プライベート エンドポイント接続を追加する

Azure Database for PostgreSQL フレキシブル サーバーは、Azure Private Link サービスです。 つまり、クライアント アプリケーションが Azure Database for PostgreSQL フレキシブル サーバーにプライベートかつ安全に接続できるように、プライベート エンドポイントを作成できます。

Azure Database for PostgreSQL フレキシブル サーバーへのプライベート エンドポイントは、Azure 仮想ネットワークのサブネットに挿入できるネットワーク インターフェイスです。 ネットワーク トラフィックをそのサブネットにルーティングできる任意のホストまたはサービスは、ネットワーク トラフィックがインターネットを通過する必要がないように、フレキシブル サーバーと通信できます。 すべてのトラフィックは、Microsoft バックボーンを使用してプライベートに送信されます。

Azure Private Link と Azure プライベート エンドポイントの詳細については、 Azure Private Link に関してよく寄せられる質問を参照してください。

ポータル

Azure portal を使用して以下を実行します。

1. お使いの Azure Database for PostgreSQL フレキシブル サーバーを選択します。

2. リソース メニューで、[ ネットワーク] を選択します。

   

3. プライベート エンドポイントをデプロイするために必要なアクセス許可がある場合は、[プライベート エンドポイントの作成] を選択して作成できます。

   

注

プライベート エンドポイントをデプロイするために必要なアクセス許可については、 Azure Private Link の Azure RBAC アクセス許可に関するページを参照してください。

4. [ 基本 ] ページで、必要なすべての詳細を入力します。 次に、[ 次へ: リソース] を選択します。

   

5. 次の表を使用して、[基本情報] ページで使用できるさまざまなフィールドの意味を理解し、ページに入力するためのガイドとして使用します。

   Setting	推奨値	Description
   Subscription	リソースを作成するサブスクリプションの名前を選択します。 サーバーがデプロイされているサブスクリプションが自動的に選択されます。	サブスクリプションは、1 つ以上の Microsoft クラウド プラットフォームまたはサービスを使用するための Microsoft との契約であり、料金はユーザーごとのライセンス料金またはクラウドベースのリソース使用量に基づいて発生します。 複数のサブスクリプションをお持ちの場合は、リソースの課金対象となるサブスクリプションを選択します。
   リソース グループ	プライベート エンドポイントを作成する、選択したサブスクリプション内の リソース グループ 。 既存のリソース グループにすることも、[新規作成] を選択して、そのサブスクリプション内で既存のリソース グループ名と重複しない名前を指定することもできます。 サーバーがデプロイされているリソース グループが自動的に選択されます。	リソース グループは、Azure ソリューションの関連するリソースを保持するコンテナーです。 リソース グループには、ソリューションのすべてのリソースか、グループとして管理したいリソースのみを含めることができます。 組織にとって最も意味のある内容に基づいて、リソースをリソース グループに割り当てる方法を決定します。 通常、同じライフサイクルを共有するリソースを同じリソース グループに追加して、グループとして簡単にデプロイ、更新、削除できるようにします。
   名前	プライベート エンドポイントに割り当てる名前。	Azure Database for PostgreSQL フレキシブル サーバーに接続できるプライベート エンドポイントを識別する一意の名前。
   ネットワーク インターフェイス名	プライベート エンドポイントに関連付けられているネットワーク インターフェイスに割り当てる名前。	プライベート エンドポイントに関連付けられているネットワーク インターフェイスを識別する一意の名前。
   リージョン	Azure Database for PostgreSQL フレキシブル サーバーのプライベート エンドポイントを作成できるリージョンの 1 つの名前。	選択するリージョンは、プライベート エンドポイントをデプロイする予定の仮想ネットワークのリージョンと一致している必要があります。

6. [ リソース ] ページで、必要なすべての詳細を入力します。 次に、[ 次へ: 仮想ネットワーク] を選択します。

   

7. 次の表を使用して、[ リソース ] ページで使用できるさまざまなフィールドの意味を理解し、ページに入力するためのガイダンスとして使用します。

   Setting	推奨値	Description
   リソースの種類	自動的にMicrosoft.DBforPostgreSQL/flexibleServersに設定されます	この値は自動的に選択され、Azure Database for PostgreSQL フレキシブル サーバーのリソースの種類に対応し、Azure Private Link の目に合わせて対応します。
   資源	プライベート エンドポイントを作成する Azure Database for PostgreSQL フレキシブル サーバーの名前を自動的に設定します。	プライベート エンドポイントの接続先となるリソースの名前。
   ターゲット サブリソース	postgresqlServerに自動的に設定されます。	プライベート エンドポイントがアクセスできる、選択したリソースのサブリソースの種類。

8. [ 仮想ネットワーク ] ページで、必要なすべての詳細を入力します。 次に、[ 次へ: DNS] を選択します。

   

9. 次の表を使用して、 Virtual Network ページで使用できるさまざまなフィールドの意味を理解し、ページに入力するためのガイダンスとして使用します。

   Setting	推奨値	Description
   仮想ネットワーク	選択したサブスクリプションとリージョンで使用可能な最初の (アルファベット順に並べ替えられた) 仮想ネットワークに自動的に設定されます。	現在選択されているサブスクリプションとリージョンのアクセス許可を持つ仮想ネットワークのみが一覧表示されます。
   サブネット	プライベート エンドポイントを作成する Azure Database for PostgreSQL フレキシブル サーバーの名前を自動的に設定します。	現在選択されている仮想ネットワーク内のサブネットのみが一覧表示されます。
   プライベート エンドポイントのネットワーク ポリシー	既定では、仮想ネットワーク内のサブネットに対してネットワーク ポリシーは無効になっています。 ネットワーク ポリシーは、ネットワーク セキュリティ グループに対してのみ有効にすることも、ユーザー定義ルートに対してのみ有効にすることも、両方に対して有効にすることもできます。	ユーザー定義ルートやネットワーク セキュリティ グループのサポートなどのネットワーク ポリシーを使用するには、サブネットに対してネットワーク ポリシーのサポートを有効にする必要があります。 この設定は、サブネット内のプライベート エンドポイントにのみ適用され、サブネット内のすべてのプライベート エンドポイントに影響します。 サブネット内の他のリソースの場合、アクセスはネットワーク セキュリティ グループのセキュリティ規則に基づいて制御されます。 詳細については、「プライベート エンドポイントのネットワーク ポリシーを管理する」を参照してください。
   プライベート IP 構成	選択したサブネットに割り当てられた範囲内の使用可能な IP アドレスの 1 つを動的に割り当てするように自動的に設定します。	この IP アドレスは、プライベート エンドポイントに関連付けられているネットワーク インターフェイスに割り当てられた IP アドレスです。 選択したサブネットに割り当てられた範囲から動的に割り当てることもできますし、割り当てる特定のアドレスを決定することもできます。 プライベート エンドポイントを作成した後は、作成時に選択した 2 つの割り当てモードに関係なく、その IP アドレスを変更することはできません。
   アプリケーション セキュリティ グループ	既定では、アプリケーション セキュリティ グループは割り当てされていません。 既存のものを選択することも、作成して割り当てることもできます。	アプリケーション セキュリティ グループを使用すると、ネットワーク セキュリティをアプリケーションの構造の自然な拡張として構成でき、仮想マシンをグループ化して、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。 明示的な IP アドレスを手動でメンテナンスせずに、大きなセキュリティ ポリシーを再利用することができます。 プラットフォームは、明示的な IP アドレスと複数のルール セットの複雑さを処理するため、ビジネス ロジックに集中できます。 詳細については、「 アプリケーション セキュリティ グループ」を参照してください。

10. [DNS] ページで、必要なすべての詳細を入力します。 次に、[ 次へ: タグ] を選択します。

    

11. 次の表を使用して、 DNS ページで使用できるさまざまなフィールドの意味を理解し、ページに入力するためのガイダンスとして使用します。

    Setting	推奨値	Description
    プライベート DNS ゾーンとの統合	既定で有効になっています。	プライベート エンドポイントを Azure プライベート DNS ゾーンと統合する場合は [はい] を選択し、独自の DNS サーバーを使用する場合は [いいえ] を選択します。または、プライベート エンドポイント経由で接続するマシンのホスト ファイルを使用してエンドポイントの名前を解決する場合は、[はい] を選択します。 詳細については、「 プライベート エンドポイントの DNS 構成」を参照してください。 プライベート DNS ゾーンの統合を構成すると、プライベート DNS ゾーンは、プライベート エンドポイントを作成する仮想ネットワークに自動的にリンクされます。
    [構成名]	privatelink-postgres-database-azure-comに自動的に設定されます。	プライベート DNS ゾーンに関連付けられている DNS 構成に割り当てられた名前。
    Subscription	プライベート DNS ゾーンを作成する サブスクリプション の名前を選択します。 サーバーがデプロイされているサブスクリプションが自動的に選択されます。	サブスクリプションは、1 つ以上の Microsoft クラウド プラットフォームまたはサービスを使用するための Microsoft との契約であり、料金はユーザーごとのライセンス料金またはクラウドベースのリソース使用量に基づいて発生します。 複数のサブスクリプションをお持ちの場合は、リソースの課金対象となるサブスクリプションを選択します。
    リソース グループ	プライベート DNS ゾーンを作成する、選択したサブスクリプション内の リソース グループ 。 既存のリソース グループである必要があります。 サーバーがデプロイされているリソース グループが自動的に選択されます。	リソース グループは、Azure ソリューションの関連するリソースを保持するコンテナーです。 リソース グループには、ソリューションのすべてのリソースか、グループとして管理したいリソースのみを含めることができます。 組織にとって最も意味のある内容に基づいて、リソースをリソース グループに割り当てる方法を決定します。 通常、同じライフサイクルを共有するリソースを同じリソース グループに追加して、グループとして簡単にデプロイ、更新、削除できるようにします。
    プライベート DNS ゾーン	あなたのためにprivatelink.postgres.database.azure.comに自動設定されます。	この名前は、プライベート DNS ゾーン リソースに割り当てられた名前です。

12. [ タグ ] ページで、必要なすべての詳細を入力します。 次に、[ 次へ: 確認と作成] を選択します。

    

13. 次の表を使用して、[タブ] ページで使用できるさまざまなフィールドの意味を理解し、ページに入力するためのガイドとして使用します。

    Setting	推奨値	Description
    名前	空のままにします。	プライベート エンドポイントとプライベート DNS ゾーンに割り当てるタグの名前 ( DNS ページで プライベート DNS ゾーン統合を選択した場合)。
    価値	空のままにします。	指定した名前を持つタグに割り当て、プライベート エンドポイントとプライベート DNS ゾーンに割り当てる値 ( DNS ページで プライベート DNS ゾーン統合を選択した場合)。
    資源	既定のままにします。	特定のタグを割り当てるリソースを選択できます。 プライベート エンドポイント、プライベート DNS ゾーン ( DNS ページで プライベート DNS ゾーン統合を選択した場合)、またはその両方を指定できます。

14. [ 確認と作成 ] ページで、すべてが必要に合って構成されていることを確認します。 次に、[作成] を選択します。

    

15. デプロイが開始され、デプロイが完了すると通知が表示されます。

    

CLI

プライベート エンドポイントをデプロイし、サーバーへのプライベート エンドポイント接続を承認するために必要なアクセス許可がある場合は、 az network private-endpoint create コマンドを使用してプライベート エンドポイント接続を作成できます。

プライベート エンドポイントを作成し、そのネットワーク インターフェイスに割り当てるには、選択したサブネットに割り当てられた範囲から動的に割り当てられた IP アドレスを割り当てます。

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

プライベート エンドポイントを作成し、そのネットワーク インターフェイスに割り当てるには、選択したサブネットに割り当てられた範囲から静的に割り当てられた IP アドレスを割り当てます。

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

必要なアクセス許可がある場合は、プライベート エンドポイント接続が自動的に承認されます。 その場合、次のコマンドの出力では、statusとしてApprovedが表示され、descriptionとしてAuto-Approvedされます。

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

az network private-endpoint createは、privatelink.postgres.database.azure.comプライベート DNS ゾーンが存在しない場合は作成します。 また、プライベート DNS ゾーンを、プライベート エンドポイントが作成される仮想ネットワークにリンクします。 ただし、プライベート エンドポイントに DNS ゾーン グループは作成されません。必要に応じて、プライベート エンドポイントをプライベート DNS ゾーンと統合できます。 そのためには、次の操作を実行します。

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

静的に割り当てられたプライベート IP アドレスを使用してプライベート エンドポイントを作成しようとして、指定されたアドレスが他のネットワーク インターフェイスで既に使用されている場合は、次のエラーが発生します。

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

--subscriptionを介して参照されるプライベート エンドポイントと仮想ネットワークを作成しようとすると、--resource-groupパラメーターと--vnet-name パラメーターは存在しません。 または、仮想ネットワークが存在するが、それがデプロイされているリージョンがプライベート エンドポイントをデプロイしようとしているリージョンと一致しない場合は、次のエラーが発生します。

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

プライベート エンドポイントを作成しようとして、同じ名前のエンドポイントが既に存在するが、 --connection-name または --vnet-nameに別の値を指定すると、次のエラーが発生します。

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

プライベート エンドポイントを作成しようとして、同じ名前のエンドポイントが既に存在するが、 --subnetに別の値を指定すると、次のエラーが発生します。

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

プライベート エンドポイントを作成しようとして、同じ名前のエンドポイントが既に存在するが、 --locationに別の値を指定すると、次のエラーが発生します。

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

関連コンテンツ

• ネットワーク。
• パブリック アクセスを有効にします。
• パブリック アクセスを無効にします。
• ファイアウォール規則を追加します。
• ファイアウォール規則を削除します。
• プライベート エンドポイント接続を削除。
• プライベート エンドポイント接続を承認します。
• プライベート エンドポイント接続を拒否します。