Share via

ファイアウォールの内側でのテスト

  • [アーティクル]

ファイアウォールの内側でエンドポイントの可用性を確保するには、パブリック可用性テストを有効にするか、切断された、またはイングレスのシナリオで可用性テストを実行します。

パブリック可用性テストの有効化

内部 Web サイトにパブリック ドメイン ネーム システム (DNS) レコードがあることを確認します。 DNS を解決できない場合、可用性テストは失敗します。 詳細については、内部アプリケーションのカスタム ドメイン名の作成に関するページを参照してください。

警告

可用性テスト サービスによって使用される IP アドレスは共有され、ファイアウォールで保護されたサービス エンドポイントを他のテストに公開できます。 IP アドレスのフィルター処理だけではサービスのトラフィックのセキュリティは確保されないため、Web 要求の配信元を確認するために追加のカスタム ヘッダーを追加することをお勧めします。 詳細については、「仮想ネットワーク サービス タグ」を参照してください。

トラフィックを認証する

トラフィックを検証するために、標準の可用性テストでカスタム ヘッダーを設定します。

  1. 可用性テストからのトラフィックを識別するためのトークンまたは GUID を生成します。

  2. 可用性テストを作成または更新するときに、カスタム ヘッダー "X-Customer-InstanceId" を [標準テスト情報] セクションの値 ApplicationInsightsAvailability:<GUID generated in step 1> と共に追加します。

  3. これまでの手順で定義したヘッダーと値が受信トラフィックに含まれていることをサービスで必ず確認します。

    カスタム検証ヘッダーを示すスクリーンショット。

または、トークンをクエリ パラメーターとして設定します。 たとえば、https://yourtestendpoint/?x-customer-instanceid=applicationinsightsavailability:<your guid> のようにします。

可用性テストからの受信要求を許可するようにファイアウォールを構成する

Note

この例は、ネットワーク セキュリティ グループのサービス タグの使用に固有です。 多くの Azure サービスはサービス タグを受け入れますが、それぞれに異なる構成手順が必要です。

  • 個々の IP を承認したり、最新の IP リストを維持したりせずに Azure サービスを簡単に有効にするには、サービス タグを使用します。 これらのタグを Azure Firewall とネットワーク セキュリティ グループの全体に適用して、可用性テスト サービスがエンドポイントにアクセスできるようにします。 サービス タグ ApplicationInsightsAvailability は、すべての可用性テストに適用されます。

    1. Azure ネットワーク セキュリティ グループを使用する場合は、ネットワーク セキュリティ グループ リソースに移動し、[設定][受信セキュリティ規則] を選択します。 その後、 [追加] を選択します。

      ネットワーク セキュリティ グループ リソースの [受信セキュリティ規則] タブを示すスクリーンショット。

    2. 次に、ソースとして [サービス タグ] を選択し、ソース サービス タグとして [ApplicationInsightsAvailability] を選択します。 サービス タグからの着信トラフィック用にオープン ポート 80 (http) と 443 (https) を使用します。

      サービス タグのソースを含む [受信セキュリティ規則の追加] タブを示すスクリーンショット。

  • エンドポイントが Azure の外部にある場合、またはサービス タグがオプションではない場合にアクセスを管理するには、Web テスト エージェントの IP アドレスを許可リストに登録します。 PowerShell、Azure CLI、または Service Tag API を使用した REST 呼び出しを使用して、IP 範囲のクエリを実行できます。 現在のサービス タグとその IP の詳細の包括的な一覧については、JSON ファイルをダウンロードしてください。

    1. ネットワーク セキュリティ グループ リソースで、[設定][受信セキュリティ規則] を選択します。 その後、 [追加] を選択します。

    2. 次に、ソースとして [IP アドレス] を選択します。 次に、[ソース IP アドレス/CIRD 範囲] のコンマ区切りの一覧に IP アドレスを追加します。

      IP アドレスのソースを含む [受信セキュリティ規則の追加] タブを示すスクリーンショット。

切断またはイングレスなしシナリオ

  1. Azure Private Link を使用して、Application Insights リソースを内部サービス エンドポイントに接続します。
  2. 内部サーバーまたはエンドポイントを定期的にテストするカスタム コードを作成します。 コア SDK パッケージ内の TrackAvailability() API を使用して、結果を Application Insights に送信します。

トラブルシューティング

詳細については、トラブルシューティングの記事を参照してください。

次のステップ