AZ700-PVT#4
Storage Account に Private Endpoint を構築して、VNet 経由でプライベート アクセスを実現する手順を正しい順序に並べてください。
- VNet とサブネットを準備 (PE 用サブネット)
- Storage Account に対する Private Endpoint を作成
- Private DNS Zone (privatelink.blob.core.windows.net) を作成 + VNet にリンク
- Private DNS Zone Group を構成して A レコード自動登録
解説
【正しい順序】
- ステップ 1: VNet + サブネット準備
- ステップ 2: Private Endpoint 作成
- ステップ 3: Private DNS Zone 作成 + VNet リンク
- ステップ 4: Private DNS Zone Group 構成
【各ステップの理由】
- ステップ 1 VNet + サブネット準備: Private Endpoint を配置する VNet とサブネットを準備します。サブネットには PrivateEndpointNetworkPolicies を Disabled に設定する必要があります。
- ステップ 2 Private Endpoint 作成: 対象 Storage Account に対し Private Endpoint を作成し、サブネットから Private IP を取得します。
- ステップ 3 Private DNS Zone 作成 + VNet リンク: privatelink.blob.core.windows.net 等の Microsoft 推奨ゾーンを作成し、VNet にリンクして VNet 内 DNS 解決を有効化します。
- ステップ 4 Private DNS Zone Group 構成: Private Endpoint と Private DNS Zone を結び付け、A レコードを自動登録します。これにより、PE プライベート IP の解決が VNet 内で機能します。
【誤った順序の問題点】
- Private DNS Zone を先に作成しない: PE 作成時に Zone Group を関連付けられず、DNS 解決が自動化されません。
- Zone Group を構成しない: PE プライベート IP の A レコードが Zone に登録されず、Hostname での解決が失敗します。
コメント