Microsoft Fabric(以降、Fabricと記載)は、データの収集や処理、変換、リアルタイム分析、レポート作成などの機能を統合した企業向けのSaaS型プラットフォームです。
今回は、Fabricの仮想ネットワークデータゲートウェイを利用し、プライベートエンドポイントを有効にしたストレージアカウントに接続する方法について紹介します。
仮想ネットワークデータゲートウェイとは
仮想ネットワークデータゲートウェイは、Microsoftのクラウドサービス(FabricやPower Platform)から、仮想ネットワーク内のAzureデータサービスに安全に接続するためのツールです。
オンプレミスデータゲートウェイは、オンプレミスまたは仮想マシンへのインストールが必要であるのに対し、仮想ネットワークデータゲートウェイは、仮想マシンへのインストールやハードウェア管理が不要です。
これによって、オンプレミスデータゲートウェイと比べて、運用負担の軽減やコスト効率の向上が期待できます。
構成図
今回の構成図は下記の通りです。
パブリックネットワークを経由したデータソースへの接続は無効にします。その上で、Fabricで仮想ネットワークデータゲートウェイを利用し、プライベートな環境にあるAzure Data Lake Storage Gen2へプライベート接続します。
リソースグループ、仮想ネットワーク、ストレージアカウントの各リソースの作成方法は下記ドキュメントを参考にしてください。
実装
以下の流れで実装を行います。
- リソースプロバイダーの登録
- サブネットの作成(仮想ネットワークデータゲートウェイ用/プライベートエンドポイント用)
- プライベートエンドポイントの作成
- ストレージアカウントのネットワーク設定
- 仮想ネットワークデータゲートウェイの作成
- データソース接続の作成
- データソースへの接続確認(パブリックネットワーク経由/仮想ネットワークデータゲートウェイ経由)
Azure Portalでの操作
リソースプロバイダーの登録
仮想ネットワークデータゲートウェイの作成には、サブスクリプションのリソースプロバイダーとして、「Microsoft Power Platform」を登録する必要があります。この登録によって、サブスクリプションがリソースプロバイダーと連携できるようになります。
Azure Portalにサインイン後、特定のサブスクリプションに移動し、「リソースプロバイダー」を選択します。プロバイダーの一覧から「Microsoft Power Platform 」を選択し、「登録」を押下します。
サブネット(仮想ネットワークデータゲートウェイ用)の作成
仮想ネットワークデータゲートウェイ用のサブネットを作成していきます。
Azure Portalの「仮想ネットワーク」>「設定」>「サブネット」>下記赤枠の「+サブネット」の順に押下します。
仮想ネットワークデータゲートウェイをサブネットに構成するには、サブネットをMicrosoft Power Platformに委任する必要があります。「サブネットの委任」の項目で、「Microsoft Power Platform/vnetaccesslinks」を選択し、「追加」を押下して仮想ネットワークデータゲートウェイ用のサブネットを作成します。
サブネット(プライベートエンドポイント用)の作成
今回は、データソースに対してプライベート接続する必要があるため、プライベートエンドポイントを使用する必要があります。
ただし、先ほど作成した仮想ネットワークデータゲートウェイ用のサブネット(vnetgateway-subnet)は、サブネットを委任している関係でプライベートエンドポイントを作成することができません。
そのため、プライベートエンドポイント用のサブネット(pe-subnet)を新たに作成します。「+サブネット」を押下し、任意の名前を入力して、全て既定値のままサブネットを作成します。
これでサブネットの準備が完了しました。
仮想ネットワークデータゲートウェイ用のサブネット(vnetgateway-subnet)には、委任先に「Microsoft Power Platform /vnetaccesslinks」 が表示されます。
プライベートエンドポイントの作成
プライベートエンドポイントの作成方法は下記ドキュメントを参考にしてください。
クイックスタート: プライベート エンドポイントを作成する - Azure portal - Azure Private Link | Microsoft Learn
今回は、Azure Data Lake Storage Gen2(ADLS Gen2)へのプライベート接続を行うため、ターゲットサブリソースを「dfs」と「blob」とした2種類のプライベートエンドポイントを下図のように作成しています。
ストレージアカウントのネットワーク設定
ストレージアカウントへのパブリックネットワークアクセスを「無効」にすることで、パブリックネットワークからのアクセスを拒否します。
パブリックネットワークアクセスを無効にした上で、プライベートエンドポイント接続が有効化されているかを確認します。
これで、Azureリソースの準備が完了しました。
Fabricでの操作
仮想ネットワークデータゲートウェイの作成
Fabricにアクセスし、「設定」>「接続とゲートウェイの管理」の順に押下します。
接続とゲートウェイの管理の画面へ遷移後、「仮想ネットワークデータゲートウェイ」>「作成」の順に押下し、下記の設定内容で仮想ネットワークを作成します。
| ライセンス容量 | 起動状態にしたFabric容量 |
| Azureサブスクリプション | PowerPlatformに委任したサブネットが所属するAzureサブスクリプション |
| リソースグループ | Power Platformに委任したサブネットが所属するリソースグループ |
| 仮想ネットワーク | Power Platformに委任したサブネットが所属するネットワーク |
| サブネット | Power Platformに委任したサブネット |
| 名前 | 任意 |
データソース接続の作成
接続とゲートウェイの管理画面より、「接続」>「新規」>新しい接続から「仮想ネットワーク」を選択し、仮想ネットワークでータゲートウェイを使った接続を下記内容で作成していきます。
| ゲートウェイクラスター名 | 作成した仮想ネットワークデータゲートウェイ |
| 接続名 | 任意 |
| 接続の種類 | 任意(今回はAzure Data Lake Storage Gen2) |
| サーバー | Azure Data Lake Storage Gen2のエンドポイント |
| 完全なパス | ファイルシステム名 |
認証に関しては、今回の場合「Key」を選択し、アカウントキーにはストレージアカウントのアクセスキーを記入しています。
また、全般のプライバシーレベルは規定で選択されている「組織」のままとしています。
データソースへの接続確認(パブリックネットワーク)
データフローGen2を使い、データソースへの接続を確認していきます。
ここでは、パブリックネットワーク経由によるデータソースへの接続可否を確認しています。ストレージアカウントのパブリックネットワークアクセスを「無効」にしているため、下図のようにパブリックネットワークでのアクセスは拒否されます。
データソースへの接続確認(仮想ネットワークデータゲートウェイ)
仮想ネットワークデータゲートウェイを使ったデータソースへの接続を確認します。
作成した仮想ネットワークデータゲートウェイの接続を選択し、「次へ」を押下します。
仮想ネットワークデータゲートウェイでの接続にすることで、データソースに接続することが確認できました。
ネットワーク情報の確認
「接続とゲートウェイの管理>「仮想ネットワークデータゲートウェイ」>「任意の仮想ネットワークデータゲートウェイを選択」>「ネットワークのトラブルシューティング」を押下することで、仮想ネットワークデータゲートウェイのネットワーク情報を確認することができます。
また、データソースのIP/FQDN、ポートを入力することで、データソースへの接続をテストすることも可能です。
試しに、ストレージアカウントへの接続をテストしたものが下図になります。結果を見ると、アドレスが10.0.1.4となっており、プライベートIPアドレスになっていることが確認できます。
まとめ
Microsoft Fabricの仮想ネットワークデータゲートウェイを使用して、プライベートな環境にあるデータソースへの接続を紹介しました。
本記事では、仮想ネットワークデータゲートウェイを使ったデータソースの接続先としてAzure Data Lake Storage Gen2を設定しましたが、他にもSQLやBLOBなど様々なコネクタを使用することができます。
また、今回はFabricのデータフローGen2を用いて仮想ネットワークデータゲートウェイ接続を試しましたが、Power BIのセマンティックモデルにおいても仮想ネットワークデータゲートウェイ接続を使用することも可能です。
