Device Update for IoT Hub アカウントのプライベート エンドポイントを構成する

プライベート エンドポイントを使用すると、パブリック インターネットを経由せずにプライベート リンクを介して安全に仮想ネットワークから直接ご自分のアカウントへのトラフィックを許可することができます。 プライベート エンドポイントでは、ご自分のアカウントの VNet アドレス空間からの IP アドレスが使用されます。 概念の詳細については、ネットワーク セキュリティに関する記事をご覧ください。

この記事では、アカウントに対してプライベート エンドポイントを構成する方法について説明します。

アカウントのプライベート エンドポイントを作成するには、Azure portal または Azure CLI を使用できます。

前提条件

Azure Portal

Azure portal の前提条件はありません。

Azure CLI

Azure CLI 環境:

• Azure Cloud Shell で Bash 環境を使用します。

  

• CLI リファレンス コマンドをローカルで実行する場合、Azure CLI をインストールします

  • az login コマンドを使用して、Azure CLI にサインインします。

  • az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。 最新バージョンにアップグレードするには、az upgrade を実行します。

  • 初回使用時に確認を求められたら、Azure CLI 拡張機能をインストールします。 この記事のコマンドでは、azure-iot 拡張機能を使います。 az extension update --name azure-iot を実行して、最新バージョンの拡張機能を使用していることを確認してください。

Device Update アカウントからプライベート エンドポイントを構成する

Azure portal で、Device Update アカウント内から新しいプライベート エンドポイントを作成できます。 これらのプライベート エンドポイント接続は自動承認されるため、この記事の残りの部分で説明されているレビューおよび承認の追加の手順は必要ありません。

1. Azure portal にサインインし、ご自分のアカウントまたはドメインに移動します。

2. ご自分のアカウント ページの [ネットワーク] タブに切り替えます。 プライベート エンドポイントのみにアクセスを制限する場合は、[パブリック ネットワーク アクセス] を無効にします。

3. [プライベート アクセス] タブに切り替えてから、ツールバーの [+ 追加] を選びます。

   

4. [基本] ページで、プライベート エンドポイントに関する次の情報を指定します。

   • サブスクリプション: プライベート エンドポイントを作成する Azure サブスクリプション。

   • リソース グループ: プライベート エンドポイントの既存または新しいリソース グループ。

   • 名前: このエンドポイントの名前。 この値は、ネットワーク インターフェイス名を自動生成するために使用されます。

   • リージョン: エンドポイントの Azure リージョン。 プライベート エンドポイントが存在するリージョンは仮想ネットワークと同じにする必要がありますが、Device Update アカウントのリージョンと異なっていてもかまいません。

     

5. [リソース] ページは自動的に設定されます

   

6. [仮想ネットワーク] ページで、プライベート エンドポイントのデプロイ先とする仮想ネットワークとサブネットを選択します。

   • 仮想ネットワーク: ドロップダウン リストには、現在選択されているサブスクリプションおよび場所内の仮想ネットワークのみが一覧表示されます。

   • サブネット: 選択した仮想ネットワーク内のサブネットを選択します。

     

7. [DNS] ページでは、独自のカスタム DNS を使用している場合を除き、事前設定された値を使用します。

   

8. [タグ] ページでは、プライベート エンドポイント リソースに関連付ける任意のタグ (名前と値) を作成します。

9. [確認と作成] ページで、すべての設定を確認し、[作成] を選択してプライベート エンドポイントを作成します。

Private Link センターからプライベート エンドポイントを構成する

Device Update アカウントにアクセスできない場合は、Private Link センターからプライベート エンドポイントを作成できます。 接続を作成するユーザーにそれを承認する権限がない場合、その接続は保留中の状態で作成されます。

Azure portal または Azure CLI のいずれかを使用して、プライベート エンドポイントを作成できます。

Azure Portal

1. Azure portal から [プライベート リンク センター]>[プライベート エンドポイント] に移動し、[+作成] を選択します。

   

2. [基本] ページで、プライベート エンドポイントに関する次の情報を指定します。

   • サブスクリプション: プライベート エンドポイントを作成する Azure サブスクリプション。
   • リソース グループ: プライベート エンドポイントの既存または新しいリソース グループ。
   • 名前: このエンドポイントの名前。 この値は、ネットワーク インターフェイス名を自動生成するために使用されます。
   • リージョン: エンドポイントの Azure リージョン。 プライベート エンドポイントが存在するリージョンは仮想ネットワークと同じにする必要がありますが、Device Update アカウントのリージョンと異なっていてもかまいません。

3. [リソース] タブのすべての必須フィールドに入力します

   • 接続方法: [リソース ID またはエイリアスを使って Azure リソースに接続します] を選択します。
   • リソース ID またはエイリアス: Device Update アカウントのリソース ID を入力します。 [概要] ページで [JSON ビュー] を選択すると、Azure portal から Device Update アカウントのリソース ID を取得できます。 または、az iot du account show コマンドを使用し、ID 値のクエリを実行して (az iot du account show -n <account_name> --query id)、これを取得することもできます。
   • 対象サブリソース: 値は「DeviceUpdate」にする必要があります

   

4. [仮想ネットワーク] ページで、プライベート エンドポイントのデプロイ先とする仮想ネットワークとサブネットを選択します。

   • 仮想ネットワーク: ドロップダウン リストには、現在選択されているサブスクリプションおよび場所内の仮想ネットワークのみが一覧表示されます。
   • サブネット: 選択した仮想ネットワーク内のサブネットを選択します。

5. [DNS] ページでは、独自のカスタム DNS を使用している場合を除き、事前設定された値を使用します。

6. [タグ] ページでは、プライベート エンドポイント リソースに関連付ける任意のタグ (名前と値) を作成します。

7. [確認と作成] ページで、すべての設定を確認し、[作成] を選択してプライベート エンドポイントを作成します。

Azure CLI

az network private endpoint create コマンドを使用して、プライベート エンドポイントを作成します。

次のプレースホルダーは、実際の値に置き換えてください。

• RESOURCE_GROUP_NAME: リソース グループの名前。
• PRIVATE_ENDPOINT_NAME: プライベート エンドポイントの名前。
• PRIVATE_LINK_CONNECTION_NAME: プライベート リンク サービス接続の名前。
• VIRTUAL_NETWORK_NAME: サブネットに関連付けられている既存の仮想ネットワークの名前。
• SUBNET_NAME: 既存のサブネットの名前または ID。 サブネット名を使用する場合は、仮想ネットワーク名も含める必要があります。 サブネット ID を使用する場合は、--vnet-name パラメーターを省略できます。
• DEVICE_UPDATE_RESOURCE_ID: [概要] ページで [JSON ビュー] を選択すると、Azure portal から Device Update アカウントのリソース ID を取得できます。 または、az iot du account show コマンドを使用し、ID 値のクエリを実行して (az iot du account show -n <account_name> --query id)、これを取得することもできます。
• LOCATION: Azure リージョンの名前。 プライベート エンドポイントが存在するリージョンは仮想ネットワークと同じにする必要がありますが、Device Update アカウントのリージョンと異なっていてもかまいません。

az network private-endpoint create \
    --resource-group <RESOURCE_GROUP_NAME> \
    --name <PRIVATE_ENDPOINT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --vnet-name <VIRTUAL_NETWORK_NAME> \
    --subnet <SUBNET_NAME> \
    --private-connection-resource-id "<DEVICE_UPDATE_RESOURCE_ID> \
    --location <LOCATION> \
    --group-id DeviceUpdate
    --request-message "Optional message"
    --manual-request

プライベート エンドポイントは、az network private-endpoint delete コマンドを使用して削除できます。

az network private-endpoint delete --resource-group <RESOURCE_GROUP_NAME> --name <PRIVATE_ENDPOINT_NAME>

プライベート リンク接続を管理する

手動による承認を待つプライベート エンドポイントを作成する場合、承認されるまでその接続は使用できません。 プライベート エンドポイントの作成対象のリソースが自分のディレクトリ内にある場合、十分なアクセス許可があれば、接続要求を承認することができます。 別のディレクトリ内の Azure リソースに接続している場合は、そのリソースの所有者が接続要求を承認するまで待機する必要があります。

プロビジョニングの状態には次の 4 つがあります。

サービス アクション	サービス コンシューマーのプライベート エンドポイントの状態	説明
なし	保留中	接続が手動で作成されており、プライベート リンク リソースの所有者からの承認を待っています。
承認	Approved	接続が自動または手動で承認され、使用する準備が整っています。
Reject	拒否	プライベート リンク リソースの所有者によって接続が拒否されました。
[削除]	[Disconnected](切断済み)	プライベート リンク リソースの所有者によって接続が削除されました。プライベート エンドポイントは情報が多くなり、クリーンアップのために削除する必要があります。

Azure Portal

Device Update アカウントから保留中の接続を確認する

1. Azure portal で、管理する Device Update アカウントに移動します。

2. [ネットワーク] タブを選択します。

3. 保留中の接続がある場合は、プロビジョニング状態に [保留] と表示されている接続が一覧表示されます。

   

4. チェックボックスを使用して保留中の接続を選択し、[承認] または [拒否] を選択します。

Private Link センターから保留中の接続を確認する

1. Azure portal から [プライベート リンク センター]>[保留中の接続] に移動します。

2. チェックボックスを使用して保留中の接続を選択し、[承認] または [拒否] を選択します。

   

Azure CLI

az iot du account private-endpoint-connection set コマンドを使用して、プライベート エンドポイント接続を管理します。

次のプレースホルダーは、実際の値に置き換えてください。

• ACCOUNT_NAME: Device Update アカウントの名前。
• PRIVATE_LINK_CONNECTION_NAME: プライベート リンク サービス接続の名前。
• STATUS: Approved または Rejected のいずれか。

az iot du account private-endpoint-connection set \
    --name <ACCOUNT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --status <STATUS> \
    --desc 'Optional description'

次のステップ

ネットワーク セキュリティの概念について説明します。