クイックスタート: Azure portal を使用してプライベート エンドポイントを作成する

プライベート エンドポイントを作成および使用して Azure Web アプリに安全に接続することにより、Azure Private Link の使用を開始します。

このクイックスタートでは、Azure App Services Web アプリのプライベート エンドポイントを作成した後、仮想マシン (VM) を作成してデブロイしプライベート接続をテストします。

Azure SQL や Azure Storage など、さまざまな Azure サービスに対してプライベート エンドポイントを作成できます。

Diagram of resources created in private endpoint quickstart.

前提条件

  • アクティブなサブスクリプションが含まれる Azure アカウント。 Azure アカウントをまだ持っていない場合は、無料でアカウントを作成します

  • Basic、Standard、PremiumV2、PremiumV3、IsolatedV2、Functions Premium (Elastic Premium プランとも呼ばれる) アプリ サービス プランを含む、Azure サブスクリプションにデプロイされる Azure アプリ Services Web アプリ。

Azure へのサインイン

Azure portal にサインインします。

仮想ネットワークと Azure Bastion ホストを作成する

次の手順では、リソース サブネット、Azure Bastion サブネット、Bastion ホストを含む仮想ネットワークを作成します。

  1. ポータルで、[仮想ネットワーク] を検索して選択します。

  2. [仮想ネットワーク] ページで、[+ 作成] を選択します。

  3. [仮想ネットワークの作成][基本] タブで、次の情報を入力するか選択します。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group [新規作成] を選択します。
    名前に「test-rg」と入力します。

    を選択します。
    インスタンスの詳細
    Name vnet-1」と入力します。
    リージョン [米国東部 2] を選択します。

    Screenshot of the Basics tab for creating a virtual network in the Azure portal.

  4. [次へ] を選択して、[セキュリティ] タブに進みます。

  5. [Azure Bastion] セクションで、[Bastion を有効にする] を選びます。

    Bastion では、ユーザーのブラウザーとプライベート IP アドレスを使って、Secure Shell (SSH) またはリモート デスクトップ プロトコル (RDP) 経由で仮想ネットワーク内の VM に接続します。 VM には、パブリック IP アドレス、クライアント ソフトウェア、または特別な構成は必要ありません。 詳細については、Azure Bastion に関するページを参照してください。

    Note

    時間単位の価格は、送信データの使用状況に関係なく、Bastion がデプロイされた時点から開始します。 詳しくは、「価格」および「SKU」を参照してください。 チュートリアルまたはテストの一環で Bastion をデプロイする場合は、使用終了後にこのリソースを削除することをお勧めします。

  6. [Azure Bastion] で、次の情報を入力するか選びます。

    設定
    Azure Bastion ホスト名 bastion」と入力します。
    Azure Bastion のパブリック IP アドレス [Create a public IP address] (パブリック IP アドレスを作成する) を選びます。
    [名前] に「public-ip-bastion」と入力します。

    を選択します。

    Screenshot of options for enabling an Azure Bastion host as part of creating a virtual network in the Azure portal.

  7. [次へ] を選択して、[IP アドレス] タブに進みます。

  8. [サブネット] のアドレス空間ボックスで、既定のサブネットを選択します。

  9. [サブネットの編集] で次の情報を入力または選択します。

    設定
    サブネットの詳細
    サブネット テンプレート 既定値の [既定値] のままにします。
    名前 subnet-1」と入力します。
    開始アドレス 既定値の 10.0.0.0 のままにします。
    サブネットのサイズ 既定値の [/24 (256 アドレス)] のままにします。

    Screenshot of configuration details for a subnet.

  10. [保存] を選択します。

  11. ウィンドウの下部にある [確認および作成] を選びます。 検証に合格した場合は、[作成] を選択します。

プライベート エンドポイントの作成

次に、前提条件セクションで作成した Web アプリ用のプライベート エンドポイントを作成します。

重要

この記事の手順を続行するには、以前にデプロイした Azure App Services Web アプリが必要です。 詳細については、「前提条件」を参照してください。

  1. ポータルの上部にある検索ボックスに、「プライベート エンドポイント」と入力します。 [プライベート エンドポイント] を選択します。

  2. [プライベート エンドポイント][+作成] を選択します。

  3. [プライベート エンドポイントの作成][基本] タブで、次の情報を入力または選択します。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group test-rg を選択します
    インスタンスの詳細
    名前 private-endpoint」と入力します。
    ネットワーク インターフェイス名 既定値である private-endpoint-nic のままにします。
    リージョン [米国東部 2] を選択します。
  4. [Next:リソース] を選択します。

  5. [リソース] ペインで、次の情報を入力または選択します。

    設定
    接続方法 既定の [ディレクトリ内の Azure リソースへの接続] のままにします。
    サブスクリプション サブスクリプションを選択します。
    リソースの種類 [Microsoft.Web/sites] を選択します。
    リソース webapp-1 を選択します。
    ターゲット サブリソース [サイト] を選択します。
  6. [次へ: 仮想ネットワーク] を選択します。

  7. [仮想ネットワーク] で、次の情報を入力または選択します。

    設定
    ネットワーク
    仮想ネットワーク vnet-1 (test-rg) を選択します。
    Subnet subnet-1 を選択します。
    プライベート エンドポイントのネットワーク ポリシー [編集] を選択して、プライベート エンドポイントにネットワーク ポリシーを適用します。
    [サブネット ネットワーク ポリシーの編集] で、[このサブネットのすべてのプライベート エンドポイントのネットワーク ポリシー設定] プルダウンの [ネットワーク セキュリティ グループ][ルート テーブル] の横にあるチェック ボックスを選択します。
    [保存] を選びます。

    詳細については、「プライベート エンドポイントのネットワーク ポリシーを管理する」を参照してください
    設定
    プライベート IP 構成 [IP アドレスを動的に割り当てる] を選択します。

    Screenshot of dynamic IP address selection.

  8. [次: DNS] を選びます。

  9. [DNS] は既定値のままにします。 [次へ: タグ][次へ: 確認と作成] の順に選択します。

  10. [作成] を選択します

テスト用の仮想マシンを作成する

次の手順では、仮想ネットワークに vm-1 という名前のテスト仮想マシン (VM) を作成します。

  1. ポータルで、[仮想マシン] を検索して選択します。

  2. [仮想マシン][+ 作成][Azure 仮想マシン] の順に選択します。

  3. [仮想マシンの作成][基本] タブで、次の情報を入力または選択します。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group test-rg を選択します。
    インスタンスの詳細
    仮想マシン名 vm-1」と入力します。
    リージョン [米国東部 2] を選択します。
    可用性のオプション [インフラストラクチャ冗長は必要ありません] を選択します。
    セキュリティの種類 規定値である [標準] のままにします。
    Image [Windows Server 2022 Datacenter - x64 Gen2] を選択します。
    VMアーキテクチャ 既定値の [x64] のままにします。
    サイズ サイズを選択します。
    管理者アカウント
    認証の種類 [パスワード] を選択します。
    ユーザー名 azureuser」と入力します。
    Password パスワードを入力します。
    パスワードの確認 パスワードを再入力します。
    受信ポートの規則
    パブリック受信ポート [なし] を選択します。
  4. ページの上部にある [ネットワーク] タブを選択します。

  5. [ネットワーク] タブで、次の情報を入力または選択します。

    設定
    ネットワーク インターフェイス
    仮想ネットワーク [vnet-1] を選択します。
    Subnet subnet-1 (10.0.0.0/24) を選択します。
    パブリック IP [なし] を選択します。
    NIC ネットワーク セキュリティ グループ [Advanced] \(詳細設定) を選択します。
    ネットワーク セキュリティ グループを構成する [新規作成] を選択します。
    名前として「nsg-1」を入力します。
    残りの部分は既定値のままにし、[OK] を選択します。
  6. 残りの設定は既定値のままにし、[確認と作成] を選択します。

  7. 設定を確認し、 [作成] を選択します。

Note

Bastion ホストがある仮想ネットワーク内の仮想マシンには、パブリック IP アドレスが必要ありません。 Bastion がパブリック IP を提供し、VM はプライベート IP を使用してネットワーク内で通信します。 bastion ホストがある仮想ネットワーク内のいずれの VM からも、パブリック IP を削除できます。 詳細については、「パブリック IP アドレスの関連付けを Azure VM から解除する」を参照してください。

Note

パブリック IP アドレスが割り当てられていないか、内部の Basic Azure Load Balancer のバックエンド プールにある VM に対しては、Azure によって既定のアウトバウンド アクセス IP が提供されます。 デフォルト送信アクセス IP メカニズムは、構成できないアウトバウンド IP アドレスを提供します。

次のいずれかのイベントが発生すると、既定のアウトバウンド アクセス IP は無効になります。

  • パブリック IP アドレスが VM に割り当てられます。
  • VM は、標準ロード バランサーのバックエンド プール内に配置されます。アウトバウンド規則はある場合もない場合もあります。
  • Azure Virtual Network NAT ゲートウェイ リソースが VM のサブネットに割り当てられます。

フレキシブル オーケストレーション モードの仮想マシン スケール セットによって作成された VM には、既定のアウトバウンド アクセスがありません。

Azure のアウトバウンド接続の詳細については、「Azure での既定の送信アクセス」および「送信接続での送信元ネットワーク アドレス変換 (SNAT)を使用する」を参照してください。

プライベート エンドポイントへの接続のテスト

前に作成した仮想マシンを使用して、プライベート エンドポイント経由で Web アプリに接続します。

  1. ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 [仮想マシン] を選択します。

  2. vm-1 を選択します。

  3. vm-1 の概要ページで、[接続] を選択した後に、[Bastion] タブを選択します。

  4. [Bastion を使用する] を選択します。

  5. VM の作成時に使用したユーザー名とパスワードを入力します。

  6. [接続] を選択します。

  7. 接続した後、サーバーで PowerShell を開きます。

  8. nslookup webapp-1.azurewebsites.net」と入力します。 次の例のようなメッセージが表示されます。

    Server:  UnKnown
    Address:  168.63.129.16
    
    Non-authoritative answer:
    Name:    webapp-1.privatelink.azurewebsites.net
    Address:  10.0.0.10
    Aliases:  webapp-1.azurewebsites.net
    

    前の手順で静的 IP アドレスを選択した場合、Web アプリ名として 10.0.0.10 というプライベート IP アドレスが返されます。 このアドレスは、先ほど作成した仮想ネットワークのサブネット内に存在します。

  9. vm-1 への bastion 接続で、Web ブラウザーを開きます。

  10. Web アプリ https://webapp-1.azurewebsites.net の URL を入力します。

    Web アプリがデプロイされていない場合は、次の既定の Web アプリ ページが表示されます。

    Screenshot of the default web app page on a browser.

  11. vm-1 への接続を閉じます。

リソースをクリーンアップする

作成したリソースの使用を終えたら、リソース グループとそのすべてのリソースを削除できます。

  1. Azure portal で、「リソース グループ」を検索して選択します。

  2. [リソース グループ] ページで、test-rg リソース グループを選択します。

  3. [test-rg] ページで、[リソース グループの削除] を選択します。

  4. [削除を確認するために、リソース グループの名前を入力してください] に「test-rg」と入力して、[削除] を選びます。

次のステップ

このクイックスタートでは、次のものを作成しました。

  • 仮想ネットワークと bastion ホスト

  • 仮想マシン

  • Azure Web アプリのプライベート エンドポイント

VM を使用して、Web アプリへの接続をプライベート エンドポイント経由でテストしました。

プライベート エンドポイントをサポートするサービスの詳細については、以下を参照してください。