Device Update for IoT Hub アカウントのプライベート エンドポイントを構成する
プライベート エンドポイントを使用すると、パブリック インターネットを経由せずにプライベート リンクを介して安全に仮想ネットワークから直接ご自分のアカウントへのトラフィックを許可することができます。 プライベート エンドポイントでは、ご自分のアカウントの VNet アドレス空間からの IP アドレスが使用されます。 概念の詳細については、ネットワーク セキュリティに関する記事をご覧ください。
この記事では、アカウントに対してプライベート エンドポイントを構成する方法について説明します。
アカウントのプライベート エンドポイントを作成するには、Azure portal または Azure CLI を使用できます。
前提条件
Azure portal の前提条件はありません。
Device Update アカウントからプライベート エンドポイントを構成する
Azure portal で、Device Update アカウント内から新しいプライベート エンドポイントを作成できます。 これらのプライベート エンドポイント接続は自動承認されるため、この記事の残りの部分で説明されているレビューおよび承認の追加の手順は必要ありません。
Azure portal にサインインし、ご自分のアカウントまたはドメインに移動します。
ご自分のアカウント ページの [ネットワーク] タブに切り替えます。 プライベート エンドポイントのみにアクセスを制限する場合は、[パブリック ネットワーク アクセス] を無効にします。
[プライベート アクセス] タブに切り替えてから、ツールバーの [+ 追加] を選びます。
[基本] ページで、プライベート エンドポイントに関する次の情報を指定します。
サブスクリプション: プライベート エンドポイントを作成する Azure サブスクリプション。
リソース グループ: プライベート エンドポイントの既存または新しいリソース グループ。
名前: このエンドポイントの名前。 この値は、ネットワーク インターフェイス名を自動生成するために使用されます。
リージョン: エンドポイントの Azure リージョン。 プライベート エンドポイントが存在するリージョンは仮想ネットワークと同じにする必要がありますが、Device Update アカウントのリージョンと異なっていてもかまいません。
[リソース] ページは自動的に設定されます
[仮想ネットワーク] ページで、プライベート エンドポイントのデプロイ先とする仮想ネットワークとサブネットを選択します。
仮想ネットワーク: ドロップダウン リストには、現在選択されているサブスクリプションおよび場所内の仮想ネットワークのみが一覧表示されます。
サブネット: 選択した仮想ネットワーク内のサブネットを選択します。
[DNS] ページでは、独自のカスタム DNS を使用している場合を除き、事前設定された値を使用します。
[タグ] ページでは、プライベート エンドポイント リソースに関連付ける任意のタグ (名前と値) を作成します。
[確認と作成] ページで、すべての設定を確認し、[作成] を選択してプライベート エンドポイントを作成します。
Private Link センターからプライベート エンドポイントを構成する
Device Update アカウントにアクセスできない場合は、Private Link センターからプライベート エンドポイントを作成できます。 接続を作成するユーザーにそれを承認する権限がない場合、その接続は保留中の状態で作成されます。
Azure portal または Azure CLI のいずれかを使用して、プライベート エンドポイントを作成できます。
Azure portal から [プライベート リンク センター]>[プライベート エンドポイント] に移動し、[+作成] を選択します。
[基本] ページで、プライベート エンドポイントに関する次の情報を指定します。
- サブスクリプション: プライベート エンドポイントを作成する Azure サブスクリプション。
- リソース グループ: プライベート エンドポイントの既存または新しいリソース グループ。
- 名前: このエンドポイントの名前。 この値は、ネットワーク インターフェイス名を自動生成するために使用されます。
- リージョン: エンドポイントの Azure リージョン。 プライベート エンドポイントが存在するリージョンは仮想ネットワークと同じにする必要がありますが、Device Update アカウントのリージョンと異なっていてもかまいません。
[リソース] タブのすべての必須フィールドに入力します
- 接続方法: [リソース ID またはエイリアスを使って Azure リソースに接続します] を選択します。
- リソース ID またはエイリアス: Device Update アカウントのリソース ID を入力します。 [概要] ページで [JSON ビュー] を選択すると、Azure portal から Device Update アカウントのリソース ID を取得できます。 または、az iot du account show コマンドを使用し、ID 値のクエリを実行して (
az iot du account show -n <account_name> --query id
)、これを取得することもできます。 - 対象サブリソース: 値は「DeviceUpdate」にする必要があります
[仮想ネットワーク] ページで、プライベート エンドポイントのデプロイ先とする仮想ネットワークとサブネットを選択します。
- 仮想ネットワーク: ドロップダウン リストには、現在選択されているサブスクリプションおよび場所内の仮想ネットワークのみが一覧表示されます。
- サブネット: 選択した仮想ネットワーク内のサブネットを選択します。
[DNS] ページでは、独自のカスタム DNS を使用している場合を除き、事前設定された値を使用します。
[タグ] ページでは、プライベート エンドポイント リソースに関連付ける任意のタグ (名前と値) を作成します。
[確認と作成] ページで、すべての設定を確認し、[作成] を選択してプライベート エンドポイントを作成します。
プライベート リンク接続を管理する
手動による承認を待つプライベート エンドポイントを作成する場合、承認されるまでその接続は使用できません。 プライベート エンドポイントの作成対象のリソースが自分のディレクトリ内にある場合、十分なアクセス許可があれば、接続要求を承認することができます。 別のディレクトリ内の Azure リソースに接続している場合は、そのリソースの所有者が接続要求を承認するまで待機する必要があります。
プロビジョニングの状態には次の 4 つがあります。
サービス アクション | サービス コンシューマーのプライベート エンドポイントの状態 | 説明 |
---|---|---|
なし | 保留中 | 接続が手動で作成されており、プライベート リンク リソースの所有者からの承認を待っています。 |
承認 | Approved | 接続が自動または手動で承認され、使用する準備が整っています。 |
Reject | 拒否 | プライベート リンク リソースの所有者によって接続が拒否されました。 |
[削除] | [Disconnected](切断済み) | プライベート リンク リソースの所有者によって接続が削除されました。プライベート エンドポイントは情報が多くなり、クリーンアップのために削除する必要があります。 |
Device Update アカウントから保留中の接続を確認する
Azure portal で、管理する Device Update アカウントに移動します。
[ネットワーク] タブを選択します。
保留中の接続がある場合は、プロビジョニング状態に [保留] と表示されている接続が一覧表示されます。
チェックボックスを使用して保留中の接続を選択し、[承認] または [拒否] を選択します。
Private Link センターから保留中の接続を確認する
Azure portal から [プライベート リンク センター]>[保留中の接続] に移動します。
チェックボックスを使用して保留中の接続を選択し、[承認] または [拒否] を選択します。