MQTT を有効にして Azure Event Grid 名前空間のプライベート エンドポイントを構成する
プライベート エンドポイントを使用すると、パブリック インターネットを経由せずに、プライベート リンク経由で安全に仮想ネットワークから Event Grid 名前空間内のエンティティに直接イベントのイングレスを許可できます。 プライベート エンドポイントは、名前空間の仮想ネットワーク アドレス空間からの IP アドレスを使用します。 プライベート ネットワーク上の MQTT クライアントがプライベート リンク上の MQTT ブローカーに接続すると、クライアントは MQTT メッセージを発行してサブスクライブできます。 概念の詳細については、ネットワーク セキュリティに関する記事をご覧ください。
この記事では、Event Grid 名前空間のプライベート ネットワーク アクセスを有効にする方法について説明します。 名前空間を作成するための手順全体については、「名前空間を作成して管理する」を参照してください。
プライベート エンドポイントの作成
Azure portal にサインインします。
検索ボックスに「Event Grid 名前空間」と入力し、結果から [Event Grid 名前空間] を選択します。
リストで Event Grid 名前空間を選択して、名前空間の [Event Grid 名前空間] ページを開きます。
[Event Grid 名前空間] ページで、左側のメニューの [ネットワーク] を選択します。
名前空間へのアクセスをプライベート エンドポイント経由に限定する場合は、[パブリック ネットワーク アクセス] タブで [プライベート エンドポイントのみ] を選択します。
Note
名前空間でパブリック ネットワーク アクセスを無効にすると、MQTT ルーティングが失敗します。
ツールバーの [保存] を選択します。
次に、[プライベート エンドポイント接続] タブに切り替えます。
[プライベート エンドポイント接続] タブで、[+ プライベート エンドポイント] を選択します。
[基本] ページで、次の手順を行います。
プライベート エンドポイントを作成する Azure サブスクリプションを選択します。
プライベート エンドポイント用の Azure リソース グループを選択します。
エンドポイントの名前を入力します。
必要に応じて、ネットワーク インターフェイスの名前を更新します。
エンドポイントのリージョンを選択します。 プライベート エンドポイントは仮想ネットワークと同じリージョンに存在する必要がありますが、プライベート リンク リソース (この例では Event Grid 名前空間) とは異なるリージョンに存在することもできます。
次に、ページの下部にある [次へ: リソース]> ボタンを選択します。
[リソース] ページで、次の手順を実行します。
Azure サブスクリプション、リソース タイプ、およびリソース (つまり、Event Grid 名前空間) が正しいことを確認します
[ターゲット サブリソース] を選択します。 (例:
topicspace)。 名前空間で MQTT が有効になっている場合のみ、topicspaceが表示されます。ページの下部にある [次: 仮想ネットワーク >] ボタンを選びます。
[仮想ネットワーク] ページで、プライベート エンドポイントのデプロイ先である仮想ネットワーク内のサブネットを選びます。
[仮想ネットワーク] を選択します。 ドロップダウン リストには、現在選択されているサブスクリプションおよび場所内の仮想ネットワークのみが一覧表示されます。
選択した仮想ネットワーク内のサブネットを選択します。
[IP アドレス] を静的に割り当てるか動的に割り当てるかを指定します。
既存の [アプリケーション セキュリティ グループ] を選択するか、作成してプライベート エンドポイントに関連付けます。
ページの下部にある [次へ: DNS>] ボタンを選択します。
[DNS] ページで、プライベート エンドポイントを [プライベート DNS ゾーン] に統合するかどうかを選択し、ページの下部にある [次へ: タグ] を選択します。
[タグ] ページでは、プライベート エンドポイント リソースに関連付ける任意のタグ (名前と値) を作成します。 次に、ページの下部にある [確認と作成] ボタンを選択します。
[確認と作成] では、すべての設定を確認し、 [作成] を選択してプライベート エンドポイントを作成します。
プライベート リンク接続を管理する
プライベート エンドポイントを作成する際は、接続を承認する必要があります。 プライベート エンドポイントの作成対象のリソースが自分のディレクトリ内にある場合、十分なアクセス許可があれば、接続要求を承認することができます。 別のディレクトリ内の Azure リソースに接続している場合は、そのリソースの所有者が接続要求を承認するまで待機する必要があります。
プロビジョニングの状態には次の 4 つがあります。
| サービス アクション | サービス コンシューマーのプライベート エンドポイントの状態 | 説明 |
|---|---|---|
| なし | 保留中 | 接続が手動で作成されており、プライベート リンク リソースの所有者からの承認を待っています。 |
| 承認 | Approved | 接続が自動または手動で承認され、使用する準備が整っています。 |
| Reject | 拒否 | プライベート リンク リソースの所有者によって接続が拒否されました。 |
| [削除] | [Disconnected](切断済み) | プライベート リンク リソースの所有者によって接続が削除されました。 プライベート エンドポイントは情報が多くなり、クリーンアップのために削除する必要があります。 |
次のセクションでは、プライベート エンドポイント接続を承認または拒否する方法について説明します。
- Azure portal にサインインします。
- 検索バーに「Event Grid 名前空間」と入力し、それを選択して名前空間のリストを表示します。
- 管理する名前空間を選択します。
- [ネットワーク] タブを選択します。
- 保留中の接続がある場合は、プロビジョニング状態に [保留] と表示されている接続が一覧表示されます。
プライベート エンドポイントの承認
保留状態のプライベート エンドポイントを承認できます。 承認するには、次の手順に従います。
- 承認するプライベート エンドポイントを選択し、ツールバーの [承認] を選択します。
- [接続の承認] ダイアログ ボックスで、コメントを入力し (省略可能)、 [はい] を選択します。
- エンドポイントの状態が [承認済み] と表示されていることを確認します。
プライベート エンドポイントの拒否
保留状態または承認済み状態のプライベート エンドポイントを拒否できます。 拒否するには、次の手順に従います。
拒否するプライベート エンドポイントを選択し、ツールバーの [拒否] を選択します。
[接続の拒否] ダイアログ ボックスで、コメントを入力し (省略可能)、 [はい] を選択します。
エンドポイントの状態が [拒否] と表示されていることを確認します。
Note
拒否された後は、Azure portal でプライベート エンドポイントを承認できません。
プライベート エンドポイントを削除する
プライベート エンドポイントを削除するには、次の手順を実行します。
削除するプライベート エンドポイントを選択して、ツール バーの [削除] を選択します。
[接続を削除] ダイアログ ボックスで、[はい] 選択してプライベート エンドポイントを削除します。
次のステップ
IP ファイアウォール設定を構成する方法については、「Azure Event Grid 名前空間の IP ファイアウォールを構成する」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示