チュートリアル:Azure プライベート エンドポイントを使用してストレージ アカウントに接続する

Azure プライベート エンドポイントは、Azure における Private Link の基本的な構成要素です。 これにより、仮想マシン (VM) などの Azure リソースは、Azure Storage などの Private Link リソースと非公開にかつ安全に通信できます。

このチュートリアルでは、以下の内容を学習します。

  • 仮想ネットワークと bastion ホストを作成します。
  • 仮想マシンを作成します。
  • プライベート エンドポイントを備えたストレージ アカウントの作成
  • ストレージ アカウントのプライベート エンドポイントに対する接続をテストします。

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

前提条件

  • Azure サブスクリプション

Azure へのサインイン

Azure portal にサインインします。

仮想ネットワークと bastion ホストの作成

このセクションでは、仮想ネットワーク、サブネット、bastion ホストを作成します。

bastion ホストは、プライベート エンドポイントをテストする目的で、仮想マシンに安全に接続するために使用されます。

  1. 画面の左上で、[リソースの作成] [ネットワーク] > [仮想ネットワーク] の順に選択するか、検索ボックスで>を検索します。

  2. [仮想ネットワークの作成][基本] タブで次の情報を入力または選択します。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択します。
    リソース グループ [新規作成] を選択します。
    [名前] に「myResourceGroup」と入力します。
    [OK] を選択します。
    インスタンスの詳細
    名前 myVNet」と入力します。
    リージョン [米国東部] を選択します。
  3. [IP アドレス] タブを選択するか、ページの下部にある [Next: IP Addresses](次へ: IP アドレス) ボタンを選択します。

  4. [IP アドレス] タブで、次の情報を入力します。

    設定
    IPv4 アドレス空間 10.1.0.0/16」を入力します。
  5. [サブネット名] で、 [default](既定) という単語を選択します。

  6. [サブネットの編集] に次の情報を入力します。

    設定
    サブネット名 mySubnet」と入力します。
    サブネットのアドレス範囲 10.1.0.0/24」と入力します。
  7. [保存] を選択します。

  8. [セキュリティ] タブをクリックします。

  9. [BastionHost][有効にする] を選択します。 この情報を入力します。

    設定
    要塞名 myBastionHost」と入力します
    AzureBastionSubnet のアドレス空間 10.1.1.0/24」と入力します。
    パブリック IP アドレス [新規作成] を選択します。
    [名前] に「myBastionIP」と入力します。

    を選択します。
  10. [確認と作成] タブを選択するか、 [確認と作成] ボタンを選択します。

  11. [作成] を選択します

仮想マシンの作成

このセクションでは、プライベート エンドポイントのテストに使用する仮想マシンを作成します。

  1. ポータルの左上で、 [リソースの作成]>[Compute]>[仮想マシン] の順に選択するか、検索ボックスで「仮想マシン」を検索します。

  2. [仮想マシンの作成][Basic] タブに、値を入力するか選択します。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択します。
    リソース グループ [myResourceGroup] を選択します。
    インスタンスの詳細
    仮想マシン名 myVM」と入力します。
    リージョン [(米国) 米国東部] を選択します。
    可用性オプション [インフラストラクチャ冗長は必要ありません] を選択します。
    セキュリティの種類 [Standard] を選択します。
    Image [Windows Server 2019 Datacenter - Gen2] を選択します。
    Azure Spot インスタンス このため、 [いいえ] を選択します。
    サイズ VM サイズを選択するか、既定の設定を使用します。
    管理者アカウント
    ユーザー名 ユーザー名を入力します。
    Password パスワードを入力します。
    パスワードの確認 パスワードを再入力します。
  3. [ネットワーク] タブまたは [次へ: ディスク] を選択してから [次へ: ネットワーク] を選択します。

  4. [ネットワーク] タブで、次を選択または入力します。

    設定
    ネットワーク インターフェイス
    仮想ネットワーク myVNet -
    Subnet mySubnet
    パブリック IP [なし] を選択します。
    NIC ネットワーク セキュリティ グループ Basic
    パブリック受信ポート [なし] を選択します。
  5. [Review + create](レビュー + 作成) を選択します。

  6. 設定を確認し、 [作成] を選択します。

Note

パブリック IP アドレスが割り当てられていないか、内部の Basic Azure Load Balancer のバックエンド プールにある VM に対しては、Azure によってデフォルト送信アクセス IP が提供されます。 デフォルト送信アクセス IP メカニズムは、構成できないアウトバウンド IP アドレスを提供します。

詳細については、「Azure での既定の送信アクセス」を参照してください。

パブリック IP アドレスが VM に割り当てられている場合、またはアウトバウンド規則の有無にかかわらず VM が Standard Load Balancer のバックエンド プールに配置されている場合、既定の送信アクセス IP は無効になります。 Azure Virtual Network ネットワーク アドレス変換 (NAT) ゲートウェイ リソースが仮想マシンのサブネットに割り当てられている場合、デフォルト送信アクセス IP は無効になります。

フレキシブル オーケストレーション モードの仮想マシン スケール セットによって作成された VM には、既定の送信アクセスがありません。

Azure でのアウトバウンド接続の詳細については、「アウトバウンド接続に送信元ネットワーク アドレス変換 (SNAT) を使用する」を参照してください。

プライベート エンドポイントを備えたストレージ アカウントの作成

このセクションでは、ストレージ アカウントを作成してプライベート エンドポイントを構成します。

  1. 左側のメニューで、 [リソースの作成]>[ストレージ]>[ストレージ アカウント] の順に選択するか、検索ボックスで「ストレージ アカウント」を検索します。

  2. [ストレージ アカウントの作成][基本] タブで、次の情報を入力または選択します。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択します。
    リソース グループ [myResourceGroup] を選択します。
    インスタンスの詳細
    ストレージ アカウント名 mystorageaccount」と入力します。 この名前が使用できない場合は、一意の名前を入力してください。
    場所 [(米国) 米国東部] を選択します。
    パフォーマンス 既定値 [標準] のままにします。
    冗長性 [ローカル冗長ストレージ (LRS)] を選択します。
  3. [ネットワーク] タブまたは [次へ: ネットワーク] ボタンをクリックします。

  4. [ネットワーク] タブの [ネットワーク接続] で、[パブリック アクセスを無効にしてプライベート アクセスを使用する] を選択します。

  5. [プライベート エンドポイント][+ プライベート エンドポイントの追加] を選びます。

  6. [プライベート エンドポイントの作成] で、次の情報を入力または選択します。

    設定
    サブスクリプション Azure サブスクリプションを選択します。
    リソース グループ [myResourceGroup] を選択します。
    場所 [米国東部] を選択します。
    名前 myPrivateEndpoint」と入力します。
    ストレージ サブリソース 既定値である [BLOB] のままにします。
    ネットワーク
    仮想ネットワーク [myVNet] を選択します。
    Subnet [mySubnet] を選択します。
    プライベート DNS の統合
    プライベート DNS ゾーンとの統合 既定値 [はい] のままにします。
    プライベート DNS ゾーン 既定値の (新規) privatelink.blob.core.windows.net のままにします。
  7. [OK] を選択します。

  8. [Review + create](レビュー + 作成) を選択します。

  9. [作成] を選択します

  10. 左側のナビゲーション ペインで [リソース グループ] を選択します。

  11. [myResourceGroup] を選択します。

  12. 前の手順で作成したストレージ アカウントを選択します。

  13. ストレージ アカウントの [セキュリティとネットワーク] セクションで、[アクセス キー] を選択します。

  14. [キーの表示] を選択し、key1接続文字列で [コピー] を選択します。

コンテナーの追加

  1. [リソースに移動] を選択するか、Azure portal の左ハンドメニューで [すべてのリソース]>[mystorageaccount] の順に選択します。

  2. [データ ストレージ] セクションで、[コンテナー] を選択します。

  3. [+ コンテナー] を選択して、新しいコンテナーを作成します。

  4. [名前]mycontainer を入力し、[パブリック アクセス レベル] で [プライベート ] (匿名アクセスなし) を選択します。

  5. [作成] を選択します

プライベート エンドポイントへの接続のテスト

このセクションでは、前の手順で作成した仮想マシンを使用し、Microsoft Azure Storage Explorerを使ってプライベート エンドポイントを通じてストレージ アカウントに接続します。

  1. 左側のナビゲーション ペインで [リソース グループ] を選択します。

  2. [myResourceGroup] を選択します。

  3. [myVM] を選択します。

  4. myVM の [概要] ページで [接続][Bastion] の順に選択します。

  5. 仮想マシンの作成時に入力したユーザー名とパスワードを入力します。

  6. [接続] ボタンを選択します。

  7. 接続後にサーバーで Windows PowerShell を開きます。

  8. nslookup <storage-account-name>.blob.core.windows.net」と入力します。 <storage-account-name> は、前の手順で作成したストレージ アカウントの名前で置き換えます。 以下に表示されるようなメッセージが返されます。

    Server:  UnKnown
    Address:  168.63.129.16
    
    Non-authoritative answer:
    Name:    mystorageaccount.privatelink.blob.core.windows.net
    Address:  10.1.0.5
    Aliases:  mystorageaccount.blob.core.windows.net
    

    ストレージ アカウント名に対応する 10.1.0.5 というプライベート IP アドレスが返されます。 このアドレスは、前に作成した myVNet 仮想ネットワークの mySubnet サブネットにあります。

  9. 仮想マシンに Microsoft Azure Storage Explorer をインストールします。

  10. Microsoft Azure Storage Explorer のインストール後、 [完了] を選択します。 アプリケーションを開くため、チェック ボックスはオンのままにしてください。

  11. [リソースの選択] 画面で、ストレージ アカウントまたはサービス を選択して、前の手順で作成したストレージ アカウントに Microsoft Azure Storage Explorer 接続を追加します。

  12. [接続方法の選択] 画面で、[接続文字列] を選択し、[次へ] を選択します。

  13. [接続文字列] の下のボックスに、前の手順でコピーしたストレージ アカウントの接続文字列を貼り付けます。 ストレージ アカウント名は、[表示名] の下のボックスに自動的に入力されます。

  14. [次へ] を選択します。

  15. [概要] で、設定が正しいことを確認します。

  16. [接続] を選択し、ストレージ アカウント の左側のメニューから mystorageaccount を選択します。

  17. [BLOB コンテナー] に、前の手順で作成した mycontainer が表示されます。

  18. myVM への接続を閉じます。

リソースをクリーンアップする

今後このアプリケーションを使う予定がなければ、次の手順で仮想ネットワーク、仮想マシン、ストレージ アカウントを削除します。

  1. 左側のメニューから、 [リソース グループ] を選択します。

  2. [myResourceGroup] を選択します。

  3. [リソース グループの削除] を選択します。

  4. [リソース グループ名を入力してください] に「myResourceGroup」と入力します。

  5. [削除] を選択します。

次の手順

このチュートリアルでは、以下の作成の仕方を学習しました:

  • 仮想ネットワークと bastion ホスト。
  • 仮想マシン。
  • ストレージ アカウントとコンテナー。

Azure プライベート エンドポイントを使用して Azure Cosmos DBアカウントに接続する方法