Azure CLI で Private Link を使用して Azure Front Door Premium をストレージ アカウントの配信元に接続する
この記事では、Azure CLI で Azure Private Link サービスを使用してストレージ アカウントにプライベートに接続するように Azure Front Door Premium レベルを構成する方法について説明します。
前提条件
Azure Cloud Shell で Bash 環境を使用します。 詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。
CLI リファレンス コマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。 詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。
ローカル インストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。 認証プロセスを完了するには、ターミナルに表示される手順に従います。 その他のサインイン オプションについては、Azure CLI でのサインインに関するページを参照してください。
初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。 拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。
az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。 最新バージョンにアップグレードするには、az upgrade を実行します。
- アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
- 機能している Azure Front Door Premium プロファイル、エンドポイント、origin グループがある。 Azure Front Door プロファイルを作成する方法の詳細については、Front Door の作成 - CLIに関する記事を参照してください。
- 機能していて、プライベートでもあるストレージ アカウントを持っている。 同じ方法については、このドキュメントを参照してください。
Note
プライベート エンドポイントでは、ストレージ アカウントが特定の要件を満たす必要があります。 詳細については、Azure Storage でのプライベート エンドポイントの使用に関する記事を参照してください。
Azure Front Door Premium でストレージ アカウントへの Private Link を有効にする
az afd origin create を実行して、新しい Azure Front Door の origin を作成します。 次の設定を入力して、Azure Front Door Premium でプライベートに接続するストレージ アカウントを構成します。 private-link-location
は、使用可能なリージョンのいずれかにあり、private-link-sub-resource-type
は BLOB である必要があることに注意してください。
az afd origin create --enabled-state Enabled \
--resource-group myRGFD \
--origin-group-name og1 \
--origin-name mystorageorigin \
--profile-name contosoAFD \
--host-name mystorage.blob.core.windows.net \
--origin-host-header mystorage.blob.core.windows.net \
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-location EastUS \
--private-link-request-message 'AFD storage origin Private Link request.' \
--private-link-resource /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage \
--private-link-sub-resource-type blob
Azure Storage からの Azure Front Door Premium プライベート エンドポイント接続を承認する
az network private-endpoint-connection list を実行して、ストレージ アカウントのプライベート エンドポイント接続を一覧表示します。 出力の最初の行にあるプライベート エンドポイント接続の
Resource ID
をメモしておきます。az network private-endpoint-connection list --name mystorage --resource-group myRGFD --type Microsoft.Storage/storageAccounts
プライベート エンドポイント接続を承認するには、az network private-endpoint-connection approve を実行します。
az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.00000000-0000-0000-0000-000000000000
承認後、接続が完全に確立されるまで数分かかります。 これで、Azure Front Door Premium からストレージ アカウントにアクセスできるようになりました。 プライベート エンドポイントが有効になると、パブリック インターネットからストレージ アカウントへの直接アクセスが無効になります。
次のステップ
ストレージ アカウントでの Private Link サービスについて学習します。