AZ700-CORE#106
AKS クラスタで Pod から Azure Storage への通信を「VNet 内プライベート」に保ちたい。組み合わせとして適切なものを 2 つ選んでください。
2 つ選択してください
解説
【正解: A, C】の理由
AKS Pod → Azure Storage のプライベート通信には 2 つの主要パターンがあります: (A) Azure CNI + Private Endpoint で完全プライベート IP 経路、(C) Service Endpoint + Storage Firewall で バックボーン経由の VNet 限定アクセス。どちらも Public Internet 経由を排除し、セキュリティ要件を満たします。
【パターン比較】
| 項目 | A: CNI + PE | C: SE + Firewall |
|---|---|---|
| Pod IP | VNet IP | VNet IP (Azure CNI) または Node NAT (Kubenet) |
| Storage IP | Private IP (10.x) | Public IP (Microsoft IP) |
| DNS | Private DNS Zone | Public DNS |
| オンプレからのアクセス | 可 (VPN/ER) | 不可 |
| 料金 | PE 単位 (有償) | SE 無料 |
| 細粒度制御 | PE = Storage Account 単位 | SE Policy で Storage 単位 |
【AKS + Storage プライベート アクセスのベスト プラクティス】
- AKS Cluster を Azure CNI で構築 (Pod が VNet IP)
- AKS サブネットを別途専用に配置 (NSG 制御しやすく)
- Storage Account に Private Endpoint を AKS サブネットに作成
- Storage Account の Public Network Access を Disabled
- Private DNS Zone (privatelink.blob.core.windows.net) を VNet にリンク
- Pod から Storage への通信を NetworkPolicy で制御 (Calico/Azure NP)
【誤りの根拠】
- B. Kubenet + Public IP: NAT 経由 + Public IP は最もセキュリティ脆弱な構成します。「VNet 内プライベート」の要件不一致。
- D. Pod Public IP: Pod に Public IP を付与する標準的な方法は存在せず (Cluster の Public IP とは別の話)、要件不一致。
- E. すべて Public: セキュリティ要件と完全に逆の構成します。
コメント