AZ700-CORE#24
Hub-Spoke 環境で、オンプレ クライアントから Azure 上の Storage Account への Private Endpoint アクセスを実現する DNS 設計手順を正しい順序に並べてください。
- Storage Account に Private Endpoint を作成し、Spoke VNet 内のサブネットに配置
- privatelink.blob.core.windows.net の Private DNS Zone を Hub VNet にリンク
- Private Endpoint 作成時に Private DNS Zone Group で A レコード自動登録
- Azure DNS Private Resolver の Inbound endpoint を Hub VNet にデプロイ
解説
【正しい順序】
- ステップ 1: Storage に Private Endpoint 作成
- ステップ 2: Private DNS Zone を Hub VNet にリンク
- ステップ 3: Private DNS Zone Group で A レコード自動登録
- ステップ 4: DNS Private Resolver Inbound endpoint デプロイ
【各ステップの理由】
- ステップ 1 PE 作成: 後続の DNS 登録は PE のプライベート IP に対するもののため、まず PE 作成が必要です。
- ステップ 2 ゾーン リンク: Private DNS Zone を Hub に集中配置し、Spoke にもリンクすることで全 VNet からの名前解決を統一します。
- ステップ 3 A レコード自動登録: Private DNS Zone Group は PE と DNS Zone を結びつけ、レコードを自動管理します。手動メンテナンス不要です。
- ステップ 4 Resolver: オンプレからの DNS クエリを受信する Inbound endpoint を Hub VNet に配置します。これで Hub 経由でオンプレ→Azure の名前解決が可能になります。
【誤った順序の問題点】
- ❌ Resolver を先にデプロイ: PE と DNS Zone がなければ Resolver 経由で解決対象が存在しません。
- ❌ オンプレ転送を最初に設定: 転送先 (Resolver Inbound IP) が存在しなければ転送設定はエラーになります。
コメント