Private Link
Azure プライベート エンドポイントおよび Private Link サービスとは何ですか。
- Azure プライベート エンドポイント : Azure プライベート エンドポイントは、Azure Private Link を使用するサービスにプライベートかつ安全に接続するネットワーク インターフェイスです。 プライベート エンドポイントを使用すると、Private Link をサポートする Azure PaaS サービスや、独自の Private Link サービスに接続できます。
- Azure Private Link サービス : Azure Private Link サービスは、サービス プロバイダーによって作成されるサービスです。 現時点では、Private Link サービスは、Standard Load Balancer のフロントエンド IP 構成に接続できます。
Private Link を使用すると、トラフィックはどのように送信されますか。
トラフィックは、Microsoft バックボーンを使用してプライベートに送信されます。 トラフィックはインターネットを経由しません。 Azure プライベート リンクには、顧客データが格納されません。
サービス エンドポイントとプライベート エンドポイントの違いは何ですか。
- プライベート エンドポイントでは、詳細なセグメンテーションを提供する特定のサービスの背後にある特定のリソースへのネットワーク アクセスが許可されます。 トラフィックは、パブリック エンドポイントを使用せずにオンプレミスからサービス リソースに到達できます。
- サービス エンドポイントは、公的にルーティング可能な IP アドレスのままです。 プライベート エンドポイントは、プライベート エンドポイントが構成されている仮想ネットワークのアドレス空間にあるプライベート IP です。
Private Link サービスとプライベート エンドポイントの関係はどのようなものですか。
複数プライベート リンク リソースの種類では、プライベート エンドポイント経由のアクセスがサポートされます。 リソースには、Azure PaaS サービスとユーザー独自の Private Link サービスが含まれます。 これは一対多の関係です。
1 つの Private Link サービスでは複数のプライベート エンドポイントから接続を受信できます。 1 つのプライベート エンドポイントは 1 つの Private Link サービスに接続します。
Private Link ではネットワーク ポリシーを無効にする必要がありますか。
はい。 Private Link サービスでは、正常に機能させるためにネットワーク ポリシーを無効にする必要があります。
プライベート エンドポイントに使用できるのは、ユーザー定義ルートのみ、ネットワーク セキュリティ グループのみ、または両方のどれですか?
はい。 ユーザー定義ルートやネットワーク セキュリティ グループなどのポリシーを利用するには、プライベート エンドポイントの仮想ネットワーク内のサブネットに対してネットワーク ポリシーを有効にする必要があります。 この設定は、サブネット内のすべてのプライベート エンドポイントに影響します。
プライベート エンドポイント
同じ VNet 内に複数のプライベート エンドポイントを作成することはできますか。 それらは異なるサービスに接続できますか。
はい。 同じ VNet またはサブネット内に複数のプライベート エンドポイントを作成できます。 それらは異なるサービスに接続できます。
同じ名前の複数のプライベート DNS ゾーンをリンクできますか?
いいえ。1 つの仮想ネットワークに同じ名前の複数のゾーンを作成することはサポートされていません。
プライベート エンドポイント専用のサブネットが必要ですか。
いいえ。 プライベート エンドポイント専用のサブネットは必要ありません。 対象のサービスがデプロイされている VNet 内にある任意のサブネットのプライベート エンドポイント IP を選択できます。
プライベート エンドポイントから Microsoft Entra テナントをまたいで Private Link サービスに接続できますか?
はい。 プライベート エンドポイントでは、Microsoft Entra テナントをまたいで Private Link サービスまたは Azure PaaS に接続できます。 テナントをまたぐプライベート エンドポイントには、手動による要求の承認が必要です。
プライベート エンドポイントは、Azure リージョンの枠を越えて Azure PaaS リソースに接続できますか。
はい。 プライベート エンドポイントは、Azure リージョンの枠を越えて Azure PaaS リソースに接続できます。
プライベート エンドポイント ネットワーク インターフェイス カード (NIC) を変更できますか。
プライベート エンドポイントが作成されると、読み取り専用の NIC が割り当てられます。 NIC は変更できず、プライベート エンドポイントのライフ サイクルの間、そのままになります。
リージョンで障害が発生した場合にプライベート エンドポイントを使用して可用性を実現するにはどうすればよいですか。
プライベート エンドポイントは、Azure Private Link の SLA に沿った SLA を持つ高可用性リソースです。 ただし、これらはリージョン リソースであるため、Azure リージョンの停止が可用性に影響する可能性があります。 リージョンで障害が発生した場合に可用性を実現するために、同じ宛先リソースに接続された複数の PE を、異なるリージョンにデプロイできます。 このようにして、1 つのリージョンがダウンした場合でも、別のリージョンの PE を介して復旧シナリオ用のトラフィックをルーティングし、宛先リソースにアクセスすることができます。 宛先サービス側でリージョンの障害がどのように処理されるかについては、フェールオーバーと復旧に関するサービスのドキュメントを参照してください。 Private Link トラフィックは、宛先エンドポイントの Azure DNS 解決に従います。
可用性ゾーンで障害が発生した場合にプライベート エンドポイントを使用して可用性を実現するには、どうすればよいですか。
プライベート エンドポイントは、Azure Private Link の SLA に沿った SLA を持つ高可用性リソースです。 プライベート エンドポイントはゾーンに依存しません。プライベート エンドポイントのリージョン内の可用性ゾーンで障害が発生しても、プライベート エンドポイントの可用性には影響しません。
プライベート エンドポイントは ICMP トラフィックをサポートしていますか?
TCP および UDP トラフィックは、プライベート エンドポイントでのみサポートされます。 詳細については、Private Link の制限に関する記事を参照してください。
Private Link サービス
Private Link サービスを作成するための前提条件は何ですか。
対象のサービスのバックエンドが仮想ネットワーク内にあり、かつ Standard Load Balancer の背後にある必要があります。
Private Link サービスをスケーリングするにはどうすればよいですか。
Private Link サービスは、次のいくつかの方法でスケーリングできます。
- バックエンド VM を Standard Load Balancer の背後にあるプールに追加する
- IP を Private Link サービスに追加する。 Private Link サービスあたり最大 8 個の IP が許可されます。
- 新しい Private Link サービスを Standard Load Balancer に追加する。 Standard Load Balancer あたり最大 8 個の Private Link サービスが許可されます。
Private Link サービスで使用される NAT (ネットワーク アドレス変換) IP 構成とは何ですか。 使用可能なポートと接続をスケーリングするにはどうすればよいですか。
- NAT IP 構成によって、送信元 (コンシューマー) と宛先 (サービス プロバイダー) のアドレス空間に IP の競合が発生しなくなります。 この構成では、宛先のプライベート リンク トラフィックの送信元 NAT が提供されます。 NAT IP アドレスは、対象のサービスで受信されたすべてのパケットのソース IP および対象のサービスで送信されたすべてのパケットの宛先 IP として表示されます。 NAT IP は、サービス プロバイダーの仮想ネットワーク内の任意のサブネットから選択できます。
- 各 NAT IP により、Standard Load Balancer の背後にある VM ごとに 64,000 個の TCP 接続 (64,000 個のポート) を使用できるようになります。 接続をスケールして追加するには、新しい NAT IP を追加するか、Standard Load Balancer の背後に VM を追加します。 こうすることでポートの可用性がスケールされ、より多くの接続が可能になります。 接続は、NAT IP と Standard Load Balancer の背後にある VM に分散されます。
自分のサービスを複数のプライベート エンドポイントに接続することはできますか。
正解です。 1 つの Private Link サービスで複数のプライベート エンドポイントから接続を受信できます。 ただし、1 つのプライベート エンドポイントで接続できるのは 1 つの Private Link サービスのみです。
Private Link サービスの公開を制御するには、どうすればよいですか。
公開を制御するには、Private Link サービスの可視性構成を使用します。 可視性では、次の 3 つの設定がサポートされます。
- [なし] - ロール ベースのアクセス権を持つサブスクリプションでのみ、サービスを見つけることができます。
- [制限] - 承認され、ロール ベースのアクセス権を持つサブスクリプションでのみ、サービスを見つけることができます。
- [すべて] - すべてのユーザーがサービスを見つけることができます。
Basic Load Balancer で Private Link サービスを作成することはできますか。
いいえ。 Basic Load Balancer では Private Link サービスはサポートされていません。
Private Link サービスには専用サブネットが必要ですか。
いいえ。 Private Link サービスには専用サブネットは必要ありません。 対象のサービスがデプロイされている VNet 内の任意のサブネットを選択できます。
当社は Azure Private Link を使用しているサービス プロバイダーです。 当社のすべての顧客が一意の IP 空間を持ち、当社の IP 空間と重複しないようにする必要がありますか。
いいえ。 その機能は Azure Private Link によって提供されます。 顧客のアドレス空間と重複しないアドレス空間を持つ必要はありません。
次のステップ
- Azure Private Link について学習します