Azure Front Door Premium で Private Link を使用して配信元を保護する

  • [アーティクル]

Azure Private Link を使用すると、お使いの仮想ネットワーク内のプライベート エンドポイント経由で、Azure PaaS サービスと Azure でホストされているサービスにアクセスできます。 仮想ネットワークとサービスの間のトラフィックは、Microsoft のバックボーン ネットワークを経由するので、パブリック インターネットに公開されることがなくなります。

Azure Front Door Premium は、Private Link を介して配信元に接続できます。 配信元は、仮想ネットワークでホストできるほか、Azure Web アプリや Azure Storage といった PaaS サービスを使用してホストすることもできます。 Private Link を使用すれば、配信元をパブリックにアクセス可能にする必要はありません。

Diagram of Azure Front Door with Private Link enabled.

Azure Front Door Premium で配信元に対して Private Link を有効にすると、Front Door はユーザーの代わりに、Azure Front Door が管理するプライベート ネットワークからプライベート エンドポイントを作成します。 承認待ちの配信元で、Azure Front Door プライベート エンドポイント要求を受け取ります。

重要

プライベートでトラフィックを配信元に渡すには、あらかじめプライベート エンドポイント接続を承認しておく必要があります。 Azure portal、Azure CLI、Azure PowerShell のいずれかを使用して、プライベート エンドポイント接続を承認できます。 詳細については、「プライベート エンドポイント接続を管理する」を参照してください。

Private Link の配信元を有効にしてプライベート エンドポイント接続を承認した後、接続が確立されるまでに数分かかることがあります。 この間に、配信元への要求を行うと、Azure Front Door エラー メッセージが表示されます。 接続が確立されると、エラー メッセージは表示されなくなります。

要求が承認されると、Azure Front Door で管理されている仮想ネットワークから、プライベート IP アドレスが割り当てられます。 Azure Front Door と配信元の間のトラフィックは、確立されたプライベート リンクを使用して Microsoft バックボーン ネットワーク経由で通信します。 配信元への着信トラフィックは、Azure Front Door からの受信時にセキュリティで保護されるようになりました。

Screenshot of enable Private Link service checkbox from origin configuration page.

プライベート エンドポイントと Azure Front Door プロファイルの関連付け

プライベート エンドポイントを作成する

1 つの Azure Front Door プロファイル内で、同じ Private Link、リソース ID、グループ ID のセットを使用して 2 つ以上の Private Link が有効な配信元が作成された場合、そのようなすべての配信元に対して 1 つのプライベート エンドポイントのみが作成されます。 バックエンドへの接続は、このプライベート エンドポイントを使用して有効にすることができます。 このセットアップは、プライベート エンドポイントが 1 つだけ作成されるため、プライベート エンドポイントを 1 回だけ承認する必要があることを意味します。 同じ Private Link の場所、リソース ID、およびグループ ID のセットを使用して、Private Link が有効な配信元をさらに作成する場合は、プライベート エンドポイントを承認する必要はありません。

単一のプライベート エンドポイント

たとえば、次の表に示すように、異なる配信元グループ間のすべての異なる配信元に対して 1 つのプライベート エンドポイントが作成されますが、同じ Azure Front Door プロファイルに作成されます。

Diagram showing a single private endpoint created for origins created in the same Azure Front Door profile.

複数のプライベート エンドポイント

次のシナリオでは、新しいプライベート エンドポイントが作成されます。

  • リージョン、リソース ID、またはグループ ID が変更された場合は、次のようになります。

    Diagram showing a multiple private endpoint created because changes in the region and resource ID for the origin.

    Note

    Private Link の場所とホスト名が変更されたため、追加のプライベート エンドポイントが作成され、それぞれに対する承認が必要になります。

  • Azure Front Door プロファイルが変更された場合は、次のようになります。

    Diagram showing a multiple private endpoint created because the origin is associated with multiple Azure Front Door profiles.

    Note

    異なる Front Door プロファイルで配信元の Private Link を有効にすると、追加のプライベート エンドポイントが作成され、それぞれに対する承認が必要になります。

プライベート エンドポイントの削除

Azure Front Door プロファイルが削除されると、そのプロファイルに関連付けられているプライベート エンドポイントも削除されます。

単一のプライベート エンドポイント

AFD-Profile-1 が削除されると、すべての配信元の PE1 プライベート エンドポイントも削除されます。

Diagram showing if AFD-Profile-1 gets deleted then PE1 across all origins will get deleted.

複数のプライベート エンドポイント

  • AFD-Profile-1 が削除されると、PE1 から PE4 までのすべてのプライベート エンドポイントが削除されます。

    Diagram showing if AFD-Profile-1 gets deleted, all private endpoints from PE1 through PE4 gets deleted.

  • Front Door プロファイルを削除しても、別の Front Door プロファイル用に作成されたプライベート エンドポイントには影響しません。

    Diagram showing Azure Front Door profile getting deleted won't affect private endpoints in other Front Door profiles.

    次に例を示します。

    • AFD-Profile-2 が削除されると、PE5 のみが削除されます。
    • AFD-Profile-3 が削除されると、PE6 のみが削除されます。
    • AFD-Profile-4 が削除されると、PE7 のみが削除されます。
    • AFD-Profile-5 が削除されると、PE8 のみが削除されます。

利用可能なリージョン

Azure Front Door のプライベート リンクは、次のリージョンでご利用いただけます。

アメリカ ヨーロッパ アフリカ アジア太平洋
ブラジル南部 フランス中部 南アフリカ北部 オーストラリア東部
カナダ中部 ドイツ中西部 インド中部
米国中部 北ヨーロッパ 東日本
米国東部 ノルウェー東部 韓国中部
米国東部 2 英国南部 東アジア
米国中南部 西ヨーロッパ
米国西部 3 スウェーデン中部
US Gov アリゾナ
US Gov テキサス

制限事項

現在、プライベート エンドポイントの直接接続の配信元サポートは、次のものに制限されています。

  • Blob Storage
  • Web アプリ
  • 内部ロード バランサー、またはAzure Kubernetes Service、Azure Container Apps、Azure Red Hat OpenShift などの内部ロード バランサーを公開するサービス
  • Storage 静的 Web サイト

Azure Front Door Private Link 機能はリージョンに依存しませんが、最適な待機時間を得るため、Azure Front Door Private Link エンドポイントを有効にする場合は、常に配信元に最も近い Azure リージョンを選ぶ必要があります。

次のステップ