この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。
こんにちはDXソリューション統括部の村松です。
今回はAzure Private Linkを構成するにあたって注意点ついてお話できればと思います。
Azure Private Linkとはシンプルに言うとAzureのPaaSサービスにプライベートIPアドレスで接続する機能です。
前回こちらのブログでもお話しました通り、Azure Private Linkを構成したAzure PaaSサービスにはネットワークインターフェースが割り当てられ、そのプライベートIPアドレスは動的になります。
そのため、Azure Private Linkを構成したAzure PaaSサービスに接続するにはFQDNで名前解決できる必要があります。
当然ながらその場合、参照先のDNSサーバでそのFQDNを名前解決できる必要があるのですが、そのレコードはAzure Private DNSに登録することが推奨されています。
この時に注意してほしいのはAzure Private DNSに登録されたレコードにはAzure上のデフォルトのDNSサーバ(168.63.120.16)経由で参照させる必要があるということです。
以下のように仮想ネットワークで設定している参照先のDNSサーバが「既定(Azure提供)」であれば問題ありません。
しかし、参照先のDNSサーバの設定を「カスタム」(独自のDNSサーバをさせる)にする場合はDNSサーバの配置先によっては追加の設定が必要になります。
ケース1:参照先のDNSサーバがAzureの仮想ネットワーク上にある場合
この場合は参照先のDNSサーバのフォワーダー先としてAzureデフォルトのDNSサーバのIPアドレス168.63.129.16を設定します。これによって内部で解決できないレコードをAzureデフォルトのDNSサーバに参照しにいくようになるので、Azure Private DNSに登録されているレコードを参照できるようになります。(よってPrivate LinkでAzureのPaaSサービスに接続できる。)
WindowsのDNSサーバでフォワーダー設定を行う際は以下のように設定します。
ケース2:参照先のDNSサーバがAzureネットワーク以外(オンプレミスない)にある場合
アプリケーションの要件上、仮想ネットワークの参照先のDNSとして社内のDNSサーバを参照するよう設定することもあるかと思います。これだとAzureデフォルトのDNSサーバを参照しないためAzure Private DNSのレコードを参照できません。
(そのためPrivate LinkでAzureのPaaSサービスに接続できない)
「先ほどの“ケース1:”のように社内のDNSサーバにフォワーダー設定をすればいいのでは?」という思うかもしれませんが、(これもまたややこしい話ですが…)Azure上のデフォルトのDNSサーバ(168.63.120.16)にはAzureの仮想ネットワークからしか参照することはできません。
このような場合はAzureの仮想ネットワークにDNSサーバを作成して仮想ネットワークの参照先のDNSサーバとして、それを設定します。そのDNSサーバにて条件付きフォワーダーを構成することで、社内のDNSとAzure Private DNS両方のレコードを参照できるようになります。(よってPrivate LinkでAzureのPaaSサービスに接続できる。)
構成としては以下のようになるかと思います。シンプルいうと要求されたFQDNに応じて参照先のDNSサーバをルーティングさせるということです。
少々長くなりましたが、Azure Private Linkを構成するにあたっては以下の点を注意してもらえると幸いです。
- Azure Private LinkでAzureのPaaSサービスにアクセスする際はFQDNで名前解決できる必要がある。
- 上記のレコードはAzure Private DNSのレコードに登録することが推奨されている。
- Azure Private DNSにはAzureデフォルトのDNSサーバ(168.63.129.16)経由でしか参照できない。
- 仮想ネットワークの参照先のDNSサーバがデフォルトでない場合、フォワーダーもしくは条件付きフォワーダーの構成を検討する。
Azure Private LinkとAzure Private DNSの統合についての詳細は以下のドキュメントを参照ください。
以上 今回はここまでになります。またの機会にお会いしましよう!。