Azure Private Link のよく寄せられる質問 (FAQ)

• Azure プライベート エンドポイント : Azure プライベート エンドポイントは、Azure Private Link を使用するサービスにプライベートかつ安全に接続するネットワーク インターフェイスです。 プライベート エンドポイントを使用すると、Private Link をサポートする Azure PaaS サービスや、独自の Private Link サービスに接続できます。
• Azure Private Link サービス : Azure Private Link サービスは、サービス プロバイダーによって作成されるサービスです。 現時点では、Private Link サービスは、Standard Load Balancer のフロントエンド IP 構成に接続できます。

トラフィックは、Microsoft バックボーンを使用してプライベートに送信されます。 トラフィックはインターネットを経由しません。 Azure プライベート リンクには、顧客データが格納されません。

• プライベート エンドポイントでは、詳細なセグメンテーションを提供する特定のサービスの背後にある特定のリソースへのネットワーク アクセスが許可されます。 トラフィックは、パブリック エンドポイントを使用せずにオンプレミスからサービス リソースに到達できます。
• サービス エンドポイントは、公的にルーティング可能な IP アドレスのままです。 プライベート エンドポイントは、プライベート エンドポイントが構成されている仮想ネットワークのアドレス空間にあるプライベート IP です。

複数プライベート リンク リソースの種類では、プライベート エンドポイント経由のアクセスがサポートされます。 リソースには、Azure PaaS サービスとユーザー独自の Private Link サービスが含まれます。 これは一対多の関係です。

1 つの Private Link サービスでは複数のプライベート エンドポイントから接続を受信できます。 1 つのプライベート エンドポイントは 1 つの Private Link サービスに接続します。

はい。 Private Link サービスでは、正常に機能させるためにネットワーク ポリシーを無効にする必要があります。

はい。 ユーザー定義ルートやネットワーク セキュリティ グループなどのポリシーを利用するには、プライベート エンドポイントの仮想ネットワーク内のサブネットに対してネットワーク ポリシーを有効にする必要があります。 この設定は、サブネット内のすべてのプライベート エンドポイントに影響します。

はい。 同じ VNet またはサブネット内に複数のプライベート エンドポイントを作成できます。 それらは異なるサービスに接続できます。

いいえ。1 つの仮想ネットワークに同じ名前の複数のゾーンを作成することはサポートされていません。

いいえ。 プライベート エンドポイント専用のサブネットは必要ありません。 対象のサービスがデプロイされている VNet 内にある任意のサブネットのプライベート エンドポイント IP を選択できます。

はい。 プライベート エンドポイントでは、Microsoft Entra テナントをまたいで Private Link サービスまたは Azure PaaS に接続できます。 テナントをまたぐプライベート エンドポイントには、手動による要求の承認が必要です。

はい。 プライベート エンドポイントは、Azure リージョンの枠を越えて Azure PaaS リソースに接続できます。

プライベート エンドポイントが作成されると、読み取り専用の NIC が割り当てられます。 NIC は変更できず、プライベート エンドポイントのライフ サイクルの間、そのままになります。

プライベート エンドポイントは、Azure Private Link の SLA に沿った SLA を持つ高可用性リソースです。 ただし、これらはリージョン リソースであるため、Azure リージョンの停止が可用性に影響する可能性があります。 リージョンで障害が発生した場合に可用性を実現するために、同じ宛先リソースに接続された複数の PE を、異なるリージョンにデプロイできます。 このようにして、1 つのリージョンがダウンした場合でも、別のリージョンの PE を介して復旧シナリオ用のトラフィックをルーティングし、宛先リソースにアクセスすることができます。 宛先サービス側でリージョンの障害がどのように処理されるかについては、フェールオーバーと復旧に関するサービスのドキュメントを参照してください。 Private Link トラフィックは、宛先エンドポイントの Azure DNS 解決に従います。

プライベート エンドポイントは、Azure Private Link の SLA に沿った SLA を持つ高可用性リソースです。 プライベート エンドポイントはゾーンに依存しません。プライベート エンドポイントのリージョン内の可用性ゾーンで障害が発生しても、プライベート エンドポイントの可用性には影響しません。

TCP および UDP トラフィックは、プライベート エンドポイントでのみサポートされます。 詳細については、Private Link の制限に関する記事を参照してください。

対象のサービスのバックエンドが仮想ネットワーク内にあり、かつ Standard Load Balancer の背後にある必要があります。

Private Link サービスは、次のいくつかの方法でスケーリングできます。

• バックエンド VM を Standard Load Balancer の背後にあるプールに追加する
• IP を Private Link サービスに追加する。 Private Link サービスあたり最大 8 個の IP が許可されます。
• 新しい Private Link サービスを Standard Load Balancer に追加する。 Standard Load Balancer あたり最大 8 個の Private Link サービスが許可されます。

• NAT IP 構成によって、送信元 (コンシューマー) と宛先 (サービス プロバイダー) のアドレス空間に IP の競合が発生しなくなります。 この構成では、宛先のプライベート リンク トラフィックの送信元 NAT が提供されます。 NAT IP アドレスは、対象のサービスで受信されたすべてのパケットのソース IP および対象のサービスで送信されたすべてのパケットの宛先 IP として表示されます。 NAT IP は、サービス プロバイダーの仮想ネットワーク内の任意のサブネットから選択できます。
• 各 NAT IP により、Standard Load Balancer の背後にある VM ごとに 64,000 個の TCP 接続 (64,000 個のポート) を使用できるようになります。 接続をスケールして追加するには、新しい NAT IP を追加するか、Standard Load Balancer の背後に VM を追加します。 こうすることでポートの可用性がスケールされ、より多くの接続が可能になります。 接続は、NAT IP と Standard Load Balancer の背後にある VM に分散されます。

正解です。 1 つの Private Link サービスで複数のプライベート エンドポイントから接続を受信できます。 ただし、1 つのプライベート エンドポイントで接続できるのは 1 つの Private Link サービスのみです。

公開を制御するには、Private Link サービスの可視性構成を使用します。 可視性では、次の 3 つの設定がサポートされます。

• [なし] - ロール ベースのアクセス権を持つサブスクリプションでのみ、サービスを見つけることができます。
• [制限] - 承認され、ロール ベースのアクセス権を持つサブスクリプションでのみ、サービスを見つけることができます。
• [すべて] - すべてのユーザーがサービスを見つけることができます。

いいえ。 Basic Load Balancer では Private Link サービスはサポートされていません。

いいえ。 Private Link サービスには専用サブネットは必要ありません。 対象のサービスがデプロイされている VNet 内の任意のサブネットを選択できます。

いいえ。 その機能は Azure Private Link によって提供されます。 顧客のアドレス空間と重複しないアドレス空間を持つ必要はありません。

次のステップ

• Azure Private Link について学習します