Azure における Private Link 用の Private Endpoint と Private DNS Zone の作成
Azure デプロイメントで CelerData の End-to-End Private Link サービス を有効にするには、Private Endpoint と Private DNS Zone を作成し、DNS Zone を仮想ネットワークにリンクし、エンドポイントのプライベート IP を指す DNS レコードを追加する必要があります。クラスターがインターネットに接続されていないプライベートサブネット上で実行されている場合、Azure ストレージアカウント用のプライベートエンドポイントも作成する必要があります。そうしないと、クラスターは Azure ストレージへの読み取りや書き込みができなくなります。
End-to-End Private Link が有効になっているクラスターについては、同じリソースグループ内のすべてのクラスターは、同じ Private Endpoint と Private DNS Zone を共有する必要があります。
仮想マシン用の Private Endpoint を作成する
以下の手順に従って、CelerData の End-to-End Private Link サービス を介して仮想マシンにアクセスするための Azure Private Endpoint を作成します。
-
Microsoft Azure portal にサインインします。
-
Private Link サービスページに移動し、左側のペインで Private Link -> Private endpoints を選択し、Create をクリックします。
-
Create a private endpoint ページの Basics タブで、以下のように設定し、Next: Resource をクリックします。
a. Subscription ドロップダウンリストから Microsoft のサブスクリプションを選択します。
b. Resource group ドロップダウンリストから、CelerData クラスターのデプロイ用に作成したリソースグループを選択します。
c. Name フィールドに Private Endpoint の名前を入力します。
d. Region ドロップダウンリストから Private Endpoint のリージョンを選択します。
-
Create a private endpoint ページの Resource タブで、Connection method に Connect to an Azure resource by resource ID or alias. を選択し、Resource ID or alias フィールドに、付録 - Azure リージョンと Private Link Service ID に記載されている選択したリージョンの Private Link Service ID を入力します。その後、Next: Virtual Network をクリックします。
-
Create a private endpoint ページの Virtual Network タブで、Virtual network および Subnet フィールドに、クラスター用に作成した仮想ネットワークとサブネットを選択します。
-
Next: DNS、Next: Tags、その後 Next: Review + Create をクリックしてこれらのステップをスキップし、作成する Private Endpoint の情報を確認します。その後、Create をクリックして確定します。
Private Endpoint の作成後、以下の情報をコピーします。
-
Private IP
a. Private Link サービスページに移動し、左側のペインで Private Link -> Private endpoints を選択します。
b. 作成した Private Endpoint を見つけ、Private IP フィールドからプライベート IP をコピーして保存します。
-
Private Endpoint ID
a. Private Link サービスページに移動し、左側のペインで Private Link -> Private endpoints を選択します。
b. 作成した Private Endpoint をクリックします。表示されたタブで、左側のペインから Settings -> Properties を選択し、Resource ID フィールドの横にある Copy ボタンをクリックして保存します。
Private DNS Zone を作成する
以下の手順に従って、privatelink.celerdata.com という名前の Azure Private DNS Zone を作成します。
-
Private DNS zones サービスページに移動し、Create をクリックします。
-
Create Private DNS Zone ページの Basics タブで、以下のように設定し、Review + create をクリックします。
a. Subscription ドロップダウンリストから Microsoft のサブスクリプションを選択します。
b. Resource group ドロップダウンリストから、CelerData クラスターのデプロイ用に作成したリソースグループを選択します。
c. Name フィールドに、Private DNS Zone の名前として
privatelink.celerdata.comを入力します。注記Private DNS Zone の名前は、必ず
privatelink.celerdata.comと指定してください。これ以外の名前は無効です。
-
Review + create タブで入力した情報を確認します。その後、Create をクリックして Private DNS Zone を作成します。
Private DNS Zone を仮想ネットワークにリンクする
以下の手順に従って、Private DNS Zone を、CelerData クラスターのデプロイ用に作成した仮想ネットワークにリンクし、仮想マシンが *.privatelink.celerdata.com との間のトラフィックを解決できるようにします。
-
Private DNS zones サービスページに移動し、CelerData の End-to-End Private Link サービス用に作成した Private DNS Zone をクリックします。
-
表示されたタブで、左側のペインから DNS Management -> Virtual Network Links を選択し、Add をクリックします。
-
Add Virtual Network Link ページで、以下のように設定し、Create をクリックします。
a. Name フィールドに仮想ネットワークリンクの名前を入力します。
b. I know the resource ID of virtual network を選択し、Azure 仮想ネットワークの Resource ID を Resource ID フィールドに貼り付けます。
c. ここで言及されていない項目は変更しません。
ワイルドカード DNS レコードを追加する
以下の手順に従って、Private Endpoint のプライベート IP を指すワイルドカード * の Type-A DNS レコードを追加します。
この * DNS レコードは、CelerData のすべてのサービスドメイン、つまり privatelink.celerdata.com 以下のすべてのサブドメインを対象としています。
-
Private DNS zones サービスページに移動し、CelerData の End-to-End Private Link サービス用に作成した Private DNS Zone をクリックします。
-
表示されたタブで、左側のペインから DNS Management -> Recordsets を選択し、Add をクリックします。
-
Add record set タブで、以下のように設定し、Add をクリックします。
a. Name フィールドに、レコード名として
*を入力します。b. Type ドロップダウンリストから A - IPv4 Address Records を選択します。
c. 先ほどコピーした Private Endpoint の Private IP を IP Address フィールドに貼り付けます。
d. ここで言及されていない項目は変更しません。
Azure ストレージアカウント用の Private Endpoint を作成する
クラスターのサブネットが Public Endpoint 経由で Azure ストレージにアクセスできる場合は、この手順をスキップできます。
以下の手順に従って、仮想マシンが Private Link 経由で Azure ストレージアカウントにアクセスできるようにするための Azure Private Endpoint を作成します。
-
Private Link サービスページに移動し、左側のペインで Private Link -> Private endpoints を選択し、Create をクリックします。
-
Create a private endpoint ページの Basics タブで、以下のように設定し、Next: Resource をクリックします。
a. Subscription ドロップダウンリストから Microsoft のサブスクリプションを選択します。
b. Resource group ドロップダウンリストから、CelerData クラスターのデプロイ用に作成したリソースグループを選択します。
c. Name フィールドに Private Endpoint の名前を入力します。
d. Region ドロップダウンリストから Private Endpoint のリージョンを選択します。
-
Create a private endpoint ページの Resource タブで、Connection method に Connect to an Azure resource in my directory. を選択し、Resource type に Microsoft.Storage/storageAccounts を選択し、Resource に Azure デプロイ用に作成したストレージアカウントを選択し、Azure Blob Storage を使用している場合は blob を、Azure Data Lake Storage Gen2 を使用している場合は dfs を選択します。その後、Next: Virtual Network をクリックします。
-
Create a private endpoint ページの Virtual Network タブで、Virtual network および Subnet フィールドに、クラスター用に作成した仮想ネットワークとサブネットを選択し、Private IP configuration に Dynamically allocate IP address を選択します。その後、Next: DNS をクリックします。
-
Create a private endpoint ページの DNS タブで、Integrate with private DNS zone に Yes を選択します。
-
Next: Tags をクリックし、その後 Next: Review + Create をクリックしてこれらのステップをスキップし、作成する Private Endpoint の情報を確認します。その後、Create をクリックして確定します。
付録 - Azure リージョンと Private Link Service ID
| Azure リージョン | リージョン ID | Private Link Service ID |
|---|---|---|
| West Europe (Netherlands) | westeurope | /subscriptions/ecbba6cc-ae29-4141-bc1a-d2464e682b90/resourceGroups/saas-prod-westeu/providers/Microsoft.Network/privateLinkServices/region-prod-westeurope-pls |
| Central US (Iowa) | centralus | /subscriptions/ecbba6cc-ae29-4141-bc1a-d2464e682b90/resourceGroups/saas-prod-centralus/providers/Microsoft.Network/privateLinkServices/region-prod-centralus-pls |
| UAE North (Dubai) | uaenorth | /subscriptions/ecbba6cc-ae29-4141-bc1a-d2464e682b90/resourceGroups/saas-prod-uaenorth/providers/Microsoft.Network/privateLinkServices/region-prod-uaenorth-pls |
| West US 2 (Washington) | westus2 | /subscriptions/ecbba6cc-ae29-4141-bc1a-d2464e682b90/resourceGroups/saas-prod-westus2/providers/Microsoft.Network/privateLinkServices/region-prod-westus2-pls |