ある企業がAzure Private Endpointを使用してAzure Storage AccountへのアクセスをVNet内に限定する構成を計画している。プライベートエンドポイントを正常に動作させるために必要な設定を2つ選択してください。
- A. Private Endpointのサブネットに、Storage AccountのIPアドレスへのUDRを追加する
- B. Storage AccountのパブリックネットワークアクセスをすべてのネットワークからPrivate Endpoint専用に変更(またはパブリックアクセスを無効化)する
- C. プライベートDNSゾーン(privatelink.blob.core.windows.net)を作成してVNetにリンクし、StorageアカウントのFQDNがプライベートIPに解決されるよう構成する
- D. Private Endpointを作成しているサブネットにサービスエンドポイント(Microsoft.Storage)を有効にする
解答と解説を見る
正解: B, C
正解はBとCである。B:Private Endpointを作成しただけではStorageアカウントへのパブリックアクセスは依然として可能である。「パブリックエンドポイント経由のアクセスを無効化」または「選択したVNet/IPのみ許可(Private Endpoint専用)」に設定することで、インターネットからの直接アクセスを遮断できる。これをしないとPrivate Endpointを作成した意味が薄れる。C:クライアントがstoragename.blob.core.windows.netに接続しようとする際、標準DNSではグローバルパブリックIPが返される。プライベートDNSゾーン(privatelink.blob.core.windows.net)を作成しVNetにリンクすることで、そのFQDNがPrivate EndpointのプライベートIPアドレスに解決され、VNet内のVMが透過的にプライベート接続を使用できる。選択肢DはService EndpointとPrivate Endpointは別々の機能で、Private Endpointが動作するためにService Endpointは不要(むしろ同時設定は意味が薄い)。選択肢AはPrivate Endpointへの通信はVNet内のルーティングで処理されるためUDRは通常不要であり、誤りである。
📚 関連サービスの解説: プライベート エンドポイント ・ Azure Virtual Network(VNet)