AZ700-CORE#85
Private Endpoint を作成する際の Private DNS Zone Group の役割はどれですか?
解説
【正解: A】の理由
Private DNS Zone Group は、Private Endpoint (PE) と Private DNS Zone (例: privatelink.blob.core.windows.net) を結びつけるリソースで、PE のプライベート IP に対応する A レコードを自動登録 + 自動更新 + 削除時の自動クリーンアップを行います。手動メンテナンスを排除し、PE のライフサイクル全体を通じて DNS 整合性を保ちます。
【Private DNS Zone Group の構成】
| 項目 | 例 |
|---|---|
| 名前 | storage-pe-dns |
| 関連 Private DNS Zone | privatelink.blob.core.windows.net |
| 登録される A レコード | mystorage.privatelink.blob.core.windows.net → 10.0.5.4 |
| 解決される FQDN | mystorage.blob.core.windows.net (CNAME 経由) |
【DNS 解決の仕組み】
- VM が
mystorage.blob.core.windows.netをクエリ - Public DNS が
mystorage.privatelink.blob.core.windows.netへ CNAME 返却 - VNet 内の Private DNS Zone を参照 (リンクされている場合)
- Private DNS Zone Group で登録した A レコードから 10.0.5.4 (PE プライベート IP) を返却
- VM は 10.0.5.4 にアクセス (PE 経由で Storage へ)
【Zone Group なしの場合 (非推奨)】
- PE 作成後、手動で Private DNS Zone に A レコード追加
- PE 削除時、A レコードを手動削除しないと不整合発生
- PE プライベート IP 変更時、手動更新必要
- 運用工数増大 + ヒューマン エラーのリスク
【複数 Zone Group 対応】
- PE 作成時に複数の Private DNS Zone Group を関連付け可能
- 例: privatelink.blob + privatelink.dfs + privatelink.file (Storage の各サブリソース)
- Multi-region 環境では Zone 集約が運用効率向上に貢献
【他選択肢が違う理由】
- B. Public DNS にレコード登録: Public DNS とは無関係 (Public DNS の CNAME は Microsoft 管理)。Zone Group は Private DNS Zone のみ操作。
- C. NSG ルール自動設定: NSG とは無関係。
- D. コスト最適化: Zone Group 自体には料金不要、Private DNS Zone と PE の通常料金。
コメント