Azure プライベート エンドポイントの DNS 統合

Azure プライベート エンドポイントは、Azure Private Link を使用するサービスに、プライベートで安全に接続するためのネットワーク インターフェイスです。 プライベート エンドポイントでは、仮想ネットワークのプライベート IP アドレスを使用して、サービスが仮想ネットワークに実質的に組み込まれます。 サービスは、Azure Storage、Azure Cosmos DB、SQL などの Azure サービスであっても、独自の Private Link サービスであってもかまいません。 この記事では、Azure プライベート エンドポイントの DNS 構成シナリオについて説明します。

プライベート エンドポイントをサポートする Azure サービスのプライベート DNS ゾーン設定については、Azure プライベート エンドポイントのプライベート DNS ゾーン値に関するページを参照してください。

DNS の構成シナリオ

サービスの FQDN は、自動的にパブリック IP アドレスに解決されます。 プライベート エンドポイントのプライベート IP アドレスに解決するには、DNS 構成を変更します。

DNS は、プライベート エンドポイント IP アドレスを正常に解決することでアプリケーションを正しく動作させるために不可欠なコンポーネントです。

お客様の設定に応じて、DNS 解決の統合では次のシナリオを利用できます。

• Azure プライベート リゾルバーのない仮想ネットワーク ワークロード

• Azure プライベート リゾルバーを使用しないピアリングされた仮想ネットワーク ワークロード

• オンプレミスワークロード用の Azure プライベート リゾルバー

• オンプレミス DNS フォワーダーを使用した Azure プライベート リゾルバー

• 仮想ネットワークとオンプレミスワークロード用の Azure プライベート リゾルバー

Azure プライベート リゾルバーのない仮想ネットワーク ワークロード

この構成は、カスタム DNS サーバーのない仮想ネットワーク ワークロードに適しています。 このシナリオでは、Azure から提供される DNS サービス 168.63.129.16 に対してクライアントがプライベート エンドポイント IP アドレスを照会します。 Azure DNS はプライベート DNS ゾーンの DNS 解決を担当します。

Note

このシナリオでは、Azure SQL Database から推奨されるプライベート DNS ゾーンを使用します。 その他のサービスの場合、次のリファレンスを使用してモデルを調整できます (「Azure サービス DNS ゾーンの構成」)。

適切に構成するには、次のリソースが必要です。

• クライアント仮想ネットワーク

• プライベート DNS ゾーン privatelink.database.windows.net とタイプ A レコード

• プライベート エンドポイント情報 (FQDN レコード名とプライベート IP アドレス)

次のスクリーンショットには、プライベート DNS ゾーンを利用した仮想ネットワーク ワークロードからの DNS 解決シーケンスが示されています。

Azure プライベート リゾルバーを使用しないピアリングされた仮想ネットワーク ワークロード

このモデルを、同じプライベート エンドポイントに関連付けられているピアリングされた仮想ネットワークに拡張することができます。 ピアリングされたすべての仮想ネットワークに対して、プライベート DNS ゾーンに新しい仮想ネットワーク リンクを追加します。

重要

• この構成には単一のプライベート DNS ゾーンが必要です。 異なる仮想ネットワークに対して同じ名前を使って複数のゾーンを作成する場合、手作業で DNS レコードをマージする必要があります。

• 異なるサブスクリプション、または同じサブスクリプション内で、ハブ アンド スポーク モデルのプライベート エンドポイントを使用している場合、同じプライベート DNS ゾーンを、ゾーンから DNS 解決が必要なクライアントを含むすべてのスポークおよびハブ仮想ネットワークにリンクします。

このシナリオには、ハブおよびスポーク ネットワーク トポロジがあります。 スポーク ネットワークによってプライベート エンドポイントが共有されます。 スポーク仮想ネットワークは同じプライベート DNS ゾーンにリンクされます。

オンプレミスワークロード用の Azure プライベート リゾルバー

オンプレミスのワークロードでプライベート エンドポイントの FQDN を解決するには、Azure プライベート リゾルバーを使用して、Azure の Azure サービス パブリック DNS ゾーンを解決します。 Azure プライベート リゾルバーは、DNS フォワーダーとして機能する仮想マシンを必要とせずに DNS クエリを解決できる Azure マネージド サービスです。

次のシナリオは、Azure プライベート リゾルバーを使用するように構成されたオンプレミス ネットワーク用です。 プライベート リゾルバーは、プライベート エンドポイントの要求を Azure DNS に転送します。

Note

このシナリオでは、Azure SQL Database から推奨されるプライベート DNS ゾーンを使用します。 他のサービスの場合は、Azure サービスの DNS ゾーン値のリファレンスを使用してモデルを調整できます。

適切な構成には、次のリソースが必要です。

• オンプレミス ネットワーク

• オンプレミスに接続された仮想ネットワーク

• Azure プライベート リゾルバー

• プライベート DNS ゾーン privatelink.database.windows.net とタイプ A レコード

• プライベート エンドポイント情報 (FQDN レコード名とプライベート IP アドレス)

次の図は、オンプレミス ネットワークからの DNS 解決シーケンスを示しています。 この構成では、Azure にデプロイされたプライベート リゾルバーが使用されます。 この解決は、仮想ネットワークにリンクされたプライベート DNS ゾーンによって行われます。

オンプレミス DNS フォワーダーを使用した Azure プライベート リゾルバー

この構成は、DNS ソリューションが既に配置されているオンプレミス ネットワーク用に拡張できます。

オンプレミスの DNS ソリューションは、条件付きフォワーダーを介して Azure DNS に DNS トラフィックを転送するように構成されています。 条件付きフォワーダーは、Azure にデプロイされたプライベート リゾルバーを参照します。

Note

このシナリオでは、Azure SQL Database から推奨されるプライベート DNS ゾーンを使用します。 他のサービスの場合は、次のリファレンスを使用してモデルを調整できます。

適切に構成するには、次のリソースが必要です。

• カスタム DNS ソリューションが配置されているオンプレミス ネットワーク

• オンプレミスに接続された仮想ネットワーク

• Azure プライベート リゾルバー

• プライベート DNS ゾーン privatelink.database.windows.net とタイプ A レコード

• プライベート エンドポイント情報 (FQDN レコード名とプライベート IP アドレス)

次の図は、オンプレミス ネットワークからの DNS 解決を示しています。 DNS 解決は Azure に条件付きで転送されます。 この解決は、仮想ネットワークにリンクされたプライベート DNS ゾーンによって行われます。

重要

条件付き転送は、推奨されるパブリック DNS ゾーン フォワーダーに対して行われる必要があります。 たとえば、 privatelink.database.windows.net ではなく、database.windows.net です。

仮想ネットワークとオンプレミスワークロード用の Azure プライベート リゾルバー

仮想ネットワークとオンプレミス ネットワークからプライベート エンドポイントにアクセスするワークロードの場合は、Azure プライベート リゾルバーを使用して、Azure にデプロイされた Azure サービス パブリック DNS ゾーン を解決します。

次のシナリオは、Azure の仮想ネットワークを使用したオンプレミス ネットワーク用です。 どちらのネットワークも、共有ハブ ネットワークに配置されているプライベート エンドポイントにアクセスします。

プライベート リゾルバーは、Azure 提供の DNS サービス 168.63.129.16 を介してすべての DNS クエリを解決する役割を担います。

重要

この構成には単一のプライベート DNS ゾーンが必要です。 また、オンプレミスおよびピアリングされた仮想ネットワークから実行されるすべてのクライアント接続では、同じプライベート DNS ゾーンを使用する必要があります。

注意

このシナリオでは、Azure SQL Database から推奨されるプライベート DNS ゾーンを使用します。 その他のサービスの場合、次のリファレンスを使用してモデルを調整できます (「Azure サービス DNS ゾーンの構成」)。

適切に構成するには、次のリソースが必要です。

• オンプレミス ネットワーク

• オンプレミスに接続された仮想ネットワーク

• ピアリングされた仮想ネットワーク 

• Azure Private Resolver

• プライベート DNS ゾーン privatelink.database.windows.net とタイプ A レコード

• プライベート エンドポイント情報 (FQDN レコード名とプライベート IP アドレス)

次の図は、オンプレミス ネットワークと仮想ネットワークの両方の DNS 解決を示しています。 解決には Azure プライベート リゾルバーが使用されます。

この解決は、仮想ネットワークにリンクされたプライベート DNS ゾーンによって行われます。

プライベート DNS ゾーン グループ

プライベート エンドポイントをプライベート DNS ゾーンと統合することを選んだ場合は、プライベート DNS ゾーン グループも作成されます。 DNS ゾーン グループでは、プライベート DNS ゾーンとプライベート エンドポイントの間に強い関連付けがあります。 これは、プライベート エンドポイントが更新されたときに、プライベート DNS ゾーン レコードを管理するのに役立ちます。 たとえば、リージョンを追加または削除すると、プライベート DNS ゾーンは正しいレコード数で自動的に更新されます。

以前は、プライベート エンドポイントの DNS レコードはスクリプトを使用して作成されていました (プライベート エンドポイントに関する特定の情報を取得し、それをDNS ゾーンに追加します)。 DNS ゾーン グループでは、すべての DNS ゾーンに対して追加の CLI/PowerShell 行を記述する必要はありません。 また、プライベート エンドポイントを削除すると、DNS ゾーン グループ内のすべての DNS レコードが削除されます。

ハブ アンド スポーク トポロジでは、一般的なシナリオでは、ハブでプライベート DNS ゾーンを 1 回だけ作成できます。 このセットアップにより、スポークごとに異なるゾーンを作成する代わりに、スポークに登録できます。

Note

• 各 DNS ゾーン グループは、最大 5 つの DNS ゾーンをサポートできます。
• 1 つのプライベート エンドポイントへの複数の DNS ゾーン グループの追加はサポートされていません。
• DNS レコードの削除操作と更新操作は、Azure Traffic Manager と DNS によって 実行されます。 これは、DNS レコードを管理するために必要な通常のプラットフォーム操作です。

次のステップ

• プライベート エンドポイントについて学習します