Share via

Azure CLI で Private Link を使用して Azure Front Door Premium をストレージ アカウントの配信元に接続する

  • [アーティクル]

この記事では、Azure CLI で Azure Private Link サービスを使用してストレージ アカウントにプライベートに接続するように Azure Front Door Premium レベルを構成する方法について説明します。

前提条件

  • Azure Cloud Shell で Bash 環境を使用します。 詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。

  • CLI リファレンス コマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。 詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。

    • ローカル インストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。 認証プロセスを完了するには、ターミナルに表示される手順に従います。 その他のサインイン オプションについては、Azure CLI でのサインインに関するページを参照してください。

    • 初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。 拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。

    • az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。 最新バージョンにアップグレードするには、az upgrade を実行します。

  • アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます
  • 機能している Azure Front Door Premium プロファイル、エンドポイント、origin グループがある。 Azure Front Door プロファイルを作成する方法の詳細については、Front Door の作成 - CLIに関する記事を参照してください。
  • 機能していて、プライベートでもあるストレージ アカウントを持っている。 同じ方法については、このドキュメントを参照してください。

Note

プライベート エンドポイントでは、ストレージ アカウントが特定の要件を満たす必要があります。 詳細については、Azure Storage でのプライベート エンドポイントの使用に関する記事を参照してください。

az afd origin create を実行して、新しい Azure Front Door の origin を作成します。 次の設定を入力して、Azure Front Door Premium でプライベートに接続するストレージ アカウントを構成します。 private-link-location は、使用可能なリージョンのいずれかにあり、private-link-sub-resource-typeBLOB である必要があることに注意してください。

az afd origin create --enabled-state Enabled \
                     --resource-group myRGFD \
                     --origin-group-name og1 \
                     --origin-name mystorageorigin \
                     --profile-name contosoAFD \
                     --host-name mystorage.blob.core.windows.net \
                     --origin-host-header mystorage.blob.core.windows.net \
                     --http-port 80 \
                     --https-port 443 \
                     --priority 1 \
                     --weight 500 \
                     --enable-private-link true \
                     --private-link-location EastUS \
                     --private-link-request-message 'AFD storage origin Private Link request.' \
                     --private-link-resource /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage \
                     --private-link-sub-resource-type blob

Azure Storage からの Azure Front Door Premium プライベート エンドポイント接続を承認する

  1. az network private-endpoint-connection list を実行して、ストレージ アカウントのプライベート エンドポイント接続を一覧表示します。 出力の最初の行にあるプライベート エンドポイント接続の Resource ID をメモしておきます。

    az network private-endpoint-connection list --name mystorage --resource-group myRGFD --type Microsoft.Storage/storageAccounts

  2. プライベート エンドポイント接続を承認するには、az network private-endpoint-connection approve を実行します。

    az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.00000000-0000-0000-0000-000000000000

  3. 承認後、接続が完全に確立されるまで数分かかります。 これで、Azure Front Door Premium からストレージ アカウントにアクセスできるようになりました。 プライベート エンドポイントが有効になると、パブリック インターネットからストレージ アカウントへの直接アクセスが無効になります。

次のステップ

ストレージ アカウントでの Private Link サービスについて学習します。