Azure portal を使い、Azure Database for PostgreSQL - フレキシブル サーバーに対する Private Link を使用して仮想ネットワークの作成と管理を行う
適用対象: 
Azure Database for PostgreSQL - フレキシブル サーバー
Azure Database for PostgreSQL フレキシブル サーバーでは、Azure Database for PostgreSQL フレキシブル サーバー インスタンスに接続するために、相互に排他的な 2 種類のネットワーク接続方法がサポートされています。 次の 2 つのオプションがあります。
- 許可された IP アドレスを使用するパブリック アクセス。 Azure Database for PostgreSQL フレキシブル サーバーとの Azure Private Link ベースのネットワークを使って、その方法のセキュリティをさらに強化できます。
- 仮想ネットワーク統合を使用するプライベート アクセス。
この記事では、パブリック アクセス (許可された IP アドレス) を備えた Azure Database for PostgreSQL フレキシブル サーバー インスタンスの、Azure portal を使用した作成に焦点を当てます。 その後、Private Link テクノロジに基づくプライベート ネットワークを追加して、サーバーのセキュリティ保護を支援できます。
Private Link を使うと、仮想ネットワーク内のプライベート エンドポイント経由で次のサービスにアクセスできます。
- Azure Database for PostgreSQL フレキシブル サーバーなどの、Azure のサービスとしてのプラットフォーム (PaaS) サービス
- Azure でホストされている顧客所有またはパートナーのサービス
仮想ネットワークとサービスの間のトラフィックは、Microsoft のバックボーン ネットワークを経由するため、パブリック インターネットに露出しません。
前提条件
プライベート リンクを使用して仮想ネットワークに Azure Database for PostgreSQL フレキシブル サーバー インスタンスを追加するには、次のものが必要です。
仮想ネットワーク。 仮想ネットワークとサブネットは、ご利用の Azure Database for PostgreSQL フレキシブル サーバー インスタンスと同じリージョンおよびサブスクリプション内に存在する必要があります。
ロックはネットワークと DNS での操作を妨げる可能性があるため、サーバーを仮想ネットワークに追加する前に、仮想ネットワークとすべてのサブネットからすべてのロック (削除または読み取り専用) を必ず削除してください。 サーバーの作成後にロックをリセットできます。
プライベート エンドポイントを備えた Azure Database for PostgreSQL フレキシブル サーバー インスタンスを作成する
Azure Database for PostgreSQL フレキシブル サーバー インスタンスを作成するには、次の手順のようにします。
Azure portal の左上隅にある [リソースの作成] (プラス記号) を選びます。
[データベース]>[Azure Database for PostgreSQL] の順に選択します。
[基本] フォームに以下の情報を入力します。
設定 値 サブスクリプション Azure サブスクリプションを選択します。 リソース グループ Azure リソース グループを選びます。 サーバー名 一意のサーバー名を入力します。 リージョン Azure Database for PostgreSQL フレキシブル サーバー インスタンスを配置する Azure リージョンを選びます。 PostgreSQL のバージョン Azure Database for PostgreSQL フレキシブル サーバー インスタンスの必要なデータベース バージョンを選びます。 ワークロードの種類 サービスに使用できるレベルのいずれかを選択します。 コンピューティングとストレージ ワークロードに基づいて、サーバーに必要な価格レベルを選びます。 可用性ゾーン インスタンスをデプロイする可用性ゾーンを選択するか、[優先なし] を選択してサービスで自動的に選択します。 高可用性を有効にする 自動フェールオーバー機能を備えたスタンバイ同期レプリカを同じゾーンまたは同じリージョン内の別のゾーンにデプロイする必要がある場合は、このチェック ボックスをオンにします。 認証方法 優先する認証方法と、最初の PostgreSQL 管理者にするプリンシパルの情報を選択します。 [次へ: ネットワーク] を選択します。
[ネットワーク接続] の [接続方法] で、[パブリック アクセス (許可された IP アドレス) とプライベート エンドポイント] ラジオ ボタンを選択します。
[プライベート エンドポイント] セクションで、[プライベート エンドポイントの追加] を選択します。
![Azure portal の [ネットワーク] ペインにあるプライベート エンドポイントを追加するためのボタンのスクリーンショット。](media/how-to-manage-virtual-network-private-endpoint-portal/private-endpoint-selection.png)
[プライベート エンドポイントの作成] ペインで、次の値を入力します。
設定 値 サブスクリプション プライベート エンドポイントを作成するサブスクリプションを選択します。 リソース グループ プライベート エンドポイントを作成するリソース グループを選択します。 場所 プライベート エンドポイントを作成する仮想ネットワークのものと一致する Azure リージョンを選択します。 名前 プライベート エンドポイントの名前を入力します。 ターゲット サブリソース [postgresqlServer] を選びます。 ---- ---- [ネットワーク] セクション 仮想ネットワーク プライベート エンドポイントを作成する仮想ネットワークを、前に作成したものの一覧から選択します。 サブネット プライベート エンドポイントを作成するサブネットの名前を入力します。 ---- ---- [プライベート DNS 統合] セクション プライベート DNS ゾーンとの統合 [はい] を選択します。 プライベート DNS ゾーン [(New)privatelink.postgresql.database.azure.com] を選びます。 このように設定すると、新しいプライベート DNS ゾーンが作成されます。 [OK] を選択します。
[Review + create](レビュー + 作成) を選択します。
[確認と作成] タブでは、Azure によって構成が検証されます。 [ネットワーク] セクションには、プライベート エンドポイントに関する情報の一覧が表示されます。
構成が検証に合格したことを示すメッセージが表示されたら、[作成] を選びます。
プライベート エンドポイントの承認プロセス
現在、多くの企業では、職務を分離するのが一般的です。
- ネットワーク管理者は、Azure Private Link サービスなどのクラウド ネットワーク インフラストラクチャを作成します。
- データベース管理者 (DBA) は、データベース サーバーを作成して管理します。
ネットワーク管理者がプライベート エンドポイントを作成した後、PostgreSQL DBA は Azure Database for PostgreSQL フレキシブル サーバーへのプライベート エンドポイント接続を管理できます。 DBA は、プライベート エンドポイント接続に次の承認プロセスを使います。
Azure portal で、Azure Database for PostgreSQL フレキシブル サーバー リソースに移動します。
左側のウィンドウで、 [ネットワーク] を選択します。
すべてのプライベート エンドポイント接続の一覧と、対応するプライベート エンドポイントが表示されます。 一覧からプライベート エンドポイント接続を選びます。
[承認] または [拒否] を選び、必要に応じて短いテキスト応答を追加します。
承認または拒否すると、応答テキストと共に適切な状態が一覧に反映されます