編集

Azure Private Link を使用してマネージド ディスクに対するインポートおよびエクスポートのアクセスを制限する

  • 操作方法

適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット

プライベート エンドポイントを使用すると、マネージド ディスクのエクスポートとインポートを制限し、Azure 仮想ネットワーク上のクライアントからプライベート リンクを介してデータにより安全にアクセスできます。 プライベート エンドポイントでは、対象のマネージド ディスクのために仮想ネットワークのアドレス空間の IP アドレスが使用されます。 仮想ネットワーク上のクライアントとマネージド ディスク間のネットワーク トラフィックは、仮想ネットワークおよび Microsoft バックボーン ネットワーク上のプライベート リンク経由でのみ送信され、パブリック インターネットから公開されることはなくなります。

Private Link を使用してマネージド ディスクをエクスポートおよびインポートするには、ディスク アクセス リソースを作成した後、プライベート エンドポイントを作成することによってこれを同じサブスクリプション内の仮想ネットワークにリンクします。 次に、ディスクまたはスナップショットをディスク アクセスのインスタンスに関連付けます。

前提条件

なし

制限事項

  • 同じディスク アクセス オブジェクトを使用して、5 個を超えるディスクまたはスナップショットを同時にインポートまたはエクスポートすることはできません。
  • ディスク アクセス オブジェクトとディスク暗号化セットの両方を含むディスクにアップロードすることはできません。

ディスク アクセス リソースを作成する

  1. Azure portal にサインインし、このリンクから ディスク アクセス に移動します。

  2. [+ 作成] を選択して、新しいディスク アクセス リソースを作成します。

  3. [ディスク アクセスの作成] ウィンドウ、サブスクリプションとリソース グループを選択します。 [インスタンスの詳細] で、名前を入力し、リージョンを選択します。

    ディスク アクセスの作成ウィンドウのスクリーンショット。目的の名前を入力し、リージョンを選択してから、リソース グループを選択して続行します

  4. [Review + create](レビュー + 作成) を選択します。

  5. リソースが作成されたら、直接そのリソースに移動します。

    ポータルの [リソースに移動] ボタンのスクリーンショット

プライベート エンドポイントの作成

次に、プライベート エンドポイントを作成してディスク アクセス用に構成する必要があります。

  1. ディスク アクセス リソースの [設定] で、 [プライベート エンドポイントの接続] を選択します。

  2. [+ プライベート エンドポイント] を選択します。

    ディスク アクセス リソースの概要ウィンドウのスクリーンショット。[プライベート エンドポイントの接続] が強調表示されています。

  3. [プライベート エンドポイントの作成] ウィンドウで、リソース グループを選択します。

  4. 名前を入力し、ディスク アクセス リソースが作成されたのと同じリージョンを選択します。

    プライベート エンドポイント作成ワークフローの最初のウィンドウのスクリーンショット。適切なリージョンを選択しない場合は、後で問題が発生する可能性があります。

  5. [Next:リソース] を選択します。

  6. [リソース] ペインで、 [マイ ディレクトリ内の Azure リソースに接続します] を選択します。

  7. [リソースの種類] で、 [Microsoft.Compute/diskAccesses] を選択します。

  8. [リソース] で、前の手順で作成したディスク アクセス リソースを選択します。

  9. [対象サブリソース][ディスク] のままにします。

    プライベート エンドポイント作成ワークフローの 2 番目のウィンドウのスクリーンショット。すべての値が強調表示された状態 ([リソースの種類]、[リソース]、[対象サブリソース])。

  10. [次へ: 構成] を選択します。

  11. ディスクのインポートとエクスポートを制限する仮想ネットワークを選択します。 これにより、他の仮想ネットワークへのディスクのインポートとエクスポートが防止されます。

    Note

    選択したサブネットで有効なネットワーク セキュリティ グループがある場合、それはこのサブネットのプライベート エンドポイントに対してのみ無効になります。 このサブネット上の他のリソースでは、ネットワーク セキュリティ グループの適用が維持されます。

  12. 適切なサブネットを選択します。

    プライベート エンドポイント作成ワークフローの 3 番目のペインのスクリーンショット。仮想ネットワークとサブネットが強調されています。

  13. [Review + create](レビュー + 作成) を選択します。

ディスク上でプライベート エンドポイントを有効にする

次のステップを実行します。

  1. 構成するディスクに移動します。

  2. [設定][ネットワーク] を選択します。

  3. [Private endpoint (through disk access)](プライベート エンドポイント (ディスク アクセス経由)) を選択し、前の手順で作成したディスク アクセスを選択します。

    マネージド ディスクの [ネットワーク] ペインのスクリーンショット。プライベート エンドポイントの選択と、選択したディスク アクセスが強調表示されています。これを保存すると、このアクセス用にディスクが構成されます。

  4. [保存] を選択します。

    これで、マネージド ディスクのインポートとエクスポートに使用できるプライベート リンクが構成されました。 Azure CLI または Azure PowerShell モジュールを使用してインポートできます。 Windows VHD または Linux VHD のいずれかをエクスポートできます。

関連するコンテンツ