プライベート エンドポイントをドメイン ネーム サービスと統合する

Azure Private Link サービスとは

Private Link を使用すると、Azure 仮想ネットワークから Azure 内の PaaS サービスおよび Microsoft パートナーのサービスへのプライベート アクセスが可能になります。 しかし、あなたの会社に独自の Azure サービスがある場合はどうなるでしょうか? 自社のサービスへのプライベート接続を、それらの顧客に提供できるでしょうか。

はい。 Azure Private Link サービスを使用します。 このサービスを使用すると、カスタム Azure サービスへの Private Link 接続を提供できます。 カスタム サービスのコンシューマーは、独自の Azure 仮想ネットワークから、それらのサービスにプライベートに (つまり、インターネットを使用せずに) アクセスできるようになります。

Azure Private Link サービスは、Azure Private Link を使用する独自のサービスに対する参照です。 Azure Standard Load Balancer の背後で実行されている自分のサービスで Private Link アクセスを有効にすると、自分のサービスのコンシューマーがそのサービスに対して独自の VNet からプライベートにアクセスできるようになります。 顧客は、自分の VNet 内にプライベート エンドポイントを作成し、それをこのサービスにマッピングすることができます。 1 つの Private Link サービスでは複数のプライベート エンドポイントから接続を受信できます。 1 つのプライベート エンドポイントは 1 つの Private Link サービスに接続します。

ハブスポーク ネットワークのプライベート リンクと DNS 統合

次の図は、中央 DNS 解決を使用するエンタープライズ環境の一般的な 概要アーキテクチャ を示しています。 ネットワーク アーキテクチャは、Private Link リソースと Azure プライベート DNS を備えたハブスポーク ネットワークです。

前の図では、次の点に注目することが重要です。

1. すべての Azure 仮想ネットワークは、ハブ仮想ネットワークでホストされている DNS プライベート リゾルバーを使用します。
2. オンプレミスの DNS サーバーには、ハブ仮想ネットワークでホストされている DNS プライベート リゾルバーを指す、プライベート エンドポイントパブリック DNS ゾーンごとに条件付きフォワーダーが構成されています。
3. ハブ仮想ネットワークでホストされている DNS プライベート リゾルバーは、フォワーダーとして Azure 提供の DNS (168.63.129.16) を使用します。 IP アドレス 168.63.129.16 は、Azure プラットフォーム リソースへの通信チャネルの使用を容易にする仮想パブリック IP アドレスです。
4. ハブ仮想ネットワークは、図に示すように、privatelink.blob.core.windows.net などの Azure サービスのプライベート DNS ゾーン名にリンクされている必要があります。

Azure DNS プライベート リゾルバーとは

Azure DNS プライベート リゾルバー を使用すると、VM ベースの DNS サーバーをデプロイせずに、Azure DNS オンプレミスのプライベート ゾーンに対してクエリを実行できます。 DNS プライベート リゾルバーを使用する場合、DNS フォワーダーは必要ありません。また、Azure DNS はオンプレミスのドメイン名を解決できます。