DP300-SEC#64
Azure SQL Database に Private Endpoint を構成する手順を順序通りに並べてください。
- VNet + サブネット作成 (Private Endpoint 用)
- az network private-endpoint create で SQL Database への Private Endpoint 作成
- Private DNS Zone を privatelink.database.windows.net で作成 + VNet Link
- SQL Server の Public Network Access を Disabled に変更
解説
【正しい順序】
- ステップ 1: VNet + サブネット作成 (Private Endpoint 用)
- ステップ 2: az network private-endpoint create で SQL Database への Private Endpoint 作成
- ステップ 3: Private DNS Zone を privatelink.database.windows.net で作成 + VNet Link
- ステップ 4: SQL Server の Public Network Access を Disabled に変更
【各ステップの理由】
- ステップ 1 VNet + サブネット作成 (Private Endpoint 用): Private Endpoint は VNet 内に作成するため 専用サブネット (例: pe-subnet) を準備します。
- ステップ 2 az network private-endpoint create で SQL Database への Private Endpoint 作成: サブネット内に Private IP 持つ NIC を作成し SQL Database リソースと関連付けます。
- ステップ 3 Private DNS Zone を privatelink.database.windows.net で作成 + VNet Link: DNS 名解決を Private IP に向けるため Private DNS Zone を作成し VNet とリンクします。
- ステップ 4 SQL Server の Public Network Access を Disabled に変更: 最終ステップで Public 経由 アクセス を完全 拒否し Private のみのアクセス を強制します。
【誤った順序の問題点】
- Public Access Disable → Private Endpoint 作成: Public Disable を先 にすると Public 経由 でアクセスできず Private Endpoint 作成も困難になります。
- Private DNS なしで Endpoint 作成: DNS 名解決ができないと アプリ から SQL Database に接続できません。
コメント