2019 年 9 月のリリースから、そのリリースのマニフェストのバージョンまたはそれ以降のバージョンを使用して新たにデプロイされたポッドと、そのリリースのマニフェストのバージョンまたはそれ以降のバージョンに更新されたポッドの両方について、ポッドの管理サブネットで Microsoft Azure Database for PostgreSQL サービス エンドポイントとのネットワーク通信もサポートされる必要があります。新しいポッドをデプロイする前、または既存のポッドをアップグレードする前に、作成するポッド管理サブネットで、Microsoft.Sql サービスをサービス エンドポイントとして有効にする必要があります。デプロイまたは更新プロセスでは、サブネットにエンドポイントがあるかどうかがチェックされ、管理サブネットでエンドポイントが有効になっていない場合は続行されません。このサービス エンドポイントを有効にすることに加えて、ファイアウォールまたはネットワーク セキュリティ グループ (NSG) ルールが管理サブネット上にある場合は、新しいポッドをデプロイしたり既存のポッドをアップグレードしたりする前に、Microsoft Azure Database for PostgreSQL サービスに対するトラフィックを許可するように構成する必要があります。

重要: 2019 年 12 月のリリースでは、ポッドの外部 Unified Access Gateway 構成をポッドの VNet とは別の専用の VNet にデプロイする機能が導入されています。この機能を使用する場合、外部ゲートウェイの VNet の管理サブネットもこの要件を満たし、 Microsoft.Sql サービスをそのサブネット上のサービス エンドポイントとして有効にする必要があります。

2019 年 9 月のリリースでは、Microsoft Azure の Horizon Cloud ポッドの必須要素としての、Microsoft Azure Database for PostgreSQL サービスの使用が導入されています。Microsoft のドキュメントで説明されているように、Microsoft Azure Database for PostgreSQL は、完全に管理されたデータベースとしてのサービスを提供します。ポッドのデプロイまたは更新では、単一サーバのデプロイ タイプを使用して、Microsoft Azure Database for PostgreSQL サーバ リソースがポッドのリソース グループにデプロイされます。デプロイおよび更新プロセスでは、ポッドの VNet に VNet ルールも自動的に追加されます。この VNet ルールは、ポッドの管理サブネットへの Microsoft Azure Database for PostgreSQL サーバのトラフィックを制限します。ポッドと、その Microsoft Azure Database for PostgreSQL サーバとの間の通信では、管理サブネットを使用します。これにより、ポッドの管理サブネットにいくつかの要件が適用されます。

管理サブネットで、Microsoft.Sql サービスをサービス エンドポイントとして有効にする

デプロイされた Microsoft Azure Database for PostgreSQL サーバの管理サブネットへのトラフィックを制限する VNet ルールでは、サブネットで Microsoft.Sql サービス エンドポイントが有効になっている必要があります。ポッド デプロイヤによってサブネットが作成されるシナリオでは、デプロイヤによって、ポッドの管理サブネットが作成する管理サブネット上で有効になっている Microsoft.Sql サービス エンドポイントが確保されます。ただし、管理サブネットを自分で作成する場合は、新しいポッドをデプロイする前、または既存のポッドを更新する前に、管理サブネットが確実にこれらの要件を満たしている必要があります。次のスクリーンショットは、Microsoft Azure ポータルを使用して、サブネット上で Microsoft.Sql サービスをサービス エンドポイントとして有効にする例を示しています。ポータルでサブネットをクリックした後、[サービス エンドポイント] セクションで [サービス] ドロップダウン リストを使用して Microsoft.Sql を選択し、保存します。


[サービス] ドロップダウン リストで選択された Microsoft.Sql アイテムを示す、Microsoft Azure ポータルのサブネットのスクリーンショット。

Microsoft Azure ポータルを使用して管理サブネットに移動し、[サービス] ドロップダウンで Microsoft.Sql を選択することができます。

ファイアウォールまたは NSG で、Microsoft Azure Database for PostgreSQL サービスへのポッド通信が許可されていることを確認する

Microsoft Azure での Horizon Cloud ポッドの DNS の要件にリストされているように、管理サブネットでは、管理サブネットのネットワーク ルールを構成して、ポッドから Microsoft Azure Database for PostgreSQL サービスへの通信を許可する必要があります。新しいポッドをデプロイする前、または既存のポッドを更新する前に、管理サブネットがこの要件を満たしていることを確認する必要があります。

ファイアウォールまたは NSG がサービス タグを使用してアクセスを指定することをサポートする場合は、次のいずれかの方法でポッド通信を許可します。

  • グローバル Azure SQL サービス タグ:Sql
  • ポッドがデプロイされている Azure リージョンの地域固有の SQL サービス タグ:Sql.regionSql.WestUS など)

ファイアウォールまたは NSG がサービス タグを使用してアクセスを指定することをサポートしない場合は、ポッドのリソース グループで作成されたデータベース サーバ リソースのホスト名を使用できます。サーバ リソースの名前は、*.postgres.database.azure.com のパターンに従います。

セキュリティ グループ内のサービス タグの詳細については、サービス タグにある Microsoft Azure ドキュメントのトピックを参照してください。