Azure Private Endpointは、PaaSのプライベートIPを仮想ネットワークの中に持たせることでPaaSへの接続をセキュアに実現する手段です。
異なるテナント、異なるサブスクリプション間でBlob Storageへのプライベートエンドポイント接続を試したので手順を残します。
構成
- Subscription Bに作成したBlobへ、Subscription Aのプライベートエンドポイント経由でアクセスできればOKです。Blobはパブリックアクセスは無効にします。
事前準備
- Subscription Aの仮想ネットワークと接続確認用VMは事前に作成しておきます。
Blob Storage作成(Subscription B)
- 作成手順は割愛しますが、以下2つの設定を入れています。
- testコンテナーをプライベートアクセスレベルで作成し、配下にファイル配置
- [ネットワーク]から、パブリックネットワークアクセスを無効に設定
- testコンテナーをプライベートアクセスレベルで作成し、配下にファイル配置
- [設定]→[エンドポイント]の順に選択し、[ストレージアカウントリソースID]をメモしておきます。(後ほど使います)
プライベートエンドポイント作成(Subscription A)
-
Azure Portalから[プライベートリンクサービス]を選択します。
-
[プライベートエンドポイント]→[作成]の順に選択します。
-
プライベートエンドポイント名を入力します。
-
[リソースIDまたはエイリアスを使ってAzureリソースに接続します]を選択します。
-
事前にメモした[ストレージアカウントリソースID]を入力します。
-
対象サブリソースに[blob]と入力し、要求メッセージに任意のメッセージを入力します。(後ほどSubscription A側でメッセージを確認します)
-
仮想ネットワークとサブネットは事前に準備したものを指定します。
-
クロステナントのポイントとして、プライベートDNS統合が自動設定できません。後ほど触れますがプライベートDNS設定を手動で行う必要があります。
-
ここまで設定したらプライベートエンドポイントを作成します。作成するとSubscription BのBlobに接続要求が飛びます。
-
プライベートエンドポイント画面にいくと、プライベートIPアドレスが割り振られているのでメモしておきます。
プライベートエンドポイント接続承認(Subscription B)
-
Blobストレージ左メニューから[ネットワーク]を選択します。
-
[プライベートエンドポイント]を選択すると、[保留中]の接続が確認できます。
-
対象の接続にチェックを入れ、[承認]を選択します。
-
[承認済み]に変わればOKです。
プライベートDNS設定(Subscription A)
-
このままだとVMは名前解決のときにパブリックIPを引いてきてしまいます。プライベートDNSを作成し、仮想ネットワークとリンクさせることで、プライベートIPを引いてくるようにします。
-
Azure Portalから[プライベートDNSゾーン]を選択し、作成します。
-
プライベートDNS名を[privatelink.blob.core.windows.net]として作成します。
-
プライベートDNSゾーンが作成されたら[レコードセット]を選択します。
-
[名前]にはSubscription Bで作成したBlobストレージのアカウント名を入力します。
-
Aレコードを選択、TTLは10秒とし、IPアドレスには事前にメモしたプライベートエンドポイントのIPを入力します。
-
[仮想ネットワークリンク]を選択し追加します。
-
任意のリンク名を入力します。
-
VMが配置された仮想ネットワークを指定します。
-
リンクの状態が[完了]になればOKです。
疎通確認
- VMにアクセスしプライベートIPが引けていることを確認します。
# nslookup [ストレージアカウント名].blob.core.windows.net
- ストレージアカウントのアクセスキーを使ってアクセスできればOKです
# az storage blob list --container-name [コンテナー名] --account-name [ストレージアカウント名] --account-key [アクセスキー]
- クロスアカウントでのマネージドIDは使えないので、アクセスキーかSASでのアクセスになりそうですね。
以上