次の方法で共有

Azure プライベート エンドポイント接続に関する問題のトラブルシューティング

  • [アーティクル]

この記事では、Azure プライベート エンドポイント接続のセットアップを検証して診断するためのステップ バイ ステップのガイダンスを提供します。

Azure プライベート エンドポイントは、プライベート リンク サービスにプライベートかつ安全に接続するネットワーク インターフェイスです。 このソリューションは、仮想ネットワークから Azure サービス リソースへのプライベート接続を提供することによって、Azure でワークロードをセキュリティで保護するのに役立ちます。 このソリューションにより、それらのサービスが仮想ネットワークに効果的に導入されます。

プライベート エンドポイントで使用できる接続シナリオを次に示します。

  • 同じリージョンの仮想ネットワーク

  • リージョンでピアリングされた仮想ネットワーク

  • グローバルにピアリングされた仮想ネットワーク

  • VPN または Azure ExpressRoute 回線を介したオンプレミスのお客様

接続に関する問題を診断する

プライベート エンドポイント セットアップでの接続の問題を解決するために、以下の手順を確認し、通常の構成がすべて想定どおりであることを確かめてください。

  1. リソースを参照して、プライベート エンドポイントの構成を確認します。

    a. [プライベート リンク センター] に移動します。

    Private Link センターのスクリーンショット。

    b. 左側のペインで、 [プライベート エンドポイント] を選択します。

    プライベート エンドポイントのスクリーンショット。

    c. 診断するプライベート エンドポイントをフィルター処理して選択します。

    d. 仮想ネットワークと DNS 情報を確認します。

    • 接続状態が [承認済み] になっていることを確認します。

    • プライベート エンドポイントをホストしている仮想ネットワークに VM が接続されていることを確認します。

    • FQDN 情報 (コピー) とプライベート IP アドレスが割り当てられていることを確認します。

      仮想ネットワーク と DNS の構成のスクリーンショット。

  2. Azure Monitor を使用して、データが流れているかどうか確認します。

    a. プライベート エンドポイント リソースで [Metrics](メトリック) を選択します。

    • [入力バイト数] または [出力バイト数] を選択します。

    • プライベート エンドポイントへの接続を試みたときにデータが流れているかどうか確認します。 約 10 分の遅延が予想されます。

    プライベート エンドポイント モニターの確認のスクリーンショット。

  3. Azure Network Watcher の VM の接続のトラブルシューティングを使用します。

    a. クライアント VM を選択します。

    b. [接続のトラブルシューティング] を選択し、 [送信接続] タブを選択します。

    Network Watcher - 送信接続のテストのスクリーンショット。

    c. [詳細な接続トレースを行うために Network Watcher を使用する] を選択します。

    Network Watcher - 接続のトラブルシューティングのスクリーンショット。

    d. [Test by FQDN](FQDN でテスト) を選択します。

    • プライベート エンドポイント リソースから FQDN を貼り付けます。

    • ポートを指定します。 通常、Azure Storage または Azure Cosmos DB の場合は 443、SQL の場合は 1336 を使用します。

    e. [テスト] を選択して、テスト結果を検証します。

    Network Watcher - テスト結果のスクリーンショット。

  4. テスト結果の DNS 解決には、プライベート エンドポイントに割り当てられているものと同じプライベート IP アドレスが含まれている必要があります。

    a. DNS 設定が正しくない場合は、次の手順を実行します。

    • プライベート ゾーンを使用する場合:

      • クライアント VM 仮想ネットワークがプライベート ゾーンに関連付けられていることを確認します。

      • プライベート DNS ゾーン レコードが存在することを確認します。 存在しなければ、作成してください。

    • カスタム DNS を使用する場合:

    b. ネットワーク セキュリティ グループ (NSG) またはユーザー定義ルートが原因で接続が失敗する場合:

    • NSG アウトバウンド規則を確認し、トラフィックを許可するための適切なアウトバウンド規則を作成します。

      NSG アウトバウンド規則のスクリーンショット。

  5. ソース仮想マシンでは、ネットワーク インターフェイスの有効なルートで、プライベート エンドポイント IP のネクスト ホップへのルートが InterfaceEndpoints として設定されている必要があります。

    a. ソース VM のプライベート エンドポイント ルートを確認できない場合は、次の点を調べてください

    • ソース VM とプライベート エンドポイントが、同じ仮想ネットワークの一部かどうか。 「はい」の場合は、サポートに問い合わせる必要があります。

    • ソース VM とプライベート エンドポイントが、互いに直接ピアリングされている異なる仮想ネットワークの一部かどうか。 「はい」の場合は、サポートに問い合わせる必要があります。

    • ソース VM とプライベート エンドポイントが、互いに直接ピアリングされていない異なる仮想ネットワークに属しているかどうか。この場合は、仮想ネットワーク間の IP 接続を調べます。

  6. 接続の結果が正しいと確認された場合、接続の問題は、アプリケーション層でのシークレット、トークン、パスワードなどの他の側面に関連している可能性があります。

  7. 常に、サポート チケットを提出する前に絞り込むことをお勧めします。

    a. ソースがオンプレミスで、Azure のプライベート エンドポイントに接続しており、問題が発生している場合は、以下を実行してください。

    • オンプレミスから別の仮想マシンに接続してみてください。 オンプレミスから仮想ネットワークへの IP 接続が確立されているかどうかを調べます。

    • 仮想ネットワーク内の仮想マシンからプライベート エンドポイントに接続してみてください。

    b. ソースが Azure であり、プライベート エンドポイントが別の仮想ネットワーク内にある場合は、以下を実行してください。

    • 別のソースからプライベート エンドポイントに接続してみてください。 別のソースから接続することで、仮想マシン固有の問題を切り分けることができます。

    • プライベート エンドポイントと同じ仮想ネットワークの一部である任意の仮想マシンに接続してみてください。

  8. プライベート エンドポイントが、ロード バランサーにリンクされている Private Link サービスにリンクされている場合は、バックエンド プールが正常と報告されるかどうかを確認します。 ロード バランサーの正常性を修正すると、プライベート エンドポイントへの接続に関する問題が修正されます。

    • 次にアクセスすると、ビジュアル ダイアグラムまたは関連するリソース、メトリック、分析情報のリソース ビューを表示できます。

      • Azure Monitor

      • ネットワーク

      • プライベート エンドポイント

      • リソース ビュー

問題が解決されず、接続の問題が依然として存在する場合は、Azure サポート チームにお問い合わせください。

次のステップ