Azure プライベート エンドポイントには、その構成とデプロイを管理するためのいくつかのオプションがあります。
Azure Private Link リソースに対してクエリを実行すると、GroupId 値と MemberName 値を確認できます。 作成時にプライベート エンドポイントの静的 IP アドレスを構成するには、GroupId 値と MemberName 値が必要です。
プライベート エンドポイントには、静的 IP アドレスとネットワーク インターフェイス名という 2 つのカスタム プロパティがあります。 これらのプロパティは、プライベート エンドポイントの作成時に設定する必要があります。
Private Link のサービス プロバイダーとコンシューマーのデプロイでは、接続を確立するための承認プロセスが実施されます。
GroupID と MemberName を決定する
Azure PowerShell と Azure CLI を使用してプライベート エンドポイントを作成する際に、プライベート エンドポイント リソースの GroupId 値と MemberName 値が必要になる場合があります。
GroupIdは、プライベート エンドポイントのサブリソースです。MemberNameは、エンドポイントのプライベート IP アドレスの一意のスタンプです。
プライベート エンドポイントのサブリソースとその値の詳細については、「プライベート リンク リソース」を参照してください。
プライベート エンドポイント リソースの GroupId と MemberName の値を確認するには、次のコマンドを使用します。 MemberName は、RequiredMembers プロパティに含まれています。
Azure WebApp は、プライベート エンドポイント リソースの例として使用されます。 Get-AzPrivateLinkResource を使用して、GroupId 値と MemberName 値を確認します。
## Place the previously created webapp into a variable. ##
$webapp =
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
$resource =
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID
次の例のような出力が表示されます。
カスタム プロパティ
ネットワーク インターフェイスの名前変更と静的 IP アドレスの割り当ては、作成時にプライベート エンドポイントで設定できるカスタム プロパティです。
ネットワーク インターフェイスの名前変更
既定では、プライベート エンドポイントが作成されると、プライベート エンドポイントに関連付けられているネットワーク インターフェイスには、そのネットワーク インターフェイスのランダムな名前が付けられます。 プライベート エンドポイントの作成時に、ネットワーク インターフェイスに名前を付ける必要があります。 既存のプライベート エンドポイントのネットワーク インターフェイスの名前変更はサポートされていません。
プライベート エンドポイントを作成してネットワーク インターフェイスの名前を変更する場合は、次のコマンドを使用します。
プライベート エンドポイントの作成時にネットワーク インターフェイスの名前を変更するには、-CustomNetworkInterfaceName パラメーターを使用します。 次の例では、Azure PowerShell コマンドを使用して、Azure Web アプリへのプライベート エンドポイントを作成します。 詳細については、「New-AzPrivateEndpoint」を参照してください。
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
## Create the private endpoint connection. ##
$pec = @{
Name = 'myConnection'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'myResourceGroup'
Name = 'myPrivateEndpoint'
Location = 'eastus'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe
静的 IP アドレス
既定では、プライベート エンドポイントが作成されると、エンドポイントの IP アドレスが自動的に割り当てられます。 IP は、プライベート エンドポイント用に構成された仮想ネットワークの IP 範囲から割り当てられます。 プライベート エンドポイントの静的 IP アドレスが必要な状況が発生する場合があります。 静的 IP アドレスは、プライベート エンドポイントの作成時に割り当てる必要があります。 既存のプライベート エンドポイントの静的 IP アドレスの構成は、現在サポートされていません。
プライベート エンドポイントの作成時に静的 IP アドレスを構成する手順については、「Azure PowerShell を使用してプライベート エンドポイントを作成する」と「Azure CLI を使用してプライベート エンドポイントを作成する」を参照してください。
プライベート エンドポイント接続
Private Link は、Private Link のコンシューマーがサービスの利用に向けてサービス プロバイダーへの接続を要求できる承認モデル上で動作します。
その後、サービス プロバイダーは、コンシューマーに接続を許可するかどうかを決定できます。 サービス プロバイダーは、Private Link を使用して、自分のリソース上のプライベート エンドポイント接続を管理できます。
Private Link のコンシューマーが選べる接続承認方法は 2 つあります。
自動: サービスのコンシューマーがサービス プロバイダー リソースに対する Azure ロールベースのアクセス制御アクセス許可を持っている場合、コンシューマーは自動承認の方法を選択できます。 要求がサービス プロバイダー リソースに到達したときにサービス プロバイダーからのアクションは必要なく、接続は自動的に承認されます。
手動: サービスのコンシューマーがサービス プロバイダー リソースに対する RBAC アクセス許可を持っていない場合、コンシューマーは手動承認の方法を選択できます。 接続要求は、サービスのリソース上に "保留中" と表示されます。 サービス プロバイダーは、接続を確立する前に、手動で要求を承認する必要があります。
手動の場合、サービスのコンシューマーは、要求を含むメッセージを指定して、さらに多くのコンテキストをサービス プロバイダーに提供することもできます。 サービス プロバイダーは、すべてのプライベート エンドポイント接続に対して、[承認]、[拒否]、[削除] のオプションから選択できます。
重要
別のサブスクリプションやテナント内にあるプライベート エンドポイントとの接続を承認するには、そのプロバイダー サブスクリプションまたはテナントに Microsoft.Network を必ず登録します。 また、コンシューマー サブスクリプションまたはテナントには、宛先リソースのリソース プロバイダーが登録されている必要があります。
次の表では、サービス プロバイダーのさまざまなアクションと、その結果であるプライベート エンドポイントの接続状態を示しています。 サービス プロバイダーは、コンシューマーの操作なしで、後で接続状態を変更することができます。 このアクションにより、コンシューマー側のエンドポイントの状態が更新されます。
| サービス プロバイダーのアクション | サービス コンシューマーのプライベート エンドポイントの状態 | 説明 |
|---|---|---|
| なし | 保留中 | 接続が手動で作成されており、Private Link リソース所有者による承認を待っています。 |
| 承認する | 承認 | 接続が自動または手動で承認されており、すぐに使用できます。 |
| リジェクト | 拒否 | Private Link リソース所有者が接続を拒否しました。 |
| 削除する | 切断された | Private Link リソース所有者が接続を削除しました。これにより、プライベート エンドポイントが切断されたため、削除してクリーンアップする必要があります。 |
Azure PaaS リソース上のプライベート エンドポイント接続を管理する
Azure portal でプライベート エンドポイント接続を管理するには、次の手順に従います。
Azure portal にサインインします。
ポータルの上部にある検索ボックスに、「Private Link」と入力します。 検索結果で [プライベート リンク] を選択します。
[Private Link センター] で、[プライベート エンドポイント] または [プライベート リンク サービス] を選択します。
エンドポイントごとに、それに関連付けられているプライベート エンドポイント接続の数を確認できます。 必要に応じて、リソースをフィルター処理できます。
プライベート エンドポイントを選択します。 一覧表示された接続から、管理する接続を選択します。
上部にあるオプションから選択することにより、接続の状態を変更できます。
顧客またはパートナーが所有する Private Link サービス上のプライベート エンドポイント接続を管理する
次の PowerShell コマンドと Azure CLI コマンドを使用して、Microsoft パートナー サービスまたは顧客が所有するサービス上のプライベート エンドポイント接続を管理します。
次の PowerShell コマンドを使用して、プライベート エンドポイント接続を管理します。
Private Link の接続状態を取得する
Get-AzPrivateEndpointConnection を使用して、プライベート エンドポイント接続とその状態を取得します。
$get = @{
Name = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get
プライベート エンドポイント接続を承認する
Approve-AzPrivateEndpointConnection を使用して、プライベート エンドポイント接続を承認します。
$approve = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve
プライベート エンドポイント接続を拒否する
Deny-AzPrivateEndpointConnectionを使用して、プライベート エンドポイント接続を拒否します。
$deny = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection @deny
プライベート エンドポイント接続を削除する
Approve-AzPrivateEndpointConnection を使用して、プライベート エンドポイント接続を削除します。
$remove = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove
注
以前に拒否した接続は承認できません。 その接続を削除して、新しい接続を作成する必要があります。