プライベート エンドポイントのよくあるお問い合わせ

こんにちは、Azure テクニカル サポート チームの箕輪です。
Azure のプライベート エンドポイントは Azure PaaS へのプライベート接続を実現できることから、多くのお客様にご利用いただいています。
Azure サポート担当でプライベート エンドポイントに関してお問い合わせいただく中で、プライベート エンドポイントをご利用いただく上でのポイントや、よくあるお問い合わせや情報採取についての内容を 2 回に分けてご紹介します。

1. プライベート エンドポイントをご利用いただく上でのポイント
2. プライベート エンドポイントのよくあるお問い合わせ (今回のご紹介)

概要

プライベート エンドポイントをご利用いただく上で、DNS レイヤーの構成がポイントになる点について、こちらでご紹介しました。
今回は実際に構成する上でのよくあるトラブル事例や、Azure サポートにお問い合わせいただく際に情報提供いただきたい事項などを纏めました。

情報採取

プライベート エンドポイントのトラブルシューティングでは、DNS 構成を確認するために、クライアントの名前解決の状況を確認することが重要です。
そのため、Azure サポート担当にお問い合わせ時に下記の点について情報提供いただけると幸いです。

・接続元のクライアント情報

・接続先のプライベート エンドポイントのリソース情報

・接続経路

・接続元クライアントの DNS 構成

・接続元クライアントの名前解決の状況

上記についてそれぞれ補足致します。

・接続元クライアント情報

接続元クライアントが Azure 仮想マシンなど Azure 上のリソースであれば、該当の Azure リソース ID をご提供ください。
もしオンプレミス上の機器が接続元クライアントとなる場合、オンプレミスである旨と接続元クライアントの IP アドレスをご提供ください。

・接続先のプライベート エンドポイントのリソース情報

お問合せ時に対象のプライベート エンドポイントのリソースを選択可能な場合は、選択いただければ Azure サポート担当は対象のリソース情報を確認できます。
対象のプライベート エンドポイントのリソースを選択してお問い合わせが難しい場合、プライベート エンドポイントのリソース ID をご提供ください。

・接続経路

想定されている接続元クライアントからプライベート エンドポイントの接続経路についてご提供ください。
例えばオンプレミスからの接続の場合は ExpressRoute をご利用いただいている旨や、Azure Firewall で通信制御をされている、プロキシ サーバーをご利用いただいているなどの情報をご提供いただけると幸いです。

・接続元クライアントの DNS 構成

DNS 構成として hosts、オンプレミスの DNS サーバー、Azure DNS Private Resolver 、カスタム DNS など複数の構成方法がありますが、接続元クライアントのご状況に合わせて情報をご提供ください。
例えば、hosts で制御している場合は該当の hosts ファイルも併せてご提供いただけると幸いです。
接続元クライアントがオンプレミスの DNS サーバーを参照している場合、オンプレミスの DNS サーバーから Azure へのクエリ転送設定 (フォワーダー・条件付きフォワーダー) の状況も併せてご提供ください。
また、Azure DNS Private Resolver をご利用いただいている場合は、リソース ID をご提供ください。

・接続元クライアントの名前解決の状況

接続元クライアントの名前解決の確認方法はクライアントの実行環境によって異なります。
Azure サポート担当での調査では、下記の情報の提供をお願いする場合がありますため、事前にご提供いただけると幸いです。
(お客様の環境に沿って FQDN をご変更ください。)

・ <推奨> PowerShell

Get-Date -Format "yyyy/MM/dd HH:mm:ss K"
Test-NetConnection contoso.blob.core.windows.net -port 443 
Resolve-DnsName -name contoso.blob.core.windows.net
nslookup -debug contoso.blob.core.windows.net
Invoke-WebRequest -URI https://contoso.blob.core.windows.net/

・ dig (Linux)

date -u
dig contoso.blob.core.windows.net
curl -v contoso.blob.core.windows.net

なお、パブリック インターネット上で名前解決の状況を確認する場合は、https://digwebinterface.com/ などでカスタマイズしたクエリが実行可能です。

FAQ

プライベート エンドポイントに関して、よくお問い合わせいただく内容について下記の通りお伝えいたします。

プライベート エンドポイントの IP アドレスの仕様について教えてください。

プライベート エンドポイントの IP アドレスは動的・静的での割り当てが選択できます。
動的の割り当ての場合、プライベート エンドポイントをデプロイする対象サブネットのプレフィックスの範囲内で、基本的に若番から割り当てがされます。
静的の割り当ての場合、対象サブネットの範囲で任意の IP アドレスを指定可能です。
動的の割り当てを選択された場合でも、プライベート エンドポイントのリソースを削除しない限り、一度割り当てられた IP アドレスは変わりません。

プライベート DNS ゾーンを同時に作ったが、プライベート エンドポイントの IP アドレスの名前解決ができません。

プライベート DNS ゾーンに適切な DNS レコードを設定したにも関わらず、名前解決ができない場合は下記の理由が考えられます。

　　A プライベート DNS ゾーンが、クライアントが存在する仮想ネットワークとリンク設定されていない。

　　B プライベート DNS ゾーンが参照されない構成になっている。

　　C プライベート DNS ゾーン上に必要な DNS レコードが存在していない。

A

プライベート DNS ゾーンは、リンクされた仮想ネットワーク上のリソースに対して、登録されたゾーン上の DNS レコードに関して名前解決を提供します。そのため、プライベート DNS ゾーンのリソースから対象の仮想ネットワークにリンク設定を忘れないようにしてください。

B

プライベート DNS ゾーンを参照するためには、Azure 既定の DNS サーバー (168.63.129.16) に DNS クエリを転送する必要があります。オンプレミスのリソースからプライベート DNS ゾーンを参照する場合は、Azure DNS Private Resolver をご利用いただき、オンプレミスの DNS サーバーから条件付きフォワーダーなどで参照できるように構成してください。構成事例はこちらにあります。

C

プライベート DNS ゾーンは、リソース グループ内で重複がなければ同一ゾーン名で複数構成が可能です。プライベート エンドポイントを構成時に DNS 統合した場合、自動で DNS レコードがプライベート DNS ゾーン上に構成されますが、この時対象のプライベート DNS ゾーンが異なるとクライアントが接続先の FQDN の名前解決ができなくなる場合があります。

プライベート DNS ゾーンや Azure 既定の DNS サーバーの名前解決のログを確認したい。

ご期待に沿えず恐れ入りますが、現状該当 DNS ログを Azure ユーザーが確認する方法はございません、
Azure サポート担当にご依頼いただければ、該当ログの調査支援が可能ですが、ログの調査をするには対象の FQDN と調査対象の時刻を可能な限り具体的にご提示願います。
なお、Azure 既定の DNS のログは、30 日程度でローテーションされ、過去のログは参照できない点はご留意ください。

hosts を使った DNS 構成は非推奨とありますが、サポート外ですか？

プライベート エンドポイントは、最終的に接続元クライアントが適切な名前解決ができれば接続可能なため、プライベート エンドポイントをご利用いただく上で hosts を利用いただくことがサポート外といった事はございません。そのため、トラブルシューティングの対応の一環でサポート担当から hosts への追加を依頼する場合があります。

しかしながら、hosts はクライアント端末毎に手動での個別管理となりますため、プライベート エンドポイントの作り直しによる IP アドレスの更新や新規エンドポイントの追加などが自動で適応されません。構成変更時などで hosts の更新漏れによる意図せぬ通信影響を回避するためにも、運用環境では hosts による構成は推奨していません。

privatelink サブドメインで Azure PaaS に接続ができないのはなぜですか？

プライベート エンドポイントをご利用いただく上でのポイント にも記載の通り、Azure PaaS にプライベート エンドポイント接続をする構成でも、接続時にご利用いただく FQDN は、Azure PaaS の既定のドメインが対象となります。
DNS レイヤーでルーティングができるように、privatelink サブドメインが追加されますが、この privatelink サブドメインが付与された FQDN で Azure PaaS に接続することは想定されていないため、接続エラーや証明書エラーが発生します。

任意のドメイン (カスタムドメイン) を利用して Azure PaaS にプライベート エンドポイント接続が可能ですか？

プライベート エンドポイントは、Azure PaaS への接続点を提供しているものであり、ドメイン管理などの機能は持ち合わせていません。
そのため、カスタムドメインをご利用いただけるかは、ご利用される Azure PaaS の機能に依存し、カスタムドメインをご利用いただく場合は対象の FQDN の名前解決が、プライベート エンドポイントの IP アドレスに解決されるように DNS 構成を実施いただく必要があります。

以上、ご参考になれば幸いです。

※本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。