WEB問題集
Azure Storage Account へ Public Internet を経由せず VNet 内部からプライベート IP で接続したい場合、推奨される機能はどれですか?
解説
【正解: B】の理由
Private Endpoint は対象 PaaS リソース (Storage / SQL / Cosmos DB 等) に対して VNet 内のプライベート IP を持つ NIC を作成し、VNet 経由でプライベート アクセスを実現する機能です。これにより、Public Internet を完全に排除した Zero Trust ネットワークが構築できます。
【他選択肢が違う理由】
- A: Service Endpoint はサブネット単位で PaaS への接続経路を最適化する機能ですが、PaaS は引き続き Public IP を持ちます。
- C: VNet Peering は VNet 間接続で、PaaS への接続機能ではありません。
- D: ExpressRoute Direct はオンプレ↔Azure 接続の高帯域 SKU で、PaaS Private アクセスの直接的手段ではありません。
【参考】
Service Endpoint と Private Endpoint の違いとして正しい記述はどれですか?
解説
【正解: A】の理由
Service Endpoint はサブネット単位で PaaS への通信を Azure バックボーン経由に切り替える経路最適化機能で、PaaS は引き続き Public Endpoint を持ちます。一方、Private Endpoint は VNet 内に PaaS 用 NIC を作成して Private IP を割り当てる仕組みで、PaaS の Public Endpoint を閉じる設計が実現します。
【他選択肢が違う理由】
- B: 機能と仕組みが大きく異なるため、別物として扱います。
- C: Private Endpoint は Private IP のみ取得し、Public IP は持ちません。
- D: どちらも現役で、Microsoft は新規構築には Private Endpoint を推奨しています。
【参考】
各 Storage 接続シナリオで、推奨される接続方式を選んでください。
| ステートメント | 選択 |
|---|---|
オンプレから VPN/ExpressRoute 経由で Storage に Private IP アクセス Private Endpoint は VNet 内に Private IP を持つため、VPN / ExpressRoute 経由でオンプレからも到達可能となります。そのため、Hybrid 環境で Storage を Public Endpoint なしで利用したい場合に最適です。 | |
同一 VNet 内 VM から Storage を Azure バックボーン経由 + 低コストで利用 Service Endpoint はサブネット単位で Azure バックボーン経由通信を有効化し、追加コストなしで PaaS 接続を最適化します。そのため、Storage Public Endpoint を維持しつつ通信品質を改善したい場合に活用されます。 | |
外部パートナー (Internet) から Storage Blob を Anonymous 配信 外部パートナーや Internet クライアントへ Anonymous Read を提供する場合は Public Endpoint が必須となります。そのため、PE / SE 構成と並行で Public Read 設定を保つシナリオで採用されます。 |
解説
【正解マッチング】
| 判定対象 | 正解 |
|---|---|
| オンプレから VPN/ExpressRoute 経由で Storage に Private IP アクセス | Private Endpoint |
| 同一 VNet 内 VM から Storage を Azure バックボーン経由 + 低コストで利用 | Service Endpoint |
| 外部パートナー | Public Endpoint |
【各判定の詳細】
- 「オンプレから VPN/ExpressRoute 経由で Storage に Private IP…」→ Private Endpoint: Private Endpoint は VNet 内に Private IP を持つため、VPN / ExpressRoute 経由でオンプレからも到達可能となります。そのため、Hybrid 環境で Storage を Public Endpoint なしで利用したい場合に最適です。
- 「同一 VNet 内 VM から Storage を Azure バックボーン経由 + 低コストで利用」→ Service Endpoint: Service Endpoint はサブネット単位で Azure バックボーン経由通信を有効化し、追加コストなしで PaaS 接続を最適化します。そのため、Storage Public Endpoint を維持しつつ通信品質を改善したい場合に活用されます。
- 「外部パートナー」→ Public Endpoint: 外部パートナーや Internet クライアントへ Anonymous Read を提供する場合は Public Endpoint が必須となります。そのため、PE / SE 構成と並行で Public Read 設定を保つシナリオで採用されます。
【参考】
Storage Account に Private Endpoint を構築して、VNet 経由でプライベート アクセスを実現する手順を正しい順序に並べてください。
- VNet とサブネットを準備 (PE 用サブネット)
- Storage Account に対する Private Endpoint を作成
- Private DNS Zone (privatelink.blob.core.windows.net) を作成 + VNet にリンク
- Private DNS Zone Group を構成して A レコード自動登録
解説
【正しい順序】
- ステップ 1: VNet + サブネット準備
- ステップ 2: Private Endpoint 作成
- ステップ 3: Private DNS Zone 作成 + VNet リンク
- ステップ 4: Private DNS Zone Group 構成
【各ステップの理由】
- ステップ 1 VNet + サブネット準備: Private Endpoint を配置する VNet とサブネットを準備します。サブネットには PrivateEndpointNetworkPolicies を Disabled に設定する必要があります。
- ステップ 2 Private Endpoint 作成: 対象 Storage Account に対し Private Endpoint を作成し、サブネットから Private IP を取得します。
- ステップ 3 Private DNS Zone 作成 + VNet リンク: privatelink.blob.core.windows.net 等の Microsoft 推奨ゾーンを作成し、VNet にリンクして VNet 内 DNS 解決を有効化します。
- ステップ 4 Private DNS Zone Group 構成: Private Endpoint と Private DNS Zone を結び付け、A レコードを自動登録します。これにより、PE プライベート IP の解決が VNet 内で機能します。
【誤った順序の問題点】
- Private DNS Zone を先に作成しない: PE 作成時に Zone Group を関連付けられず、DNS 解決が自動化されません。
- Zone Group を構成しない: PE プライベート IP の A レコードが Zone に登録されず、Hostname での解決が失敗します。
【参考】
自社で開発した内部サービス (例: Internal Load Balancer 配下の VM) を、他社の Azure テナントからプライベート アクセスさせたい場合、利用するサービスはどれですか?
解説
【正解: A】の理由
Private Link Service は自社の Internal Load Balancer 配下のサービスを Private Link 経由で他社テナント (コンシューマー) からプライベート アクセス可能にする Provider 側の機能です。これにより、SaaS / マルチテナント シナリオで Public IP を介さない閉域接続を提供できます。
【他選択肢が違う理由】
- B: VNet Peering は同一テナント内で多用される機能で、別テナント間共有には適しません。
- C: Public IP + NSG は閉域ではないため Zero Trust 要件を満たしません。
- D: ExpressRoute Global Reach は ER 拠点間接続で、別テナント PaaS 共有とは無関係です。