投稿日

カスタムDNSとAzure DNS Private ResolverでAzureのプライベートリソースにアクセスする

こんにちは、ソラコムの須田(ニックネーム: kei)です。

以前ブログで公開した「新タイプの VPG で Azure Storage とプライベートネットワークを構成する」では、Azure StorageAzure Private Link経由でプライベート接続する方法をご紹介しました。その後、2022年10月にAzure DNS Private ReolverがGAとなり、自前でDNSフォワーダーを構築する以外の選択肢が取れるようになりました。そこで 本ブログでは、Azure Private Linkを経由して、AzureサービスのPrivate Endpointを名前解決する際の、Azure DNS Private Reolverを利用した構成をご紹介します。なお本ブログでは、詳細手順はリンク先のドキュメントを参照いただき、手順の中でも重要な点を中心にご説明します。

構成

本ブログでご紹介する構成は、Azure Virtual Networkとソラコムプラットフォームをプライベート接続するために、VPG Type-FSORACOM Doorを利用します。

手順

プライベートネットワークを構築する

新タイプの VPG で Azure Storage とプライベートネットワークを構成する」のブログにある「事前準備」と「3. Azure Private Link を作成」までの手順を実施し、SORACOM DoorとAzure Private Linkを設定してください。

Azure DNS Private Resolverを設定する

Microsoftのドキュメントをもとに、SORACOM Doorとプライベート接続したAzure Virtual Network内にAzure DNS Private Resolverを作成してください。なお本ブログで解説しているPrivate Endpointの名前解決には、受信エンドポイントのみ作成すれば動作可能です。

カスタムDNSを設定する

ソラコムのユーザードキュメントをもとに、SIMグループにカスタムDNSを設定します。カスタムDNSのIPアドレスは、作成したAzure DNS Private Resolverの受信エンドポイントのIPアドレス(本ブログの例では10.0.20.20)を指定してください。

動作確認をする

最後に動作確認を進めます。本ブログではUbuntu OSを利用していますが、ご利用のデバイスに応じてName Serverの確認方法はお調べください。 

まず、デバイスに設定されたName ServerがカスタムDNSで設定したIPアドレスになっていることを確認します。Name ServerがカスタムDNSで指定したIPアドレスに変わっていない際は、こちらのユーザードキュメントを参考にセッションを再作成し、再度Name Serverをご確認ください。

grep nameserver /etc/resolve.conf
nameserver 10.0.20.20

次にPrivate Endpointに付与された名前がPrivate IPとして解決できることを確認します。

dig storage.privatelink.blob.core.windows.net

; <<>> DiG 9.16.1-Ubuntu <<>> storage.privatelink.blob.core.windows.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34127
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;storage.privatelink.blob.core.windows.net. IN A

;; ANSWER SECTION:
storage.privatelink.blob.core.windows.net. 10 IN A 10.0.0.11

;; Query time: 168 msec
;; SERVER: 10.0.20.20#53(10.0.20.20)
;; WHEN: 月  6月 05 09:25:47 JST 2023
;; MSG SIZE  rcvd: 84

Private EndpointのPrivate IPアドレスが返ってきました。また、Name ServerもカスタムDNSで指定したIPアドレスを参照しています。これでSORACOM Doorによるプライベート接続にて、デバイスからAzure Private Link経由でAzure Storageへアクセスできます。

さいごに

Azure DNS Private Reolverの登場により、Azure内プライベートリソースの名前解決のために自前でのDNSフォワーダー運用が不要になりました。ソラコムサービスを組み合わせることで、デバイスとAzure Private LinkをサポートするMicrosoft Azureサービスをプライベートネットワークで接続できます。ぜひお試しください。 

― ソラコム須田 (kei)