Azure CLI で Private Link を使用して Azure Front Door Premium をストレージ アカウントの配信元に接続する

この記事では、Azure CLI で Azure Private Link を使用して、ストレージ アカウントにプライベート接続するように Azure Front Door Premium を構成する方法をステップバイステップで説明します。

前提条件

• Azure Cloud Shell で Bash 環境を使用します。 詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。

  

• CLI リファレンス コマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。 詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。

  • ローカル インストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。 認証プロセスを完了するには、ターミナルに表示される手順に従います。 その他のサインイン オプションについては、Azure CLI でのサインインに関するページを参照してください。

  • 初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。 拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。

  • az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。 最新バージョンにアップグレードするには、az upgrade を実行します。

前提条件:

• アクティブな Azure サブスクリプション。 無料アカウントを作成します。
• 機能している Azure Front Door Premium プロファイル、エンドポイント、配信元グループ。 セットアップ手順については、「Azure Front Door を作成する - CLI」を参照してください。
• プライベート ストレージ アカウント。 ガイダンスは、このドキュメントを参照してください。

Note

プライベート エンドポイントでは、ストレージ アカウントが特定の要件を満たす必要があります。 詳細については、Azure Storage でのプライベート エンドポイントの使用に関する記事を参照してください。

Azure Front Door Premium でストレージ アカウントへの Private Link を有効にする

az afd origin create コマンドを実行して、Azure Front Door の 新しい配信元を作成します。 次の設定を使用して、プライベート接続用のストレージ アカウントを構成します。 private-link-location が使用可能なリージョンのいずれかにあり、private-link-sub-resource-type がblobとなっていることを確認します。

az afd origin create --enabled-state Enabled \
                     --resource-group myRGFD \
                     --origin-group-name og1 \
                     --origin-name mystorageorigin \
                     --profile-name contosoAFD \
                     --host-name mystorage.blob.core.windows.net \
                     --origin-host-header mystorage.blob.core.windows.net \
                     --http-port 80 \
                     --https-port 443 \
                     --priority 1 \
                     --weight 500 \
                     --enable-private-link true \
                     --private-link-location EastUS \
                     --private-link-request-message 'AFD storage origin Private Link request.' \
                     --private-link-resource /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage \
                     --private-link-sub-resource-type blob 

Azure Storage からの Azure Front Door Premium プライベート エンドポイント接続を承認する

1. az network private-endpoint-connection list コマンドを実行して、ストレージ アカウントのプライベート エンドポイント接続を一覧表示します。 出力のプライベート エンドポイント接続の Resource ID をメモしておきます。

   az network private-endpoint-connection list --name mystorage --resource-group myRGFD --type Microsoft.Storage/storageAccounts
   

2. az network private-endpoint-connection approve コマンドを実行して、プライベート エンドポイント接続を承認します。

   az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.00000000-0000-0000-0000-000000000000
   

3. 承認後、接続が完全に確立されるまで数分かかる場合があります。 接続が確立されると、Azure Front Door Premium からストレージ アカウントにアクセスできます。 プライベート エンドポイントが有効になると、ストレージ アカウントへのパブリック インターネット アクセスは無効になります。

Note

ストレージ アカウント内の BLOB またはコンテナーで匿名アクセスが許可されていない場合は、要求の承認が必要になります。 要求を承認する方法の 1 つは、Shared Access Signature を使用することです。

次のステップ

ストレージ アカウントとの Private Link サービスの詳細をご確認ください。