Azure App Configuration の プライベート エンドポイントを 使用して、仮想ネットワーク内のクライアントが プライベート リンク経由でデータにアクセスできるようにします。 プライベート エンドポイントは、App Configuration ストアの仮想ネットワーク アドレス空間の IP アドレスを使用します。 仮想ネットワーク上のクライアントと App Configuration ストア間のネットワーク トラフィックは、Microsoft バックボーン ネットワーク上のプライベート リンクを使用して仮想ネットワークを走査します。 この取り決めにより、パブリック インターネットへの露出がなくなります。
App Configuration ストアにプライベート エンドポイントを使用すると、次のことができます。
- パブリック エンドポイント上の App Configuration へのすべての接続をブロックするようにファイアウォールを構成することで、アプリケーション構成の詳細をセキュリティで保護します。
- 仮想ネットワークのセキュリティを強化し、データが仮想ネットワークからエスケープされないようにします。
- 仮想ネットワークに接続するために、プライベート ピアリングで Azure VPN Gateway または Azure ExpressRoute を使用する App Configuration ストアとオンプレミス ネットワーク間の接続のセキュリティを強化します。
プライベート エンドポイントの可用性は、App Configuration レベルによって異なります。
| レベル | プライベート エンドポイントの最大数 |
|---|---|
| Free | 0 |
| Developer | 1 |
| Standard | 10 |
| Premium | 40 |
価格の詳細については、「 Azure App Configuration の価格」を参照してください。
概念の概要
プライベート エンドポイントは、 Azure Virtual Network の Azure サービス用の特別なネットワーク インターフェイスです。 App Configuration ストアのプライベート エンドポイントを作成すると、仮想ネットワーク上のクライアントと構成ストアの間にセキュリティで保護された接続を提供するのに役立ちます。 プライベート エンドポイントには、仮想ネットワークの IP アドレス範囲から IP アドレスが割り当てられます。 プライベート エンドポイントと構成ストア間の接続では、プライベート リンクを使用してセキュリティを最適化します。
仮想ネットワーク内のアプリケーションは、 それ以外の場合に使用するのと同じ接続文字列と承認メカニズムを使用して、プライベート エンドポイント経由で構成ストアに接続できます。 App Configuration ストアでサポートされているすべてのプロトコルでプライベート エンドポイントを使用できます。
App Configuration はサービス エンドポイントをサポートしていませんが、サービス エンドポイントを使用するサブネットにプライベート エンドポイントを作成できます。 サブネット内のクライアントは、プライベート エンドポイントを使用して App Configuration ストアに接続し、サービス エンドポイントを使用して他のサービスにアクセスできます。
仮想ネットワーク内のサービスのプライベート エンドポイントを作成すると、同意要求がサービス アカウント所有者に承認のために送信されます。 プライベート エンドポイントの作成を要求しているユーザーがアカウントのオーナーでもある場合、この同意要求は自動的に承認されます。
サービス アカウントの所有者は、 Azure portal で同意要求とプライベート エンドポイントを管理できます。 プライベート エンドポイントの設定は、App Configuration ストアに移動し、[設定]、[>]、[プライベート アクセス] タブの順に選択して確認できます。
App Configuration でのプライベート エンドポイント
プライベート エンドポイントを作成するときは、接続先の App Configuration ストアを指定する必要があります。 App Configuration ストアの geo レプリケーションを有効にした場合は、同じプライベート エンドポイントを使用してストアのすべてのレプリカに接続できます。 複数の App Configuration ストアがある場合は、ストアごとに個別のプライベート エンドポイントが必要です。
ジオレプリケートされた App Configuration ストアに関する考慮事項
App Configuration ストアで geo レプリケーションが有効になっている場合は、1 つのプライベート エンドポイントを使用してすべてのレプリカに接続できます。 ただし、プライベート エンドポイントはリージョン リソースです。 その結果、この方法では、リージョンの停止中に接続が保証されない可能性があります。
回復性を強化するには、配信元ストアのプライベート エンドポイントに加えて、geo レプリケート ストアの各レプリカにプライベート エンドポイントを作成することを検討してください。 1 つのリージョンが使用できなくなった場合、クライアントはレプリカと同じリージョンにプロビジョニングされたプライベート エンドポイントを介してストアにアクセスできます。 このセットアップを使用する場合は、 ドメイン ネーム システム (DNS) を変更する必要があります。 具体的には、各レプリカのエンドポイントは、そのレプリカのリージョン内のプライベート エンドポイントに関連する IP アドレスに解決される必要があります。
プライベート エンドポイント接続
Azure は DNS 解決に依存して、プライベート リンク経由で仮想ネットワークから構成ストアに接続をルーティングします。 Azure ポータルで接続文字列を見つけるには、App Configuration ストアを選択し、設定>アクセス設定を選択します。
重要
プライベート エンドポイントを使用して App Configuration ストアに接続する場合は、パブリック エンドポイントに使用するのと同じ接続文字列を使用します。
privatelinkサブドメイン URL を使用してストアに接続しないでください。
注記
既定では、App Configuration ストアにプライベート エンドポイントを追加すると、パブリック ネットワーク経由の App Configuration データに対するすべての要求が拒否されます。 次の Azure CLI コマンドを使用して、公衆ネットワーク アクセスを有効にすることができます。 このシナリオでは、パブリック ネットワーク アクセスを有効にすることによるセキュリティへの影響を考慮する必要があります。
az appconfig update --resource-group <resource-group-name> --name <App-Configuration-store-name> --enable-public-network true
プライベート エンドポイントの DNS の変更
プライベート エンドポイントを作成すると、構成ストアの DNS CNAME リソース レコードは、プレフィックス privatelink を持つサブドメイン内のエイリアスに更新されます。 Azure では、 サブドメインに対応するprivatelinkも作成されます。 プライベート DNS ゾーンには、プライベート エンドポイントの DNS A リソース レコードが含まれています。 geo レプリケーションを有効にすると、Azure によってレプリカごとに個別の DNS レコードが作成されます。 各レコードには、プライベート DNS ゾーン内に一意の IP アドレスがあります。
プライベート エンドポイントをホストする仮想ネットワーク内からエンドポイント URL を解決すると、エンドポイント URL はストアのプライベート エンドポイントに解決されます。 仮想ネットワークの外部からエンドポイント URL を解決すると、エンドポイント URL はパブリック エンドポイントに解決されます。 プライベート エンドポイントを作成すると、パブリック エンドポイントは無効になります。
ネットワーク上でカスタム DNS サーバーを使用する場合は、仮想ネットワークのプライベート DNS ゾーンに privatelink サブドメインを委任するように構成する必要があります。 または、ストアのプライベート リンク URL の A レコードを構成することもできます。 これらの A レコードは、次の形式を使用します。
-
配信元ストアの
<App-Configuration-store-name>.privatelink.azconfig.io。 -
<App-Configuration-store-name>-<replica-name>.privatelink.azconfig.ioジオレプリケーションが有効になっている場合、各レプリカに対して。 各プライベート エンドポイントには、一意のプライベート IP アドレスがあります。
価格
プライベート エンドポイントを有効にするには、 Developer、Standard、または Premium レベルの App Configuration ストアが必要です。 プライベート リンクの価格の詳細については、 Azure Private Link の価格に関するページを参照してください。
リソース プロバイダーの登録エラーのトラブルシューティング
App Configuration リソース プロバイダーが登録されていないサブスクリプションの App Configuration ストアにプライベート エンドポイントを接続すると、次のメッセージが表示されます。
"プライベート エンドポイントのサブスクリプション 'aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e' は、リソース プロバイダー 'Microsoft.AppConfiguration.' を使用するように登録されていません。
通常、このメッセージは、プライベート エンドポイントと App Configuration ストアが異なるサブスクリプションにある場合に表示されます。 この状況を解決するには、次の手順を実行します。
- プライベート エンドポイントのサブスクリプションに
Microsoft.AppConfigurationリソース プロバイダーを登録します。 - プライベート エンドポイントを App Configuration ストアに再接続します。
リソース プロバイダーへのサブスクリプションの登録の詳細については、「リソース プロバイダーの 登録」を参照してください。
次のステップ
App Configuration ストアのプライベート エンドポイントを作成する方法については、次の記事を参照してください。
- Azure portal を使用してプライベート エンドポイントを作成する
- Azure CLI を使用してプライベート エンドポイントを作成する
- Azure PowerShell を使用してプライベート エンドポイントを作成する
プライベート エンドポイントを使用して DNS サーバーを構成する方法については、次の記事を参照してください。