プライベート エンドポイント接続を追加する

Azure Database for PostgreSQL - フレキシブル サーバーは、Azure Private Link サービスです。 そのため、クライアント アプリケーションが Azure Database for PostgreSQL フレキシブル サーバーにプライベートかつ安全に接続できるように、プライベート エンドポイントを作成できます。

Azure Database for PostgreSQL フレキシブル サーバーへのプライベート エンドポイントは、Azure 仮想ネットワークのサブネットに挿入できるネットワーク インターフェイスです。 ネットワーク トラフィックをそのサブネットにルーティングできるホストまたはサービスは、ネットワーク トラフィックがインターネットを通過する必要がないように、フレキシブル サーバーと通信できます。 トラフィックはすべて、Microsoft バックボーンを使用してプライベートに送信されます。

Azure Private Link と Azure プライベート エンドポイントの詳細については、「Azure Private Link についてよく寄せられる質問」を参照してください。

ポータル

Azure portal を使用して以下を実行します。

1. お使いの Azure Database for PostgreSQL フレキシブル サーバーを選択します。

2. リソース メニューで、[概要] を選択します。

   

3. [ネットワーク] メニュー オプションを有効にするには、サーバーの状態が使用可能である必要があります。

   

4. サーバーの状態が使用可能ではない場合、[ネットワーク] オプションは無効になります。

   

Note

状態が使用可能以外のサーバーのネットワーク設定を構成しようとすると、エラーが発生し失敗します。

5. [リソース] メニューで [ネットワーク] を選択します。

   

6. プライベート エンドポイントをデプロイするために必要なアクセス許可がある場合は、[プライベート エンドポイントの追加] を選択して作成できます。

   

Note

プライベート エンドポイントをデプロイするために必要なアクセス許可については、「Azure Private Link の Azure RBAC アクセス許可」を参照してください。

7. [基本] ページで、必要なすべての詳細を入力します。 その後、[次へ: リソース] を選択します。

   

8. 次の表を使用して、[基本情報] ページで使用できるさまざまなフィールドの意味を理解し、ページに入力するためのガイドとして使用します。

   設定	提案された値	説明
   サブスクリプション	リソースを作成するサブスクリプションの名前を選択します。 サーバーがデプロイされているサブスクリプションが自動的に選択されます。	サブスクリプションは、1 つ以上の Microsoft クラウド プラットフォームまたはサービスを使用するための Microsoft との契約であり、料金はユーザーごとのライセンス料金またはクラウドベースのリソース使用量に基づいて発生します。 複数のサブスクリプションをお持ちの場合は、リソースの課金対象となるサブスクリプションを選択します。
   リソース グループ	選択されたサブスクリプション内の、プライベート エンドポイントを作成するリソース グループ。 既存のリソース グループにすることも、[新規作成] を選択して、そのサブスクリプション内で既存のリソース グループ名と重複しない名前を指定することもできます。 サーバーがデプロイされているリソース グループが自動的に選択されます。	リソース グループは、Azure ソリューションの関連するリソースを保持するコンテナーです。 リソース グループには、ソリューションのすべてのリソースか、グループとして管理したいリソースのみを含めることができます。 組織のニーズに合わせてリソースをリソース グループに割り当てる方法を指定してください。 通常は、同じライフサイクルを共有するリソースを同じリソース グループに追加して、グループとして簡単にデプロイ、更新、および削除できるようにします。
   名前	プライベート エンドポイントに割り当てる名前。	Azure Database for PostgreSQL フレキシブル サーバーへの接続に使用できるプライベート エンドポイントを識別する一意の名前。
   ネットワーク インターフェイス名	プライベート エンドポイントに関連付けられているネットワーク インターフェイスに割り当てる名前。	プライベート エンドポイントに関連付けられているネットワーク インターフェイスを識別する一意の名前。
   リージョン	Azure Database for PostgreSQL - フレキシブル サーバーのプライベート エンドポイントを作成できるリージョンの 1 つの名前。	選択するリージョンは、プライベート エンドポイントをデプロイする予定の仮想ネットワークのリージョンと一致している必要があります。

9. [リソース] ページで、必要なすべての詳細を入力します。 次に、[次へ: 仮想ネットワーク] を選択します。

   

10. 次の表を使用して、[リソース] ページで使用できるさまざまなフィールドの意味を理解し、ページに入力するためのガイダンスとして使用します:

    設定	提案された値	内容
    リソースの種類	自動的に Microsoft.DBforPostgreSQL/flexibleServers に設定されます	この値は自動的に選択され、Azure Private Link の視点から、Azure Database for PostgreSQL フレキシブル サーバーのリソースの種類に対応します。
    リソース	プライベート エンドポイントを作成する Azure Database for PostgreSQL フレキシブル サーバーの名前に自動的に設定されます。	プライベート エンドポイントの接続先となるリソースの名前。
    ターゲット サブリソース	postgresqlServer に自動的に設定されます。	プライベート エンドポイントがアクセスできる、選択されたリソースのサブリソースの種類。

11. [仮想ネットワーク] ページで、必要なすべての詳細を入力します。 次に、[次へ: DNS] を選択します。

    

12. 次の表を使用して、[仮想ネットワーク] ページで使用できるさまざまなフィールドの意味を理解し、ページに入力するためのガイダンスとして使用します:

    設定	提案された値	説明
    仮想ネットワーク	選択されたサブスクリプションとリージョンで使用可能な (アルファベット順で) 最初の仮想ネットワークに自動的に設定されます。	現在選択されているサブスクリプションとリージョンの、アクセス許可がある仮想ネットワークのみが一覧表示されます。
    サブネット	プライベート エンドポイントを作成する Azure Database for PostgreSQL フレキシブル サーバーの名前に自動的に設定されます。	現在選択されている仮想ネットワークのサブネットのみが一覧表示されます。
    プライベート エンドポイントのネットワーク ポリシー	既定では、仮想ネットワーク内のサブネットに対してネットワーク ポリシーは無効になっています。 ネットワーク ポリシーは、ネットワーク セキュリティ グループのみ、ユーザー定義ルートのみ、またはその両方に対して有効にすることができます。	ユーザー定義ルートやネットワーク セキュリティ グループのサポートなどのネットワーク ポリシーを使用するには、サブネットに対してネットワーク ポリシーのサポートを有効にする必要があります。 この設定は、サブネット内のプライベート エンドポイントにのみ適用され、サブネット内のすべてのプライベート エンドポイントに影響します。 サブネット内の他のリソースについては、ネットワーク セキュリティ グループのセキュリティ規則に基づいてアクセスが制御されます。 詳細については、「プライベート エンドポイントのネットワーク ポリシーを管理する」を参照してください。
    プライベート IP 構成	選択されたサブネットに割り当てられた範囲内の使用可能な IP アドレスの 1 つを動的に割り当てるように、自動的に設定されます。	この IP アドレスは、プライベート エンドポイントに関連付けられているネットワーク インターフェイスに割り当てられた IP アドレスです。 選択されたサブネットに割り当てられた範囲から動的に割り当てることも、特定のアドレスを割り当てるように指定することもできます。 プライベート エンドポイントの作成後は、作成時に選択した割り当てモードにかかわらず、IP アドレスを変更することはできません。
    アプリケーション セキュリティ グループ	既定では、アプリケーション セキュリティ グループは割り当てられていません。 既存のものを選択することも、作成して割り当てることもできます。	アプリケーション セキュリティ グループを使用すると、ネットワーク セキュリティをアプリケーションの構造の自然な拡張として構成でき、バーチャルマシンをグループ化して、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。 明示的な IP アドレスを手動でメンテナンスせずに、大きなセキュリティ ポリシーを再利用することができます。 このプラットフォームは、明示的なIPアドレスと複数のルールセットの複雑さを処理するため、ビジネスロジックに集中することができます。 詳細については、「アプリケーション セキュリティ グループ」を参照してください。

13. [DNS] ページで、必要なすべての詳細を入力します。 次に、[次へ: タグ] を選択します。

    

14. 次の表を使用して、[DNS] ページで使用できるさまざまなフィールドの意味を理解し、ページに入力するためのガイダンスとして使用します:

    設定	提案された値	説明
    プライベート DNS ゾーンとの統合	既定で有効です。	プライベート エンドポイントを Azure プライベート DNS ゾーンに統合する場合は [はい] を、独自の DNS サーバーを使用するか、プライベート エンドポイント経由で接続するマシンのホスト ファイルを使用してエンドポイントの名前を解決する場合は [いいえ] を選択します。 詳細については、「プライベート エンドポイントの DNS 構成」を参照してください。 プライベート DNS ゾーンの統合を構成すると、プライベート DNS ゾーンは、プライベート エンドポイントを作成する仮想ネットワークに自動的にリンクされます。
    [構成名]	privatelink-postgres-database-azure-com に自動的に設定されます。	プライベート DNS ゾーンに関連付けられている DNS 構成に割り当てられた名前。
    サブスクリプション	プライベート DNS ゾーンを作成するサブスクリプションの名前を選択します。 サーバーがデプロイされているサブスクリプションが自動的に選択されます。	サブスクリプションは、1 つ以上の Microsoft クラウド プラットフォームまたはサービスを使用するための Microsoft との契約であり、料金はユーザーごとのライセンス料金またはクラウドベースのリソース使用量に基づいて発生します。 複数のサブスクリプションをお持ちの場合は、リソースの課金対象となるサブスクリプションを選択します。
    リソース グループ	選択されたサブスクリプション内の、プライベート DNS ゾーンを作成するリソース グループ。 既存のリソース グループである必要があります。 サーバーがデプロイされているリソース グループが自動的に選択されます。	リソース グループは、Azure ソリューションの関連するリソースを保持するコンテナーです。 リソース グループには、ソリューションのすべてのリソースか、グループとして管理したいリソースのみを含めることができます。 組織のニーズに合わせてリソースをリソース グループに割り当てる方法を指定してください。 通常は、同じライフサイクルを共有するリソースを同じリソース グループに追加して、グループとして簡単にデプロイ、更新、および削除できるようにします。
    プライベート DNS ゾーン	privatelink.postgres.database.azure.com に自動的に設定されます。	この名前は、プライベート DNS ゾーン リソースに割り当てられた名前です。

15. [タグ] ページで、必要なすべての詳細を入力します。 次に、[次へ: 確認と作成] を選択します。

    

16. 次の表を使用して、[タブ] ページで使用できるさまざまなフィールドの意味を理解し、ページに入力するためのガイドとして使用します。

    設定	提案された値	Description
    名前	空のままにします。	プライベート エンドポイントとプライベート DNS ゾーン ([DNS] ページで [プライベート DNS ゾーンの統合] を選択した場合) に割り当てるタグの名前。
    Value	空のままにします。	指定した名前を持つタグに割り当て、プライベート エンドポイントとプライベート DNS ゾーン ([DNS] ページで [プライベート DNS ゾーンの統合] を選択した場合) に割り当てる値。
    リソース	既定のままにします。	特定のタグを割り当てるリソースを選択できます。 プライベート エンドポイント、プライベート DNS ゾーン ([DNS] ページで [プライベート DNS ゾーンの統合] を選択した場合)、またはその両方を指定できます。

17. [確認と作成] ページで、すべてが希望どおりに構成されていることを確認します。 次に、[作成] を選択します。

    

18. デプロイが開始され、完了すると通知が表示されます。

    

CLI

プライベート エンドポイントをデプロイし、サーバーへのプライベート エンドポイント接続を承認するために必要なアクセス許可がある場合は、az network private-endpoint create コマンドを使用してプライベート エンドポイント接続を作成できます。

プライベート エンドポイントを作成し、そのネットワーク インターフェイスに選択されたサブネットに割り当てられた範囲から動的に IP アドレスを割り当てる方法:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

プライベート エンドポイントを作成し、そのネットワーク インターフェイスに選択されたサブネットに割り当てられた範囲から静的に IP アドレスを割り当てる方法:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

必要なアクセス許可がある場合は、プライベート エンドポイント接続が自動的に承認されます。 その場合、次のコマンドの出力に、Approved として status が、Auto-Approved として description が表示されます:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

az network private-endpoint create は、privatelink.postgres.database.azure.com プライベート DNS ゾーンが存在しない場合作成します。 また、プライベート DNS ゾーンを、プライベート エンドポイントが作成された仮想ネットワークにリンクします。 ただし、プライベート エンドポイントに DNS ゾーン グループは作成されません。必要に応じて、プライベート エンドポイントをプライベート DNS ゾーンと統合できます。 そのためには、次の操作を実行します。

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

静的に割り当てられたプライベート IP アドレスを使用してプライベート エンドポイントを作成しようとして、指定されたアドレスが他のネットワーク インターフェイスで既に使用されている場合は、次のエラーが発生します:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

プライベート エンドポイントを作成しようとして、--subscription、--resource-group、--vnet-name パラメーターを介して参照される仮想ネットワークが存在しない場合。 また、仮想ネットワークが存在するが、デプロイされているリージョンがプライベート エンドポイントをデプロイしようとしているリージョンと一致しない場合は、次のエラーが発生します:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

プライベート エンドポイントを作成しようとして、同じ名前のエンドポイントが既に存在するが、--connection-name または --vnet-name に別の値を指定した場合、次のエラーが発生します:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

プライベート エンドポイントを作成しようとして、同じ名前のエンドポイントが既に存在するが、--subnet に別の値を指定した場合、次のエラーが発生します:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

プライベート エンドポイントを作成しようとして、同じ名前のエンドポイントが既に存在するが、--location に別の値を指定した場合、次のエラーが発生します:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

関連するコンテンツ

• ネットワーク。
• パブリック アクセスを有効にします。
• パブリック アクセスを無効にします。
• ファイアウォール規則を追加します。
• ファイアウォール規則を削除します。
• プライベート エンドポイント接続を削除します。
• プライベート エンドポイント接続を承認します。
• プライベート エンドポイント接続を拒否します。