AZ700-CORE#79
Service Endpoint を有効化したサブネットから Azure Storage Account へ通信する場合、Storage 側で必要な設定はどれですか?
解説
【正解: A】の理由
Service Endpoint (SE) はサブネット側で「このサブネットからの通信は Azure バックボーン経由で Storage に直送する」最適化機能ですが、Storage 側でも「どの VNet/サブネットからの通信を許可するか」を Firewall ルールで明示する必要があります。Storage Account → Networking → Firewalls and virtual networks → Selected networks で対象サブネットを追加します。
【Service Endpoint vs Private Endpoint 比較】
| 項目 | Service Endpoint | Private Endpoint |
|---|---|---|
| Storage のアクセス IP | Public IP (バックボーン経由) | Private IP (VNet 内) |
| オンプレからの利用 | 不可 | VPN/ER 経由で可能 |
| 料金 | 無料 | 有償 (PE 単位) |
| SE Policy | 細粒度 Storage Account 制御可 | 不要 |
| Storage 側設定 | Firewall 許可リスト | Private Endpoint 受け入れ |
【Service Endpoint 通信フロー】
- サブネットで Microsoft.Storage Service Endpoint を有効化
- VM が Storage Account の Public DNS に対しクエリ
- Public IP に解決
- 送信時に Service Endpoint で Azure バックボーン経由にルーティング
- Storage Firewall で VNet ID + サブネット ID をチェック
- 許可リストにあれば通信成立
【他選択肢が違う理由】
- B. Private Endpoint 作成: Private Endpoint は別アーキテクチャ。SE と併用も可能ですが、本要件には不要です。
- C. Public IP 専用: Storage の SKU や設定としては正確ではなく、Public Network Access 設定とは別。
- D. 設定不要: Storage 側 Firewall で許可しないと、SE 経由のトラフィックも拒否されます。
コメント