トラフィックは、Azure Front Door からの受信時にセキュリティで保護されるようになりました。
プライベート エンドポイントと Azure Front Door プロファイルの関連付け
プライベート エンドポイントを作成する
1 つの Azure Front Door プロファイル内で、同じ Private Link、リソース ID、グループ ID のセットを使用して 2 つ以上の Private Link が有効な配信元が作成された場合、そのようなすべての配信元に対して 1 つのプライベート エンドポイントのみが作成されます。 バックエンドへの接続は、このプライベート エンドポイントを使用して有効にすることができます。 このセットアップは、プライベート エンドポイントが 1 つだけ作成されるため、プライベート エンドポイントを 1 回だけ承認する必要があることを意味します。 同じ Private Link の場所、リソース ID、およびグループ ID のセットを使用して、Private Link が有効な配信元をさらに作成する場合は、プライベート エンドポイントを承認する必要はありません。
単一のプライベート エンドポイント
たとえば、次の表に示すように、異なる配信元グループに属し、同じ Azure Front Door プロファイル内に含まれる異なる配信元すべてに対して、単一のプライベート エンドポイントが作成されます。
複数のプライベート エンドポイント
次のシナリオでは、新しいプライベート エンドポイントが作成されます。
リージョン、リソース ID、またはグループ ID が変更された場合は、次のようになります。
Note
Private Link の場所とホスト名が変更されたため、追加のプライベート エンドポイントが作成され、それぞれに対する承認が必要になります。
Azure Front Door プロファイルが変更された場合は、次のようになります。
Note
異なる Front Door プロファイルで配信元の Private Link を有効にすると、追加のプライベート エンドポイントが作成され、それぞれに対する承認が必要になります。
プライベート エンドポイントの削除
Azure Front Door プロファイルが削除されると、そのプロファイルに関連付けられているプライベート エンドポイントも削除されます。
単一のプライベート エンドポイント
AFD-Profile-1 が削除されると、すべての配信元の PE1 プライベート エンドポイントも削除されます。
複数のプライベート エンドポイント
AFD-Profile-1 が削除されると、PE1 から PE4 までのすべてのプライベート エンドポイントが削除されます。
Azure Front Door プロファイルを削除しても、別の Front Door プロファイル用に作成されたプライベート エンドポイントには影響しません。
次に例を示します。
- AFD-Profile-2 が削除されると、PE5 のみが削除されます。
- AFD-Profile-3 が削除されると、PE6 のみが削除されます。
- AFD-Profile-4 が削除されると、PE7 のみが削除されます。
- AFD-Profile-5 が削除されると、PE8 のみが削除されます。
利用可能なリージョン
Azure Front Door のプライベート リンクは、次のリージョンでご利用いただけます。
アメリカ | ヨーロッパ | アフリカ | アジア太平洋 |
---|---|---|---|
ブラジル南部 | フランス中部 | 南アフリカ北部 | オーストラリア東部 |
カナダ中部 | ドイツ中西部 | インド中部 | |
米国中部 | 北ヨーロッパ | 東日本 | |
米国東部 | ノルウェー東部 | 韓国中部 | |
米国東部 2 | 英国南部 | 東アジア | |
米国中南部 | 西ヨーロッパ | ||
米国西部 3 | スウェーデン中部 | ||
US Gov アリゾナ | |||
US Gov テキサス |
制限事項
現在、プライベート エンドポイントの直接接続の配信元サポートは、次のものに制限されています。
- Blob Storage
- Web アプリ
- 内部ロード バランサー、またはAzure Kubernetes Service、Azure Container Apps、Azure Red Hat OpenShift などの内部ロード バランサーを公開するサービス
- Storage 静的 Web サイト
- Application Gateway (PowerShell および CLI でのみプレビュー。運用環境では使用しないでください)
- API Management (PowerShell および CLI でのみプレビュー。運用環境では使用しないでください)
Note
- この機能は、Azure App Service のスロットまたは関数ではサポートされていません。
- Azure Application Gateway と APIM Management の統合は、現在、Azure portal の使用ではサポートされていません。
Azure Front Door Private Link 機能はリージョンに依存しませんが、最適な待機時間を得るため、Azure Front Door Private Link エンドポイントを有効にする場合は、常に配信元に最も近い Azure リージョンを選ぶ必要があります。
次のステップ
- Private Link を使用して Azure Front Door Premium を Web アプリの配信元に接続する方法を学習します。
- Private Link を使用して Azure Front Door Premium をストレージ アカウントの配信元に接続する方法を学習します。
- Private Link を使用して Azure Front Door Premium を配信元に接続する方法を学習します。
- Private Link を使用して Azure Front Door Premium をストレージ静的 Web サイトの配信元に接続する方法について説明します。
- Private Link を使用して Azure Front Door Premium をアプリケーション ゲートウェイの発信元に接続する方法を確認します。
- Private Link を使用して Azure Front Door Premium を API Management の発信元に接続する方法を確認します