チュートリアル:Azure プライベート エンドポイントを使用してストレージ アカウントに接続する
Azure プライベート エンドポイントは、Azure における Private Link の基本的な構成要素です。 これにより、仮想マシン (VM) などの Azure リソースは、Azure Storage などの Private Link リソースと非公開にかつ安全に通信できます。
このチュートリアルでは、以下の内容を学習します。
- 仮想ネットワークと bastion ホストを作成します。
- ストレージ アカウントを作成し、パブリック アクセスを無効にします。
- ストレージ アカウントのプライベート エンドポイントを作成します。
- 仮想マシンを作成します。
- ストレージ アカウントのプライベート エンドポイントに対する接続をテストします。
前提条件
- Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
Azure へのサインイン
Azure portal にサインインします。
仮想ネットワークと Azure Bastion ホストを作成する
次の手順では、リソース サブネット、Azure Bastion サブネット、Bastion ホストを含む仮想ネットワークを作成します。
ポータルで、[仮想ネットワーク] を検索して選択します。
[仮想ネットワーク] ページで、[+ 作成] を選択します。
[仮想ネットワークの作成] の [基本] タブで、以下の情報を入力するか選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group [新規作成] を選択します。
名前に「test-rg」と入力します。
を選択します。インスタンスの詳細 Name 「vnet-1」と入力します。 リージョン [米国東部 2] を選択します。 [次へ] を選択して、[セキュリティ] タブに進みます。
[Azure Bastion] セクションで、[Azure Bastion の有効化] を選択します。
Bastion では、ユーザーのブラウザーとプライベート IP アドレスを使って、Secure Shell (SSH) またはリモート デスクトップ プロトコル (RDP) 経由で仮想ネットワーク内の VM に接続します。 VM には、パブリック IP アドレス、クライアント ソフトウェア、または特別な構成は必要ありません。 詳細については、Azure Bastion に関するページを参照してください。
[Azure Bastion] で、次の情報を入力するか選びます。
設定 値 Azure Bastion ホスト名 「bastion」と入力します。 Azure Bastion のパブリック IP アドレス [Create a public IP address] (パブリック IP アドレスを作成する) を選びます。
[名前] に「public-ip-bastion」と入力します。
を選択します。[次へ] を選択して、[IP アドレス] タブに進みます。
[サブネット] のアドレス空間ボックスで、既定のサブネットを選択します。
[サブネットの編集] で次の情報を入力または選択します。
設定 Value サブネットの目的 既定値の [既定値] のままにします。 名前 「subnet-1」と入力します。 IPv4 IPv4 アドレス範囲 既定値である 10.0.0.0/16 のままにします。 開始アドレス 既定値の 10.0.0.0 のままにします。 サイズ 既定値の [/24 (256 アドレス)] のままにします。 [保存] を選択します。
ウィンドウの下部にある [確認および作成] を選びます。 検証に合格した場合は、[作成] を選択します。
ストレージ アカウントを作成する
この記事の手順に従って、Azure Storage アカウントを作成します。 ストレージ アカウントが既にある場合は、代わりに使用できます。
ポータルの上部にある検索ボックスに、「ストレージ アカウント」と入力します。 検索結果で [ストレージ アカウント] を選択します。
[+ 作成] を選択します。
[ストレージ アカウントを作成する] の [基本] タブで、次の情報を入力または選びます。
設定 値 プロジェクトの詳細 サブスクリプション Azure サブスクリプションを選択します。 リソース グループ test-rg を選択します。 インスタンスの詳細 ストレージ アカウント名 「storage1」と入力します。 この名前が使用できない場合は、一意の名前を入力してください。 場所 [(米国) 米国東部 2] を選択します。 パフォーマンス 既定値 [標準] のままにします。 冗長性 [ローカル冗長ストレージ (LRS)] を選択します。 [レビュー] を選択します。
[作成] を選択します
ストレージ アカウントへのパブリック アクセスを無効にする
プライベート エンドポイントを作成する前に、ストレージ アカウントへのパブリック アクセスを無効にすることをお勧めします。 ストレージ アカウントへのパブリック アクセスを無効にするには、次の手順に従います。
ポータルの上部にある検索ボックスに、「ストレージ アカウント」と入力します。 検索結果で [ストレージ アカウント] を選択します。
[storage1] または既存のストレージ アカウントの名前を選択します。
[セキュリティとネットワーク] で、[ネットワーク] を選択します。
[パブリック ネットワーク アクセス] の [ファイアウォールと仮想ネットワーク] タブで、[無効] を選択します。
[保存] を選択します。
プライベート エンドポイントの作成
ポータルの上部にある検索ボックスに、「プライベート エンドポイント」と入力します。 [プライベート エンドポイント] を選択します。
[プライベート エンドポイント] で [+作成] を選択します。
[プライベート エンドポイントの作成] の [基本] タブで、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します インスタンスの詳細 名前 「private-endpoint」と入力します。 ネットワーク インターフェイス名 既定値である private-endpoint-nic のままにします。 リージョン [米国東部 2] を選択します。 [Next:リソース] を選択します。
[リソース] ペインで、次の情報を入力または選択します。
設定 値 接続方法 既定の [ディレクトリ内の Azure リソースへの接続] のままにします。 サブスクリプション サブスクリプションを選択します。 リソースの種類 Microsoft.Storage/storageAccounts を選択します。 リソース [storage-1] またはストレージ アカウントを選択します。 ターゲット サブリソース [blob] を選択します。 [次へ: 仮想ネットワーク] を選択します。
[仮想ネットワーク] で、次の情報を入力または選択します。
設定 値 ネットワーク 仮想ネットワーク vnet-1 (test-rg) を選択します。 Subnet subnet-1 を選択します。 プライベート エンドポイントのネットワーク ポリシー [編集] を選択して、プライベート エンドポイントにネットワーク ポリシーを適用します。
[サブネット ネットワーク ポリシーの編集] で、[このサブネットのすべてのプライベート エンドポイントのネットワーク ポリシー設定] プルダウンの [ネットワーク セキュリティ グループ] と [ルート テーブル] の横にあるチェック ボックスを選択します。
[保存] を選びます。
詳細については、「プライベート エンドポイントのネットワーク ポリシーを管理する」を参照してください[次: DNS] を選びます。
[DNS] は既定値のままにします。 [次へ: タグ] 、 [次へ: 確認と作成] の順に選択します。
[作成] を選択します
テスト用の仮想マシンを作成する
次の手順では、仮想ネットワークに vm-1 という名前のテスト仮想マシン (VM) を作成します。
ポータルで、[仮想マシン] を検索して選択します。
[仮想マシン] で [+ 作成]、[Azure 仮想マシン] の順に選択します。
[仮想マシンの作成] の [基本] タブで、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 仮想マシン名 「vm-1」と入力します。 リージョン [米国東部 2] を選択します。 可用性のオプション [インフラストラクチャ冗長は必要ありません] を選択します。 セキュリティの種類 規定値である [標準] のままにします。 Image [Windows Server 2022 Datacenter - x64 Gen2] を選択します。 VMアーキテクチャ 既定値の [x64] のままにします。 サイズ サイズを選択します。 管理者アカウント 認証の種類 [パスワード] を選択します。 ユーザー名 「azureuser」と入力します。 Password パスワードを入力します。 パスワードの確認 パスワードを再入力します。 受信ポートの規則 パブリック受信ポート [なし] を選択します。 ページの上部にある [ネットワーク] タブを選択します。
[ネットワーク] タブで、次の情報を入力または選択します。
設定 値 ネットワーク インターフェイス 仮想ネットワーク [vnet-1] を選択します。 Subnet subnet-1 (10.0.0.0/24) を選択します。 パブリック IP [なし] を選択します。 NIC ネットワーク セキュリティ グループ [Advanced] \(詳細設定) を選択します。 ネットワーク セキュリティ グループを構成する [新規作成] を選択します。
名前として「nsg-1」を入力します。
残りの部分は既定値のままにし、[OK] を選択します。残りの設定は既定値のままにし、[確認と作成] を選択します。
設定を確認し、 [作成] を選択します。
Note
Bastion ホストがある仮想ネットワーク内の仮想マシンには、パブリック IP アドレスが必要ありません。 Bastion がパブリック IP を提供し、VM はプライベート IP を使用してネットワーク内で通信します。 bastion ホストがある仮想ネットワーク内のいずれの VM からも、パブリック IP を削除できます。 詳細については、「パブリック IP アドレスの関連付けを Azure VM から解除する」を参照してください。
Note
パブリック IP が割り当てられていない VM、または内部の Basic Azure Load Balancer のバックエンド プール内にある VM に対しては、Azure によって既定のアウトバウンド アクセス IP が提供されます。 デフォルト送信アクセス IP メカニズムは、構成できないアウトバウンド IP アドレスを提供します。
次のいずれかのイベントが発生すると、既定のアウトバウンド アクセス IP は無効になります。
- パブリック IP アドレスが VM に割り当てられます。
- アウトバウンド規則の有無にかかわらず、VM は標準ロード バランサーのバックエンド プール内に配置されます。
- Azure NAT Gateway リソースが VM のサブネットに割り当てられている。
フレキシブル オーケストレーション モードの仮想マシン スケール セットによって作成された VM には、既定のアウトバウンド アクセスがありません。
Azure のアウトバウンド接続の詳細については、「Azure での既定の送信アクセス」および「送信接続での送信元ネットワーク アドレス変換 (SNAT)を使用する」を参照してください。
スストレージ アクセス キー
ストレージ アクセス キーは、後の手順で必要になります。 前に作成したストレージ アカウントに移動し、ストレージ アカウントのアクセス キーを使用して接続文字列をコピーします。
ポータルの上部にある検索ボックスに、「ストレージ アカウント」と入力します。 検索結果で [ストレージ アカウント] を選択します。
前の手順で作成したストレージ アカウントまたは既存のストレージ アカウントを選択します。
ストレージ アカウントの [セキュリティとネットワーク] セクションで、[アクセス キー] を選択します。
[表示] を選択し、key1 の [接続文字列]で [コピー] を選択します。
BLOB コンテナーを追加する
ポータルの上部にある検索ボックスに、「ストレージ アカウント」と入力します。 検索結果で [ストレージ アカウント] を選択します。
前の手順で作成したストレージ アカウントを選択します。
[データ ストレージ] セクションで、[コンテナー] を選択します。
[+ コンテナー] を選択して、新しいコンテナーを作成します。
[名前] に「container」と入力し、[パブリック アクセス レベル] で [プライベート (匿名アクセスなし)] を選択します。
[作成] を選択します
プライベート エンドポイントへの接続のテスト
このセクションでは、前の手順で作成した仮想マシンを使用し、Microsoft Azure Storage Explorer を使ってプライベート エンドポイントを通じてストレージ アカウントに接続します。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
vm-1 を選択します。
[操作] で、[Bastion] を選択します。
仮想マシンの作成時に入力したユーザー名とパスワードを入力します。
[接続] を選択します。
接続後にサーバーで Windows PowerShell を開きます。
「
nslookup <storage-account-name>.blob.core.windows.net
」と入力します。 <storage-account-name> は、前の手順で作成したストレージ アカウントの名前で置き換えます。 次の例は、このコマンドの出力を示しています。Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: storage1.privatelink.blob.core.windows.net Address: 10.0.0.10 Aliases: mystorageaccount.blob.core.windows.net
ストレージ アカウント名に対応する 10.0.0.10 というプライベート IP アドレスが返されます。 このアドレスは、前に作成した vnet-1 仮想ネットワークの subnet-1 サブネットにあります。
仮想マシンに Microsoft Azure Storage Explorer をインストールします。
Microsoft Azure Storage Explorer のインストール後、 [完了] を選択します。 アプリケーションを開くため、チェック ボックスはオンのままにしてください。
電源プラグの記号を選択して、左側のツール バーの [リソースの選択] ダイアログ ボックスを開きます。
[リソースの選択] で、ストレージ アカウントまたはサービスを選択して、前の手順で作成したストレージ アカウントに Microsoft Azure Storage Explorer 接続を追加します。
[接続方法の選択] 画面で、[接続文字列] を選択し、[次へ] を選択します。
[接続文字列] の下のボックスに、前の手順でコピーしたストレージ アカウントの接続文字列を貼り付けます。 ストレージ アカウント名は、[表示名] の下のボックスに自動的に入力されます。
[次へ] を選択します。
[概要] で、設定が正しいことを確認します。
[接続] を選択します
エクスプローラー メニューの [ストレージ アカウント] からストレージ アカウントを選択します。
ストレージ アカウントを展開し、[BLOB コンテナー] を展開します。
前に作成したコンテナーが表示されます。
vm-1 への接続を閉じます。
作成したリソースを使用し終えたら、リソース グループとそのすべてのリソースを削除できます。
Azure portal で、「リソース グループ」を検索して選択します。
[リソース グループ] ページで、test-rg リソース グループを選択します。
[test-rg] ページで、[リソース グループの削除] を選択します。
[削除を確認するために、リソース グループの名前を入力してください] に「test-rg」と入力して、[削除] を選びます。
次のステップ
このチュートリアルでは、以下の作成の仕方を学習しました:
仮想ネットワークと bastion ホスト。
仮想マシン。
ストレージ アカウントとコンテナー。
Azure プライベート エンドポイントを使用して Azure Cosmos DB アカウントに接続する方法を説明します。