Azure Elastic SAN のプライベートエンドポイントを構成する

プライベートエンドポイントを使用すると、仮想ネットワーク内のプライベート IP アドレス経由で Elastic SAN ボリュームグループに接続できます。プライベートエンドポイントを使用する場合、仮想ネットワークと Elastic SAN の間のトラフィックは、パブリックインターネットを通過することなく、Azure のプライベートバックボーンに完全に残ります。プライベートエンドポイントを構成して承認すると、そのエンドポイントが存在するサブネットへのアクセスが自動的に付与されます。この構成は、強力なネットワーク分離を提供し、運用環境またはセキュリティに依存するワークロードに最適です。

この記事では、プライベートエンドポイントを使用するように Elastic SAN ボリュームグループを構成する方法について説明します。

[前提条件]

Elastic SAN をデプロイします。
Elastic SAN のネットワーク構成について学習し、プライベートエンドポイントまたはサービスエンドポイントが環境に適しているかどうかを理解してください。
Azure PowerShell を使用する前に、最新の Azure PowerShell モジュールをインストールします。
Azure CLI を使用している場合は、最新バージョンをインストールしてください。
最新バージョンをインストールしたら、az extension add -n elastic-san を実行して Elastic SAN の拡張機能をインストールします。

プライベートエンドポイントを構成する

プライベートエンドポイント接続の構成には、次の 2 つのステップが含まれています。

エンドポイントと関連付けられている接続の作成。
接続の承認。

Elastic SAN ボリュームグループのプライベートエンドポイントを作成するには、Elastic SAN ボリュームグループ所有者ロールが必要です。新しいプライベートエンドポイント接続を承認するには、Azure リソースプロバイダー操作Microsoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/action に対するアクセス許可が必要です。この操作のアクセス許可は Elastic SAN ネットワーク管理者ロールに含まれていますが、カスタム Azure ロールを介して付与することもできます。

作成と承認に必要なすべてのロールとアクセス許可を持つユーザーアカウントからエンドポイントを作成する場合は、1 つの手順でこれを行うことができます。それ以外の場合は、2 人の異なるユーザーによる 2 つの個別の手順が必要になります。

プライベートリンクを設定する場合、Elastic SAN と仮想ネットワークは、異なる Microsoft Entra テナントに属するサブスクリプションを含め、さまざまなリソースグループ、リージョン、サブスクリプションに存在する可能性があります。これらの例では、仮想ネットワークと同じリソースグループにプライベートエンドポイントを作成しています。

ボリュームグループを作成するとき、または既存のボリュームグループを変更するときに、Azure portal でボリュームグループへのプライベートエンドポイント接続を作成できます。プライベートエンドポイントを作成するには、既存の仮想ネットワークが必要です。

ボリュームグループを作成または変更する場合は、[ネットワーク] を選択した後、[プライベートエンドポイント接続] で [+ プライベートエンドポイントの作成] を選択します。

ポップアップ表示されるメニュー内の値を入力し、アプリケーションが接続に使用する仮想ネットワークとサブネットを選択します。完了したら、[追加] と [保存] を選択します。

次のスクリプトでは、Elastic SAN ボリュームグループのプライベートエンドポイントを作成します。 RgName、VnetName、SubnetName、EsanName、EsanVgName、PLSvcConnectionName、EndpointName、および Location(Region) の値を独自の値に置き換え、2 つの手順に従っている場合は-ByManualRequestコメントを解除してから、スクリプトを実行します。

その後、必要なすべてのアクセス許可がなく、ネットワーク管理者が接続を承認する必要がある場合は、[ 接続の承認] でもスクリプトを実行してください。

# Set the resource group name.
$RgName     = "<ResourceGroupName>"

# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}

# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName   = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"

$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName

# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName

# Create the private endpoint.
$EndpointName       = '<PrivateEndpointName>'
$Location           = '<Location>'
$PeArguments        = @{
    Name                         = $EndpointName
    ResourceGroupName            = $RgName
    Location                     = $Location
    Subnet                       = $Subnet
    PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).

接続を承認する

2 ステッププロセスを使っている場合、プライベートリンクサービス接続を承認するには、次のサンプルコードを使います。次のように前のコードサンプルと同じ変数を使用します。

# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments  = @{
    ServiceName                  = $EsanName
    ResourceGroupName            = $RgName
    PrivateLinkResourceType      = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}

# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc

# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState

次のスクリプトでは、Elastic SAN ボリュームグループのプライベートエンドポイントを作成します。 2 ステップのプロセスを使っている場合は、--manual-request パラメーターのコメントを解除します。すべての変数の例の値を独自の値に置き換えてから、スクリプトを実行します。

# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"

# Get the id of the Elastic SAN.
id=$(az elastic-san show \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --query 'id' \
    --output tsv)

# Create the private endpoint.
az network private-endpoint create \
    --connection-name $PLSvcConnectionName \
    --name $EndpointName \
    --private-connection-resource-id $id \
    --resource-group $RgName \
    --vnet-name $VnetName \
    --subnet $SubnetName \
    --location $Location \
    --group-id $EsanVgName # --manual-request

# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
    --name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)

az network private-endpoint-connection show  \
    --resource-name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --name $PLConnectionName

接続を承認する

az network private-endpoint-connection approve \
    --resource-name $EsanName \
    --resource-group $RgName \
    --name $PLConnectionName \
    --type Microsoft.ElasticSan/elasticSans \
    --description $ApprovalDesc

注

Elastic SAN とプライベートエンドポイントが異なるサブスクリプションにある場合は、プライベートエンドポイントを含むサブスクリプションに Microsoft.ElasticSan リソースプロバイダーを登録します。この記事の手順に従って、プライベートエンドポイントを承認および登録します。

省略可能 - ネットワークポリシー

仮想ネットワーク規則は、プライベートエンドポイントには適用されません。そのため、アクセス規則を調整し、プライベートエンドポイント経由でトラフィックを制御する必要がある場合は、ネットワークポリシーを使用します。既定では、仮想ネットワーク内のサブネットに対してネットワークポリシーは無効になっています。ユーザー定義ルートやネットワークセキュリティグループのサポートなどのネットワークポリシーを使用するには、サブネットのネットワークポリシーのサポートを有効にします。この設定は、サブネット内のプライベートエンドポイントにのみ適用され、サブネット内のすべてのプライベートエンドポイントに影響します。サブネット内の他のリソースについては、ネットワークセキュリティグループのセキュリティ規則に基づいてアクセスが制御されます。詳細については、「ネットワークポリシー」を参照してください。

クライアント接続を構成する

目的のエンドポイントを有効にしたら、適切な Elastic SAN ボリュームに接続するようにクライアントを構成する準備が整います。

仮想マシン (VM) と Elastic SAN ボリュームの間の接続が失われた場合、接続は終了するまで 90 秒間再試行されます。 Elastic SAN ボリュームへの接続が失われると、VM は再起動されません。

次のステップ

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-06-21

次の方法で共有

Azure Elastic SAN のプライベート エンドポイントを構成する