Azure App Configuration でのプライベート エンドポイントの使用

Azure App Configuration のプライベート エンドポイントを使用すると、仮想ネットワーク (VNet) 上のクライアントはプライベート リンクを介してデータに安全にアクセスできるようになります。 プライベート エンドポイントでは、App Configuration ストアの VNet アドレス空間からの IP アドレスが使用されます。 VNet 上のクライアントと App Configuration ストアの間のネットワーク トラフィックは、Microsoft バックボーン ネットワーク上のプライベート リンクを使用して VNet を経由することで、パブリック インターネットへの露出を排除します。

App Configuration にプライベート エンドポイントを使用すると、次のことが可能になります。

  • パブリック エンドポイント上での App Configuration へのすべての接続をブロックするようにファイアウォールを構成して、アプリケーション構成の詳細をセキュリティで保護します。
  • 仮想ネットワーク (VNet) のセキュリティを強化し、データが VNet から抜け出さないようにします。
  • VPN または ExpressRoutes とプライベート ピアリングを使用して VNet に接続するオンプレミス ネットワークから App Configuration ストアに安全に接続します。

概念の概要

プライベート エンドポイントは、仮想ネットワーク (VNet) 内の Azure サービス用の特別なネットワーク インターフェイスです。 App Configuration ストアのプライベート エンドポイントを作成すると、VNet 上のクライアントと構成ストア間の安全な接続が提供されます。 プライベート エンドポイントには、VNet の IP アドレス範囲から IP アドレスが割り当てられます。 プライベート エンドポイントと構成ストア間の接続には、セキュリティで保護されたプライベート リンクが使用されます。

VNet 内のアプリケーションは、プライベート エンドポイント経由で構成ストアに接続できます。その際、使用される接続文字列と承認メカニズムは、それを経由しない場合と同じものになります。 プライベート エンドポイントは、App Configuration ストアでサポートされているすべてのプロトコルで使用できます。

App Configuration ではサービス エンドポイントはサポートされませんが、サービス エンドポイントを使用するサブネットにプライベート エンドポイントを作成できます。 サブネット内のクライアントは、プライベート エンドポイントを使用して 1 つの App Configuration ストアに安全に接続でき、サービス エンドポイントを使用してその他にアクセスできます。

お使いの VNet でサービス用プライベート エンドポイントを作成すると、承認を得るために同意要求がサービス アカウント オーナーに送信されます。 プライベート エンドポイントの作成を要求しているユーザーがアカウントのオーナーでもある場合、この同意要求は自動的に承認されます。

サービス アカウント オーナーは、Azure portal で App Configuration ストアの [Private Endpoints] タブを使用して、同意要求とプライベート エンドポイントを管理できます。

App Configuration でのプライベート エンドポイント

プライベート エンドポイントを作成する場合は、接続先の App Configuration ストアを指定する必要があります。 App Configuration ストアの geo レプリケーションを有効にすると、同じプライベート エンドポイントを使用してストアのすべてのレプリカに接続できます。 複数の App Configuration ストアがある場合は、ストアごとに個別のプライベート エンドポイントが必要です。

プライベート エンドポイントへの接続

Azure は、VNet から構成ストアへの接続をプライベート リンク経由でルーティングするために、DNS 解決に依存しています。 App Configuration ストアを選択し、[設定]>[アクセス キー] を選択すると、Azure portal 内で接続文字列をすばやく見つけることができます。

重要

パブリック エンドポイントに使用するのと同じ接続文字列を使用して、プライベート エンドポイントを使用して App Configuration ストアに接続します。 privatelink サブドメイン URL を使用してストアに接続しないでください。

Note

既定では、プライベート エンドポイントが App Configuration ストアに追加されると、公衆ネットワーク経由での App Configuration データに対するすべての要求が拒否されます。 次の Azure CLI コマンドを使用して、公衆ネットワーク アクセスを有効にすることができます。 このシナリオでは、パブリック ネットワーク アクセスを有効にすることによるセキュリティへの影響を考慮する必要があります。

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

プライベート エンドポイントの DNS の変更

プライベート エンドポイントを作成すると、構成ストアの DNS CNAME リソース レコードは、プレフィックス privatelink を持つサブドメイン内のエイリアスに更新されます。 privatelink サブドメインに対応するプライベート DNS ゾーンも作成されます。これには、プライベート エンドポイントの DNS A リソース レコードが含まれます。 geo レプリケーションを有効にすると、プライベート DNS ゾーンに、一意の IP アドレスでレプリカごとに個別の DNS レコードが作成されます。

プライベート エンドポイントをホストしている VNet 内からエンドポイント URL を解決すると、ストアのプライベート エンドポイントに解決されます。 VNet の外部から解決すると、エンドポイント URL はパブリック エンドポイントに解決されます。 プライベート エンドポイントを作成すると、パブリック エンドポイントは無効になります。

ネットワーク上でカスタム DNS サーバーを使用している場合は、privatelink サブドメインを VNet のプライベート DNS ゾーンに委任するようにそれを構成する必要があります。 または、プライベート エンドポイントの一意のプライベート IP アドレスを使用して、ストアのプライベート リンクの URL (geo レプリケーションが有効の場合は [Your-store-name].privatelink.azconfig.io または [Your-store-name]-[replica-name].privatelink.azconfig.io) に対して A レコードを構成することもできます。

価格

プライベート エンドポイントを有効にするには、Standard レベルの App Configuration ストアが必要です。 プライベート リンクの料金の詳細については、「Azure Private Link の料金」をご覧ください。

次のステップ

App Configuration ストアのプライベート エンドポイントの作成の詳細については、次の記事を参照してください。

プライベート エンドポイントを使用して DNS サーバーを構成する方法を学習します。