Azure Private Linkを構成するにあたって注意点は?

こんにちはDXソリューション統括部の村松です。

今回はAzure Private Linkを構成するにあたって注意点ついてお話できればと思います。

 

Azure Private Linkとはシンプルに言うとAzureのPaaSサービスにプライベートIPアドレスで接続する機能です。

前回こちらのブログでもお話しました通り、Azure Private Linkを構成したAzure PaaSサービスにはネットワークインターフェースが割り当てられ、そのプライベートIPアドレスは動的になります。

そのため、Azure Private Linkを構成したAzure PaaSサービスに接続するにはFQDNで名前解決できる必要があります。

当然ながらその場合、参照先のDNSサーバでそのFQDNを名前解決できる必要があるのですが、そのレコードはAzure Private DNSに登録することが推奨されています。

 

この時に注意してほしいのはAzure Private DNSに登録されたレコードにはAzure上のデフォルトのDNSサーバ(168.63.120.16)経由で参照させる必要があるということです。

 

以下のように仮想ネットワークで設定している参照先のDNSサーバが「既定(Azure提供)」であれば問題ありません。

 

しかし、参照先のDNSサーバの設定を「カスタム」(独自のDNSサーバをさせる)にする場合はDNSサーバの配置先によっては追加の設定が必要になります。

 

ケース1:参照先のDNSサーバがAzureの仮想ネットワーク上にある場合

この場合は参照先のDNSサーバのフォワーダー先としてAzureデフォルトのDNSサーバのIPアドレス168.63.129.16を設定します。これによって内部で解決できないレコードをAzureデフォルトのDNSサーバに参照しにいくようになるので、Azure Private DNSに登録されているレコードを参照できるようになります。(よってPrivate LinkでAzureのPaaSサービスに接続できる。)

WindowsのDNSサーバでフォワーダー設定を行う際は以下のように設定します。

ケース2:参照先のDNSサーバがAzureネットワーク以外(オンプレミスない)にある場合

アプリケーションの要件上、仮想ネットワークの参照先のDNSとして社内のDNSサーバを参照するよう設定することもあるかと思います。これだとAzureデフォルトのDNSサーバを参照しないためAzure Private DNSのレコードを参照できません。

(そのためPrivate LinkでAzureのPaaSサービスに接続できない)

「先ほどの“ケース1:”のように社内のDNSサーバにフォワーダー設定をすればいいのでは?」という思うかもしれませんが、(これもまたややこしい話ですが…)Azure上のデフォルトのDNSサーバ(168.63.120.16)にはAzureの仮想ネットワークからしか参照することはできません。

このような場合はAzureの仮想ネットワークにDNSサーバを作成して仮想ネットワークの参照先のDNSサーバとして、それを設定します。そのDNSサーバにて条件付きフォワーダーを構成することで、社内のDNSとAzure Private DNS両方のレコードを参照できるようになります。(よってPrivate LinkでAzureのPaaSサービスに接続できる。)

構成としては以下のようになるかと思います。シンプルいうと要求されたFQDNに応じて参照先のDNSサーバをルーティングさせるということです。

 

 

少々長くなりましたが、Azure Private Linkを構成するにあたっては以下の点を注意してもらえると幸いです。

 

  1. Azure Private LinkでAzureのPaaSサービスにアクセスする際はFQDNで名前解決できる必要がある。
  2. 上記のレコードはAzure Private DNSのレコードに登録することが推奨されている。
  3. Azure Private DNSにはAzureデフォルトのDNSサーバ(168.63.129.16)経由でしか参照できない。
  4. 仮想ネットワークの参照先のDNSサーバがデフォルトでない場合、フォワーダーもしくは条件付きフォワーダーの構成を検討する。

Azure Private LinkとAzure Private DNSの統合についての詳細は以下のドキュメントを参照ください。

Azure プライベート エンドポイントの DNS 構成

 

以上 今回はここまでになります。またの機会にお会いしましよう!。

いいね (この記事が参考になった人の数:1)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください