Azure Private Link のよく寄せられる質問 (FAQ)

• Azure プライベート エンドポイント : Azure プライベート エンドポイントは、Azure Private Link を使用するサービスにプライベートかつ安全に接続するネットワーク インターフェイスです。 プライベート エンドポイントを使用すると、Private Link をサポートする Azure PaaS サービスや、独自の Private Link サービスに接続できます。
• Azure Private Link サービス : Azure Private Link サービスは、サービス プロバイダーによって作成されるサービスです。 現時点では、Private Link サービスは、Standard Load Balancer のフロントエンド IP 構成に接続できます。

トラフィックは、Microsoft バックボーンを使用してプライベートに送信されます。 トラフィックはインターネットを経由しません。 Azure プライベート リンクには、顧客データが格納されません。

• プライベート エンドポイントでは、詳細なセグメンテーションを提供する特定のサービスの背後にある特定のリソースへのネットワーク アクセスが許可されます。 トラフィックは、パブリック エンドポイントを使用せずにオンプレミスからサービス リソースに到達できます。
• サービス エンドポイントは、公的にルーティング可能な IP アドレスのままです。 プライベート エンドポイントは、プライベート エンドポイントが構成されている仮想ネットワークのアドレス空間にあるプライベート IP です。

複数プライベート リンク リソースの種類では、プライベート エンドポイント経由のアクセスがサポートされます。 リソースには、Azure PaaS サービスとユーザー独自の Private Link サービスが含まれます。 これは一対多の関係です。

1 つの Private Link サービスでは複数のプライベート エンドポイントから接続を受信できます。 1 つのプライベート エンドポイントは 1 つの Private Link サービスに接続します。

Yes. Private Link サービスでは、正常に機能させるためにネットワーク ポリシーを無効にする必要があります。

Yes. ユーザー定義ルートやネットワーク セキュリティ グループなどのポリシーを利用するには、プライベート エンドポイントの仮想ネットワーク内のサブネットに対してネットワーク ポリシーを有効にする必要があります。 この設定は、サブネット内のすべてのプライベート エンドポイントに影響します。

サービス エンドポイントを介して Azure サービス リソースをセキュリティ保護するには 2 つのステップがあります。

1. Azure サービスに対するサービス エンドポイントを有効にします。
2. Azure サービスで仮想ネットワーク アクセス制御リスト (ACL) を設定します。

最初のステップはネットワーク側の操作であり、2 番目のステップはサービス リソース側の操作です。 管理者ロールに付与されている Azure ロールベースのアクセス制御 (RBAC) のアクセス許可に基づいて、同じ管理者または異なる管理者がステップを実行できます。

Azure サービス側で仮想ネットワーク ACL を設定する前に、仮想ネットワークに対してサービス エンドポイントを有効にすることをお勧めします。 仮想ネットワーク サービス エンドポイントを設定するには、前のシーケンスの手順を実行する必要があります。

一部のサービス (Azure SQL、Azure Cosmos DB など) では、IgnoreMissingVnetServiceEndpoint フラグを使用して上記の手順に対する例外を設定できます。 フラグを True に設定した後、ネットワーク側でサービス エンドポイントを有効にする前に、Azure サービス側で仮想ネットワーク ACL を設定できます。 Azure サービスでこのフラグが提供されているのは、Azure サービスで特定の IP ファイアウォールが構成されている場合に、お客様を支援するためです。

ネットワーク側でサービス エンドポイントを有効にすると、送信元 IP がパブリック IPv4 アドレスからプライベート アドレスに変わるため、接続が断たれる可能性があります。 ネットワーク側でサービス エンドポイントを有効にする前に、Azure サービス側で仮想ネットワーク ACL を設定すると、接続が断たれるのを防ぐことができます。

すべての Azure サービスが顧客の仮想ネットワーク内に存在するわけではありません。 ほとんどの Azure データ サービス (Azure Storage、Azure SQL、Azure Cosmos DB など) は、パブリック IP アドレス経由でアクセスできるマルチテナント サービスです。 詳細については、「 専用の Azure サービスを仮想ネットワークにデプロイする」を参照してください。

ネットワーク側で仮想ネットワーク サービス エンドポイントを有効にし、Azure サービス側で適切な仮想ネットワーク ACL を設定すると、Azure サービスへのアクセスは、許可された仮想ネットワークとサブネットに制限されます。

仮想ネットワーク サービス エンドポイントは、Azure サービスのアクセスを許可された仮想ネットワークとサブネットに制限します。 これにより、ネットワーク レベルのセキュリティと、Azure サービス トラフィックの分離が提供されます。

仮想ネットワーク サービス エンドポイントを使用するすべてのトラフィックが Microsoft のバックボーンを経由することで、パブリック インターネットからのもう 1 つの分離レイヤーが提供されます。 また、お客様は、Azure サービス リソースへのパブリック インターネット アクセスを完全に削除し、IP ファイアウォールと仮想ネットワーク ACL の組み合わせを経由する仮想ネットワークからのトラフィックだけを許可できます。 インターネット アクセスを削除すると、承認されていないアクセスから Azure サービス リソースを保護できます。

仮想ネットワーク サービス エンドポイントは、Azure サービス リソースを保護するのに役立ちます。 仮想ネットワーク リソースは、ネットワーク セキュリティ グループを通して保護されます。

No. 仮想ネットワーク サービス エンドポイントを使用するための追加コストはありません。

はい、できます。 仮想ネットワークと Azure サービス リソースは、同じサブスクリプション配下でも別々のサブスクリプション配下でもかまいません。 唯一の要件は、仮想ネットワークと Azure サービス リソースの両方が、同じ Microsoft Entra テナントの下に存在する必要があることです。

はい。Azure Storage と Azure Key Vault にサービス エンドポイントを使用する場合は可能です。 その他のサービスの場合、仮想ネットワーク サービス エンドポイントと仮想ネットワーク ACL は、Microsoft Entra テナント間ではサポートされません。

既定では、仮想ネットワークからのアクセスに限定された Azure サービス リソースは、オンプレミスのネットワークからはアクセスできません。 オンプレミスからのトラフィックを許可する場合は、オンプレミスまたは ExpressRoute からのパブリック IP アドレス (通常は NAT) を許可する必要もあります。 これらの IP アドレスは、Azure サービス リソースの IP ファイアウォール構成を使用して追加できます。

Alternatively, you can implement private endpoints for supported services.

Azure サービスへのアクセスを 1 つの仮想ネットワーク内または複数の仮想ネットワークにまたがる複数のサブネットに限定するには、ネットワーク側でサブネットごとに個別にサービス エンドポイントを有効にします。 次に、Azure サービス側で適切な仮想ネットワーク ACL を設定して、Azure サービス リソースへのアクセスをすべてのサブネットに限定します。

仮想ネットワークから Azure サービスへのトラフィックを検査またはフィルター処理する場合は、仮想ネットワーク内にネットワーク仮想アプライアンスをデプロイします。 その後、ネットワーク仮想アプライアンスがデプロイされているサブネットにサービス エンドポイントを適用し、仮想ネットワーク ACL を使用してこのサブネットのみに Azure サービス リソースへのアクセスを限定します。

また、このシナリオは、ネットワーク仮想アプライアンス フィルタリングを使用して、ご利用の仮想ネットワークから Azure サービスへのアクセスを特定の Azure リソースにのみ制限する場合に役立ちます。 詳細については、「 高可用性 NVA のデプロイ」を参照してください。

サービスからは HTTP 403 または HTTP 404 エラーが返されます。

Yes. ほとんどの Azure サービスについて、異なるリージョンで作成された仮想ネットワークから、仮想ネットワーク サービス エンドポイント経由で別のリージョンの Azure サービスにアクセスできます。 たとえば、Azure Cosmos DB アカウントが米国西部または米国東部リージョンにあり、仮想ネットワークが複数のリージョンにある場合、仮想ネットワークは Azure Cosmos DB にアクセスできます。

Azure SQL は例外であり、リージョン内のみで使用します。 仮想ネットワークと Azure サービスの両方が同じリージョンに存在する必要があります。

Yes. 仮想ネットワーク ACL と IP ファイアウォールは共存できます。 分離とセキュリティが確実になるように、機能が相互に補完します。

仮想ネットワークの削除とサブネットの削除は、独立した操作です。 これらは、Azure サービスのサービス エンドポイントを有効にした場合でもサポートされます。

Azure サービスの仮想ネットワーク ACL を設定した場合、仮想ネットワーク サービス エンドポイントが有効になっている仮想ネットワークまたはサブネットを削除すると、それらの Azure サービスに関連付けられている ACL 情報は無効になります。

Azure サービス アカウントの削除は独立した操作です。 ネットワーク側でサービス エンドポイントを有効にし、Azure サービス側で仮想ネットワーク ACL を設定した場合でも、サポートされます。

仮想ネットワーク サービス エンドポイントを有効にした場合、仮想ネットワークのサブネット内にあるリソースの送信元 IP アドレスは、Azure サービスへのトラフィックで、パブリック IPV4 アドレスを使用するのではなく Azure 仮想ネットワークのプライベート IP アドレスを使用するように切り替えられます。 この切り替えによって、Azure サービスで以前にパブリック IPv4 アドレスに対して設定されている特定の IP ファイアウォールが失敗する可能性があることに注意してください。

サービス エンドポイントでは、Border Gateway Protocol (BGP) ルートより優先されるシステム ルートが追加され、サービス エンドポイントのトラフィックに対して最適なルーティングが提供されます。 サービス エンドポイントでは常に、ユーザーの仮想ネットワークから Microsoft Azure のバックボーン ネットワーク上のサービスへのサービス トラフィックが、直接受け取られます。

Azure でルートを選択する方法の詳細については、「 仮想ネットワーク トラフィック ルーティング」を参照してください。

No. サービス エンドポイントが有効になっているサブネットから送信される ICMP トラフィックは、目的のエンドポイントへのサービス トンネル パスを使用しません。 サービス エンドポイントでは TCP トラフィックのみが処理されます。 サービス エンドポイントを使用してエンドポイントへの待機時間または接続をテストする場合、ping や tracert などのツールでは、サブネット内のリソースが使用する実際のパスは表示されません。

Azure サービスに到達するには、NSG で送信接続を許可する必要があります。 NSG がすべてのインターネット送信トラフィックに対して開かれている場合、サービス エンドポイントのトラフィックは動作するはずです。 サービス タグを使用して、サービス IP アドレスのみに送信トラフィックを制限することもできます。

そのネットワークへの書き込みアクセス権がある場合は、仮想ネットワーク上のサービス エンドポイントを個別に構成できます。

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. このアクセス許可は、既定では組み込みのサービス管理者のロールに含まれ、カスタム ロールを作成することで変更できます。

組み込みロールとカスタム ロールへの特定のアクセス許可の割り当ての詳細については、 Azure カスタム ロールに関するページを参照してください。

仮想ネットワーク サービス エンドポイント ポリシーを使用して、Azure サービスへの仮想ネットワーク トラフィックをフィルター処理し、サービス エンドポイント経由で特定の Azure サービス リソースのみを許可することができます。 エンドポイント ポリシーでは、Azure サービスへの仮想ネットワーク トラフィックから詳細なアクセス制御が提供されます。

詳細については、 Azure Storage の仮想ネットワーク サービス エンドポイント ポリシーに関するページを参照してください。

サービス エンドポイントは Microsoft Entra ID でネイティブにはサポートされていません。 仮想ネットワーク サービス エンドポイントをサポートする Azure サービスの完全な一覧については、「 仮想ネットワーク サービス エンドポイント」を参照してください。

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. Data Lake Storage Gen1 の仮想ネットワーク統合 では、仮想ネットワークと Microsoft Entra ID の間の仮想ネットワーク サービス エンドポイント セキュリティを利用して、アクセス トークンに追加のセキュリティ要求を生成します。 これらの要求は、ご利用の Data Lake Storage Gen1 アカウントに対して仮想ネットワークを認証し、アクセスを許可するために使用されます。

仮想ネットワーク内のサービス エンドポイントの合計数に制限はありません。 Azure サービス リソース (Azure Storage アカウントなど) の場合、リソースへのアクセスに使用されるサブネットの数がサービスによって制限される場合があります。 制限の例を次の表に示します。

Azure サービスに到達するには、NSG で送信接続を許可する必要があります。 NSG がすべてのインターネット送信トラフィックに対して開かれている場合、サービス エンドポイントのトラフィックは動作するはずです。 サービス タグを使用して、サービス IP アドレスのみに送信トラフィックを制限することもできます。

そのネットワークへの書き込みアクセス権がある場合は、仮想ネットワーク上のサービス エンドポイントを個別に構成できます。

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. このアクセス許可は、既定では組み込みのサービス管理者のロールに含まれ、カスタム ロールを作成することで変更できます。

組み込みロールとカスタム ロールへの特定のアクセス許可の割り当ての詳細については、 Azure カスタム ロールに関するページを参照してください。

仮想ネットワーク サービス エンドポイント ポリシーを使用して、Azure サービスへの仮想ネットワーク トラフィックをフィルター処理し、サービス エンドポイント経由で特定の Azure サービス リソースのみを許可することができます。 エンドポイント ポリシーでは、Azure サービスへの仮想ネットワーク トラフィックから詳細なアクセス制御が提供されます。

詳細については、 Azure Storage の仮想ネットワーク サービス エンドポイント ポリシーに関するページを参照してください。

サービス エンドポイントは Microsoft Entra ID でネイティブにはサポートされていません。 仮想ネットワーク サービス エンドポイントをサポートする Azure サービスの完全な一覧については、「 仮想ネットワーク サービス エンドポイント」を参照してください。

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. Data Lake Storage Gen1 の仮想ネットワーク統合 では、仮想ネットワークと Microsoft Entra ID の間の仮想ネットワーク サービス エンドポイント セキュリティを利用して、アクセス トークンに追加のセキュリティ要求を生成します。 これらの要求は、ご利用の Data Lake Storage Gen1 アカウントに対して仮想ネットワークを認証し、アクセスを許可するために使用されます。

仮想ネットワーク内のサービス エンドポイントの合計数に制限はありません。 Azure サービス リソース (Azure Storage アカウントなど) の場合、リソースへのアクセスに使用されるサブネットの数がサービスによって制限される場合があります。 制限の例を次の表に示します。

Yes. 同じバーチャル ネットワークまたはサブネット内に複数のプライベート エンドポイントを作成できます。 それらは異なるサービスに接続できます。

いいえ。1 つの仮想ネットワークに同じ名前の複数のゾーンを作成することはサポートされていません。

No. プライベート エンドポイント専用のサブネットは必要ありません。 対象のサービスがデプロイされているバーチャル ネットワーク内にある任意のサブネットのプライベート エンドポイント IP を選択できます。

Yes. プライベート エンドポイントでは、Microsoft Entra テナントをまたいで Private Link サービスまたは Azure PaaS に接続できます。 テナントをまたぐプライベート エンドポイントには、手動による要求の承認が必要です。

Yes. プライベート エンドポイントは、Azure リージョンの枠を越えて Azure PaaS リソースに接続できます。

プライベート エンドポイントが作成されると、読み取り専用の NIC が割り当てられます。 NIC は変更できず、プライベート エンドポイントのライフ サイクルの間、そのままになります。

プライベート エンドポイントは、Azure Private Link の SLA に沿った SLA を持つ高可用性リソースです。 ただし、これらはリージョン リソースであるため、Azure リージョンの停止が可用性に影響する可能性があります。 リージョンで障害が発生した場合に可用性を実現するために、同じ宛先リソースに接続された複数の PE を、異なるリージョンにデプロイできます。 このようにして、1 つのリージョンがダウンした場合でも、別のリージョンの PE を介して復旧シナリオ用のトラフィックをルーティングし、宛先リソースにアクセスすることができます。 宛先サービス側でリージョンの障害がどのように処理されるかについては、フェールオーバーと復旧に関するサービスのドキュメントを参照してください。 Private Link トラフィックは、宛先エンドポイントの Azure DNS 解決に従います。

プライベート エンドポイントは、Azure Private Link の SLA に沿った SLA を持つ高可用性リソースです。 プライベート エンドポイントはゾーンに依存しません。プライベート エンドポイントのリージョン内の可用性ゾーンで障害が発生しても、プライベート エンドポイントの可用性には影響しません。

TCP および UDP トラフィックは、プライベート エンドポイントでのみサポートされます。 詳細については、Private Link の制限に関する記事を参照してください。

対象のサービスのバックエンドが仮想ネットワーク内にあり、かつ Standard Load Balancer の背後にある必要があります。

Private Link サービスは、次のいくつかの方法でスケーリングできます。

• バックエンド VM を Standard Load Balancer の背後にあるプールに追加する
• IP を Private Link サービスに追加する。 Private Link サービスあたり最大 8 個の IP が許可されます。
• 新しい Private Link サービスを Standard Load Balancer に追加する。 Standard Load Balancer あたり最大 8 個の Private Link サービスが許可されます。

• NAT IP 構成によって、送信元 (コンシューマー) と宛先 (サービス プロバイダー) のアドレス空間に IP の競合が発生しなくなります。 この構成では、宛先のプライベート リンク トラフィックの送信元 NAT が提供されます。 NAT IP アドレスは、対象のサービスで受信されたすべてのパケットのソース IP および対象のサービスで送信されたすべてのパケットの宛先 IP として表示されます。 NAT IP は、サービス プロバイダーの仮想ネットワーク内の任意のサブネットから選択できます。
• 各 NAT IP により、Standard Load Balancer の背後にある VM ごとに 64,000 個の TCP 接続 (64,000 個のポート) を使用できるようになります。 接続をスケールして追加するには、新しい NAT IP を追加するか、Standard Load Balancer の背後に VM を追加します。 こうすることでポートの可用性がスケールされ、より多くの接続が可能になります。 接続は、NAT IP と Standard Load Balancer の背後にある VM に分散されます。

Yes. 1 つの Private Link サービスで複数のプライベート エンドポイントから接続を受信できます。 ただし、1 つのプライベート エンドポイントで接続できるのは 1 つの Private Link サービスのみです。

公開を制御するには、Private Link サービスの可視性構成を使用します。 可視性では、次の 3 つの設定がサポートされます。

• None - Only subscriptions with role based access can locate the service.
• Restrictive - Only subscriptions that are approved and with role based access can locate the service.
• All - Everyone can locate the service.

No. Basic Load Balancer では Private Link サービスはサポートされていません。

No. Private Link サービスには専用サブネットは必要ありません。 対象のサービスがデプロイされているバーチャル ネットワーク内の任意のサブネットを選択できます。

No. その機能は Azure Private Link によって提供されます。 顧客のアドレス空間と重複しないアドレス空間を持つ必要はありません。

Next steps

• Azure Private Link について学習します