プライベート エンドポイントを DNS と統合する

完了

プライベート DNS ゾーンは通常、ハブ VNet がデプロイされている同じ Azure サブスクリプションで、一元的にホストされます。 この中央ホスティング プラクティスは、クロスプレミス DNS 名前解決や、Active Directory などの中央の DNS 解決に対するその他のニーズによって推進されます。 ほとんどの場合、これらのゾーンで DNS レコードを管理するアクセス許可はネットワークまたは ID 管理者のみに与えられています。

Azure プライベート エンドポイントの DNS 構成

次の図は、中央 DNS 解決によるエンタープライズ環境の一般的なアーキテクチャの概要を示しており、そこでは Private Link リソースの名前解決が、Azure プライベート DNS 経由で行われます。

一元化された DNS 解決を使用し、Private Link リソースの名前解決が Azure プライベート DNS 経由で実行されるエンタープライズ環境のワークフローの概要図。

前の図では、次の点に注目することが重要です。

  • オンプレミスの DNS サーバーには、プライベート エンドポイントのパブリック DNS ゾーン フォワーダーごとに、条件付きフォワーダーが構成されており、ハブ VNet 内でホストされている DNS フォワーダー (10.100.2.4 と 10.100.2.5) を指しています。
  • ハブ VNet でホストされている DNS サーバー 10.100.2.4 および 10.100.2.5 では、Azure 提供の DNS リゾルバー (168.63.129.16) がフォワーダーとして使用されます。
  • すべての Azure VNet には、プライマリおよびセカンダリ DNS サーバーとして構成された DNS フォワーダー (10.100.2.4 および 10.100.2.5) があります。
  • アプリケーション チームがサブスクリプションに必要な Azure PaaS リソースを自由に作成できるようにするために、次の 2 つの条件が満たされている必要があります。
  • 中央ネットワークまたは中央プラットフォーム チームは、アプリケーション チームだけがプライベート エンドポイント経由で Azure PaaS サービスをデプロイし、アクセスできるようにする必要があります。
  • 中央ネットワークまたは中央プラットフォーム チームは、プライベート エンドポイントが作成されるたびに、対応するレコードが、作成されたサービスと一致する中央管理プライベート DNS ゾーンに自動的に作成されるようにする必要があります。
  • DNS レコードは、プライベート エンドポイントのライフサイクルに従い、プライベート エンドポイントが削除されたら、DNS レコードが自動的に削除される必要があります。

IP アドレス 168.63.129.16 の意味

IP アドレス 168.63.129.16 は、Azure プラットフォーム リソースへの通信チャネルの使用を容易にするために使用される仮想パブリック IP アドレスです。 お客様は、Azure でプライベート仮想ネットワーク用に任意のアドレス空間を定義できます。 Azure プラットフォーム リソースは、一意のパブリック IP アドレスとして提示される必要があります。 この仮想パブリック IP アドレスによって、次のことが容易になります。

  • VM エージェントが Azure プラットフォームと通信して、それが "準備完了" 状態にあることを通知できるようにする
  • カスタム DNS サーバーが存在しないリソース (VM など) にフィルター処理された名前解決を提供するために、DNS 仮想サーバーとの通信を有効にする。 このフィルター処理により、お客様が自分のリソースのホスト名だけを解決できるようになります
  • Azure Load Balancer の正常性プローブが VM の正常性状態を特定できるようにする
  • VM が、Azure の DHCP サービスから動的 IP アドレスを取得できるようにする
  • PaaS ロールに対するゲスト エージェントのハートビート メッセージを有効にする

Azure サービス プライベート DNS ゾーンの構成例

Azure により、パブリック DNS に正規名の DNS レコード (CNAME) が作成されます。 CNAME レコードからプライベート ドメイン名に解決がリダイレクトされます。 この解決は、プライベート エンドポイントのプライベート IP アドレスでオーバーライドすることができます。

アプリケーションで接続 URL を変更する必要はありません。 パブリック DNS サービスに解決すると、DNS サーバーによってプライベート エンドポイントに解決されます。 このプロセスは既存のアプリケーションには影響しません。

特定の種類にプライベート DNS ゾーンを既に使用しているプライベート ネットワークは、プライベート エンドポイント接続が与えられていない場合、パブリック リソースにのみ接続できます。それ以外の場合、DNS 解決シーケンスを完了するには、プライベート DNS ゾーンに、対応する DNS 構成が必要になります。

Azure サービスについては、ドキュメントに記載されている推奨ゾーン名を使用してください。

DNS の構成シナリオ

サービスの FQDN は、自動的にパブリック IP アドレスに解決されます。 プライベート エンドポイントのプライベート IP アドレスに解決するには、DNS 構成を変更します。

DNS は、プライベート エンドポイント IP アドレスを正常に解決することでアプリケーションを正しく動作させるために不可欠なコンポーネントです。

お客様の設定に応じて、DNS 解決の統合では次のシナリオを利用できます。

DNS フォワーダーを使用しているオンプレミスのワークロード

オンプレミスのワークロードでプライベート エンドポイントの FQDN を解決するには、DNS フォワーダーを使用して、Azure 内で Azure サービス パブリック DNS ゾーンを解決します。 DNS フォワーダーは、プライベート DNS ゾーンにリンクされている仮想ネットワークで実行されている仮想マシンで、他の仮想ネットワークまたはオンプレミスからの DNS クエリをプロキシできます。 クエリが Azure DNS に仮想ネットワークから生成される必要があるため、これが必要になります。 DNS プロキシのオプションには、DNS サービスを実行する Windows、DNS サービスを実行する Linux、Azure Firewall があります。

次のシナリオは、Azure に DNS フォワーダーがあるオンプレミス ネットワーク用です。 このフォワーダーにより、サーバーレベルのフォワーダー経由の DNS クエリが、Azure で提供される DNS 168.63.129.16 に解決されます。

このシナリオでは、Azure SQL Database から推奨されるプライベート DNS ゾーンを使用します。 その他のサービスの場合、次のリファレンスを使用してモデルを調整できます (「Azure サービス DNS ゾーンの構成」)。

適切に構成するには、次のリソースが必要です。

  • オンプレミス ネットワーク
  • オンプレミスに接続された仮想ネットワーク
  • Azure にデプロイされた DNS フォワーダー
  • プライベート DNS ゾーン privatelink.database.windows.net とタイプ A レコード
  • プライベート エンドポイント情報 (FQDN レコード名とプライベート IP アドレス)

次の図は、オンプレミス ネットワークからの DNS 解決シーケンスを示しています。 この構成では、Azure にデプロイされた DNS フォワーダーを使用します。 この解決は、仮想ネットワークにリンクされたプライベート DNS ゾーンによって行われます。

Azure にデプロイされた DNS フォワーダーを使用したオンプレミス ネットワークからの DNS 解決シーケンスを示す図。

Azure DNS Private Resolver を使用する仮想ネットワークとオンプレミスのワークロード

DNS Private Resolver を使用する場合、DNS フォワーダー VM は必要ありません。Azure DNS はオンプレミスのドメイン名を解決できます。

次の図では、ハブスポーク ネットワーク トポロジで DNS Private Resolver を使用しています。 ベスト プラクティスとして、Azure ランディング ゾーンの設計パターンでは、この種のトポロジを使用することをお勧めします。 ハイブリッド ネットワーク接続は、 Azure ExpressRoute と Azure Firewall を使用して確立されます。 このセットアップにより、セキュリティ保護されたハイブリッド ネットワークが提供されます。 DNS Private Resolver はハブ ネットワークに配置されます。

Azure DNS Private Resolver を使用するオンプレミスのワークロードを示す図。

自分の知識をチェックする

1.

プライベート エンドポイント DNS を構成するための情報を含むプライベート エンドポイントに関連付けられているリソースは何ですか?

2.

IP アドレス 168.63.129.16 の意味は何ですか?