Azure プライベートエンドポイントで残念な資格勉強脱却の機運

「~のサービスは次のうちどれでしょうか。」
クラウドの認定試験やIPAの午前試験などでよくある形式です。
こういう選択問題はなんとなくで解けてしまうことも多いですよね。
私も試験勉強中は「よくわからないけど、これかな~?」と曖昧な理解で正解した時期がありました。

大量の問題演習で何とかしのいでいましたが、こんな勉強法を脱却したいと日々悶々。
そんな思いがある中、実務で触れて理解が深まったAzureの「プライベートエンドポイント」についてまとめます。

プライベートエンドポイントとは?

AzureのPaaSサービスに接続するための手段のひとつです。
仮想ネットワーク内のプライベートIPアドレスを使用してPaaSリソースに接続するために使用します。
パブリックアクセスを無効化することで、インターネット経由のアクセスを防ぐことも可能です。
つまりセキュリティ向上の利点があるわけです。

private-endpoint

 

 

 

 

 

 

 

 

 

 

 

試験勉強中はこの概念を流し読みしていましたが、そもそも「PaaSリソースとは何か?」をきちんと理解できていませんでした。
「なんとなく、インターネットを介さずに何かにアクセスできる仕組み」といった認識だったのです。それでも試験の問題には正解できてしまうので、深く考えることなく先に進んでしまっていました。

問題を解いてみる

例えば、次のような問題があるとします。

問1

仮想ネットワークのプライベートIPアドレスを使用してPaaSサービスに接続するためのサービスはどれ?

a. Azure Bastion
b. プライベートエンドポイント
c. Azure Load Balancer
d. Azure ExpressRoute

この問題では、「プライベートIPアドレス」というキーワードだけに注目して”b”のプライベートエンドポイント選んでました。なぜかPaaSサービスに接続~のくだりを読み飛ばしていたのです。これで正解してしまいます。

問2

「」の内容が正しい場合は”変更は必要ありません” そうでない場合は正しい回答を選べ
「パブリックエンドポイント」を使用すると、Azure Cosmos DBなどのPaaSサービスに接続するためのパブリックアクセスを無効にできる。

a. プライベートエンドポイント
b. 仮想ネットワークピアリング
c. Azure ExpressRoute
d. 変更は必要ありません

パブリックアクセスを無効とくればプライベートエンドポイントで”a”を選択してました。こちらでもAzure Cosmos DBなどの記載を無視して解いていたのです。

問3

次のリソースがある。

名前 リソース種別 説明
VNET1 仮想ネットワーク
VM1 仮想マシン VNET1に配置
Storage1 ストレージアカウント

VM1がプライベートIPアドレスを使用してStorage1にアクセスできるように構成するにはどれを使うべきか?

a. ユーザー割り当てマネージドID
b. Azure Firewall
c. プライベートエンドポイント
d. Application Gateway

問1と同じようにプライベートIPアドレスとくればプライベートエンドポイント”c”を選べてしまいますが、アクセス先がストレージであることに理由があったんだなぁと今になって気づきました。
自分が何を理解していて、何を見落としていたのかがよく分かります。理解して解けるようになると問題設定も結構おもしろいです。

PaaSサービスの具体例

振り返ってみると、問題の意図がより明確に見えてきます。

そもそもPaaSサービスって具体的に何のことでしょうか?
公式ドキュメント見ると。プライベートエンドポイントの文脈で出てくるPaaSサービスとは以下のサービスのことです。

  • Azure Storage
  • Azure Cosmos DB
  • Azure SQL データベース
  • Private Link サービスを使用する独自のサービス

プライベート エンドポイントとは – Azure Private Link | Microsoft Learn

実務でストレージにプライベートIPを付与する場面を見たことで、やっとこの概念を理解できました。
文字情報だけでは気づけないことも多いと痛感しました。

デモ

自分でもストレージアカウントにプライベートIPアドレス付与してみようと思います。

1. ストレージアカウントの左ペインからセキュリティとネットワークを開き、ネットワークを選択。
プライベートエンドポイント接続、+プライベートエンドポイントを押下します。

pri-end-demo1

 

 

 

 

 

 

 

 

 

 

2.基本タブ入力。
名前を入力するとネットワークインターフェイス名が自動で作成された。

pri-end-demo2

 

 

 

 

 

 

 

3.リソースタブでは対象サブリソースで、ストレージの種類選択。今回はblobになります。

pri-end-demo3

 

 

 

 

 

 

 

 

4. 仮想ネットワークタブではプライベートエンドポイントを作成するサブネットを指定。
このサブネット上にプライベートエンドポイント作成されプライベートIPアドレスが構成されます。

pri-end-demo4

 

 

 

 

 

 

 

 

 

 

5. DNSタブではプライベートDNSゾーンと統合するではいを選択。DNSレコードが自動で構成されます。

pri-end-demo5

 

 

 

 

 

 

6.確認。
プライベートIPアドレス10.0.156.4が付与されました。

pri-end-demo6

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

pri-end-demo7

 

 

 

 

pri-end-demo8

 

 

 

 

 

 

7.プライベート経由のアクセス許可の確認

プライベートエンドポイントと同じ仮想ネットワーク上のVMへリモートデスクトップ接続してnslookup コマンド実施。
以下のようにプライベートIPアドレスが応答される。

nslook1

 

 

 

 

自分のPCからnslookup実行するとパブリックIPアドレスが応答され、ストレージにアクセスできない。

nslook2

 

 

 

 

 

さいごに

3月にAZ-305(Microsoft Certified: Azure Solutions Architect Expert)を受験します。
AZ-104よりも要件が複雑になっているので、理解しながら解けるようになろうと思います。
ふんわりした資格勉強から卒業し、実務で活かせる知識を身につけるために、しっかりとした学習を進めていきます。

著者について

2024年4月入社。
現在はAzureの案件に取り組んでいます。
保有資格:応用情報技術者、簿記二級、TOEIC 865点、AZ-104

冨岡 虎太朗をフォローする

クラウドに強いによるエンジニアブログです。

SCSKクラウドサービス(Azure)は、Azureを最大限活用するためのオールインワンサービスです。40年以上の様々なシステム構築・運用実績で得た業界理解と、Azure構築ナレッジを強みに、クラウドへの移行から運用までトータルでサポートし、お客様のAzure活用を実現します。

Azureクラウド
Azureプライベートエンドポイント
シェアする
TechHarmony
タイトルとURLをコピーしました