Azure Monitor で使用される IP アドレス

  • [アーティクル]

Azure Monitor では、複数の IP アドレスが使用されます。 Azure Monitor は Log Analytics と Application Insights に加え、コア プラットフォーム メトリクスとログで構成されています。 監視しているアプリまたはインフラストラクチャがファイアウォールの背後でホストされているとき、場合によっては、IP アドレスを把握しておく必要があります。

A diagram illustrating the ingestion flow of telemetry

注意

これらは静的アドレスですが、しばしば変更の必要が生じることがあります。 すべての Application Insights トラフィックは、可用性の監視と Webhook アクション グループ (受信ファイアウォール ルールも必要) を除き、送信トラフィックを表します。

Azure ネットワーク セキュリティ グループを使用している場合は、Azure ネットワーク サービス タグを使用してアクセスを管理できます。 ハイブリッドまたはオンプレミスのリソースのアクセスを管理している場合は、対応する IP アドレス リストを JSON ファイルとしてダウンロードできます。これは毎週更新されます。 この記事のすべての例外に対応するには、サービス タグ ActionGroupApplicationInsightsAvailability、および AzureMonitor を使用します。

または、https://github.com/MicrosoftDocs/azure-docs/blob/main/articles/azure-monitor/app/ip-addresses.md をお気に入りの RSS/ATOM リーダーに追加してこのページを RSS フィードとしてサブスクライブすると、最新の変更に関する通知を受け取ることができます。

送信ポート

Application Insights SDK や Application Insights エージェントがポータルにデータを送信できるように、サーバーのファイアウォールでいくつかの送信ポートを開く必要があります。

注意

これらのアドレスは、クラスレス ドメイン間ルーティング表記を使用して一覧表示されます。 たとえば、51.144.56.112/28 のようなエントリは、51.144.56.112 で始まり 51.144.56.127 で終わる 16 個の IP に相当します。

目的 URL IP Port
テレメトリ dc.applicationinsights.azure.com
dc.applicationinsights.microsoft.com
dc.services.visualstudio.com
*.in.applicationinsights.azure.com

 グローバル
グローバル
グローバル
地域
 443
ライブ メトリック live.applicationinsights.azure.com
rt.applicationinsights.microsoft.com
rt.services.visualstudio.com

{region}.livediagnostics.monitor.azure.com

{region}: westus2 の例
この表でサポートされているすべてのリージョンを見つけます。		 グローバル
グローバル
グローバル

地域
 20.49.111.32/29
13.73.253.112/29		 443

注意

Application Insights インジェスト エンドポイントは IPv4 のみです。

重要

Live Metrics の場合は、グローバル IP とは別に、それぞれのリージョンの IP の一覧 を追加する 必要 があります。

Application Insights エージェント

Application Insights エージェントの構成は変更を加えている場合にのみ必要です。

目的 URL Port
構成 management.core.windows.net 443
構成 management.azure.com 443
構成 login.windows.net 443
構成 login.microsoftonline.com 443
構成 secure.aadcdn.microsoftonline-p.com 443
構成 auth.gfx.ms 443
構成 login.live.com 443
インストール globalcdn.nuget.orgpackages.nuget.orgapi.nuget.org/v3/index.jsonnuget.orgapi.nuget.orgdc.services.vsallin.net 443

可用性テスト

これは 可用性 Web テスト の実行元のアドレスの一覧です。 アプリで Web テストを実行しようとするが、Web サーバーが特定のクライアントの処理に制限されている場合は、可用性テスト サーバーからの受信トラフィックを許可する必要があります。

注意

パブリック Azure の可用性テスト エージェントとの直接の受信通信を許可できないプライベート仮想ネットワーク内にあるリソースの場合、唯一のオプションは、独自のカスタム可用性テストを作成してホストすることです。

サービス タグ

Azure ネットワーク セキュリティ グループを使用している場合は、Application Insights 可用性テストからのトラフィックを許可する "受信ポート規則" を追加します。 ソースとして [サービス タグ] を選択し、ソース サービス タグとして [ApplicationInsightsAvailability] を選択します。

Screenshot that shows selecting Inbound security rules and then selecting Add.

Screenshot that shows the Add inbound security rule tab.

これらのアドレスからの受信トラフィック用にポート 80 (HTTP) と 443 (HTTPS) を開きます。 IP アドレスは場所別にグループ化されます。

IP アドレス

ファイアウォールで許可されている IP 一覧に追加できるように、実際の IP アドレスを探している場合は、Azure の IP 範囲を記述した JSON ファイルをダウンロードします。 これらのファイルには最新の情報が含まれています。 該当するファイルをダウンロードしたら、お気に入りのテキスト エディターを使用して開きます。 [ApplicationInsightsAvailability] を検索して、可用性テストのサービス タグを記述するファイルのセクションに直接移動します。

Azure パブリック クラウドの場合は、グローバル IP 範囲と、ライブ データを受信する Application Insights リソースのリージョンに固有の IP 範囲の両方を許可する必要があります。 グローバル IP 範囲は、このドキュメントの上部にある送信ポートの表に記載されており、リージョンの IP 範囲は、下のリージョン別にグループ化されたアドレスの表に記載されています。

Azure パブリック クラウド

パブリッククラウドの IP アドレスをダウンロードします。

Azure US Government cloud

US Government クラウドの IP アドレスをダウンロードします。

21Vianet によって運営される Microsoft Azure クラウド

China Cloud の IP アドレスをダウンロードします。

リージョン別にグループ化されたアドレス (Azure パブリック クラウド)

対応するリージョンのサブドメインを送信ポートの表の Live Metrics URL に追加します。

Note

Azure TLS 1.2 の移行に関するお知らせで説明されているように、Application Insights の接続文字列ベースのリージョン テレメトリ エンドポイントでは TLS 1.2 のみがサポートされます。 グローバル テレメトリ エンドポイントでは、引き続き TLS 1.0 と TLS 1.1 がサポートされます。

古いバージョンの TLS を使っている場合、テレメトリは Application Insights に取り込まれません。 .NET Framework に基づくアプリケーションの場合は、「.NET Framework でのトランスポート層セキュリティ (TLS) のベスト プラクティス」を参照して、新しいバージョンの TLS をサポートしてください。

大陸/国 リージョン Subdomain IP
アジア 東アジア eastasia 52.229.216.48/28
20.189.111.16/29
東南アジア southeastasia 52.139.250.96/28
23.98.106.152/29
オーストラリア オーストラリア中部 australiacentral 20.37.227.104/29
オーストラリア中部 2 australiacentral2 20.53.60.224/31
オーストラリア東部 australiaeast 20.40.124.176/28
20.37.198.232/29
オーストラリア南東部 australiasoutheast 20.42.230.224/29
ブラジル ブラジル南部 brazilsouth 191.233.26.176/28
191.234.137.40/29
ブラジル南東部 brazilsoutheast 20.206.0.196/31
Canada カナダ中部 canadacentral 52.228.86.152/29
ヨーロッパ 北ヨーロッパ northeurope 52.158.28.64/28
20.50.68.128/29
西ヨーロッパ westeurope 51.144.56.96/28
40.113.178.32/29
フランス フランス中部 francecentral 20.40.129.32/28
20.43.44.216/29
フランス南部 francesouth 20.40.129.96/28
52.136.191.12/31
ドイツ ドイツ中西部 germanywestcentral 20.52.95.50/31
インド インド中部 centralindia 52.140.108.216/29
インド南部 southindia 20.192.153.106/31
日本 東日本 japaneast 52.140.232.160/28
20.43.70.224/29
西日本 japanwest 20.189.194.102/31
韓国 韓国中部 koreacentral 20.41.69.24/29
ノルウェー ノルウェー東部 norwayeast 51.120.235.248/29
ノルウェー西部 norwaywest 51.13.143.48/31
カタール カタール中部 qatarcentral 20.21.39.224/29
南アフリカ 南アフリカ北部 southafricanorth 102.133.219.136/29
スイス スイス北部 switzerlandnorth 51.107.52.200/29
スイス西部 switzerlandwest 51.107.148.8/29
アラブ首長国連邦 アラブ首長国連邦北部 uaenorth 20.38.143.44/31
40.120.87.204/31
イギリス 英国南部 uksouth 51.105.9.128/28
51.104.30.160/29
英国西部 ukwest 20.40.104.96/28
51.137.164.200/29
United States 米国中部 centralus 13.86.97.224/28
20.40.206.232/29
米国東部 eastus 20.42.35.32/28
20.49.111.32/29
米国東部 2 eastus2 20.49.102.24/29
米国中北部 northcentralus 23.100.224.16/28
20.49.114.40/29
米国中南部 southcentralus 20.45.5.160/28
13.73.253.112/29
米国西部 westus 40.91.82.48/28
52.250.228.8/29
米国西部 2 westus2 40.64.134.128/29
米国西部 3 westus3 20.150.241.64/29

今後のリージョン (Azure パブリック クラウド)

Note

次のリージョンはまだサポートされていませんが、近い将来に追加される予定です。

大陸/国 リージョン Subdomain IP
カナダ カナダ東部 TBD 52.242.40.208/31
ドイツ ドイツ北部 TBD 51.116.75.92/31
インド インド西部 TBD 20.192.84.164/31
JIO インド中部 TBD 20.192.50.200/29
JIO インド西部 TBD 20.193.194.32/29
イスラエル イスラエル中部 TBD 20.217.44.250/31
ポーランド ポーランド中部 TBD 20.215.4.250/31
南アフリカ 南アフリカ西部 TBD 102.37.86.196/31
スウェーデン スウェーデン中部 TBD 51.12.25.192/29
スウェーデン南部 TBD 51.12.17.128/29
台湾 台湾北部 TBD 51.53.28.214/31
台湾北西部 TBD 51.53.172.214/31
アラブ首長国連邦 アラブ首長国連邦中部 TBD 20.45.95.68/31
アメリカ合衆国 米国中西部 TBD 52.150.154.24/29

API を検出する

サービス タグの現在の一覧を IP アドレス範囲の詳細と共にプログラムで取得することも可能です。

Application Insights API と Log Analytics API

目的 URI IP Port
API api.applicationinsights.io
api1.applicationinsights.io
api2.applicationinsights.io
api3.applicationinsights.io
api4.applicationinsights.io
api5.applicationinsights.io
dev.applicationinsights.io
dev.applicationinsights.microsoft.com
dev.aisvc.visualstudio.com
www.applicationinsights.io
www.applicationinsights.microsoft.com
www.aisvc.visualstudio.com
api.loganalytics.io
*.api.loganalytics.io
dev.loganalytics.io
docs.loganalytics.io
www.loganalytics.io		 20.37.52.188
20.37.53.231
20.36.47.130
20.40.124.0
20.43.99.158
20.43.98.234
13.70.127.61
40.81.58.225
20.40.160.120
23.101.225.155
52.139.8.32
13.88.230.43
52.230.224.237
52.242.230.209
52.173.249.138
52.229.218.221
52.229.225.6
23.100.94.221
52.188.179.229
52.226.151.250
52.150.36.187
40.121.135.131
20.44.73.196
20.41.49.208
40.70.23.205
20.40.137.91
20.40.140.212
40.89.189.61
52.155.118.97
52.156.40.142
23.102.66.132
52.231.111.52
52.231.108.46
52.231.64.72
52.162.87.50
23.100.228.32
40.127.144.141
52.155.162.238
137.116.226.81
52.185.215.171
40.119.4.128
52.171.56.178
20.43.152.45
20.44.192.217
13.67.77.233
51.104.255.249
51.104.252.13
51.143.165.22
13.78.151.158
51.105.248.23
40.74.36.208
40.74.59.40
13.93.233.49
52.247.202.90		 80,443
Azure Pipeline 注釈拡張機能 aigs1.aisvc.visualstudio.com 動的 443

Application Insights 分析

目的 URI IP Port
Analytics ポータル analytics.applicationinsights.io 動的 80,443
CDN applicationanalytics.azureedge.net 動的 80,443
メディア CDN applicationanalyticsmedia.azureedge.net 動的 80,443

*.applicationinsights.io ドメインは Application Insights チームによって所有されています。

Log Analytics ポータル

目的 URI IP Port
ポータル portal.loganalytics.io 動的 80,443
CDN applicationanalytics.azureedge.net 動的 80,443

*.loganalytics.io ドメインは Log Analytics チームによって所有されています。

Application Insights Azure portal 拡張機能

目的 URI IP Port
Application Insights 拡張機能 stamp2.app.insightsportal.visualstudio.com 動的 80,443
Application Insights 拡張機能 CDN insightsportal prod2-cdn.aisvc.visualstudio.com
insightsportal-prod2-asiae-cdn.aisvc.visualstudio.com
insightsportal-cdn-aimon.applicationinsights.io		 動的 80,443

Application Insights SDK

目的 URI IP Port
Application Insights JS SDK CDN az416426.vo.msecnd.net
js.monitor.azure.com		 動的 80,443

アクション グループ Webhook

アクション グループによって使用される IP アドレスの一覧は、Get-AzNetworkServiceTag PowerShell コマンドを使用して問い合わせることができます。

アクション グループ サービス タグ

ソース IP アドレスの変更管理には、時間がかかることがあります。 "サービス タグ" を使用すると、構成を更新する必要がなくなります。 サービス タグは、特定の Azure サービスからの IP アドレス プレフィックスのグループを表します。 Microsoft は IP アドレスを管理し、アドレスが変更されたとき、サービス タグを自動更新します。アクション グループのネットワーク セキュリティ規則を更新する必要はありません。

  1. [Azure サービス] の下の Azure portal で、[ネットワーク セキュリティ グループ] を検索します。

  2. [追加] を選択して、ネットワーク セキュリティ グループを作成します。

    1. リソース グループ名を追加し、[インスタンスの詳細]の情報を入力します。
    2. [確認と作成][作成] の順に選択します。

    Screenshot that shows how to create a network security group.

  3. [リソース グループ] に移動し、作成したネットワーク セキュリティ グループを選択します。

    1. [受信セキュリティ規則] を選択します。
    2. [追加] を選択します。

    Screenshot that shows how to add inbound security rules.

  4. 右側のペインに新しいウィンドウが開きます。

    1. [ソース] に「サービス タグ」と入力します。
    2. [ソース サービス タグ] に「ActionGroup」と入力します。
    3. [追加] を選択します。

    Screenshot that shows how to add a service tag.

プロファイラー

目的 URI IP Port
エージェント agent.azureserviceprofiler.net
*.agent.azureserviceprofiler.net		 20.190.60.38
20.190.60.32
52.173.196.230
52.173.196.209
23.102.44.211
23.102.45.216
13.69.51.218
13.69.51.175
138.91.32.98
138.91.37.93
40.121.61.208
40.121.57.2
51.140.60.235
51.140.180.52
52.138.31.112
52.138.31.127
104.211.90.234
104.211.91.254
13.70.124.27
13.75.195.15
52.185.132.101
52.185.132.170
20.188.36.28
40.89.153.171
52.141.22.239
52.141.22.149
102.133.162.233
102.133.161.73
191.232.214.6
191.232.213.239		 443
ポータル gateway.azureserviceprofiler.net 動的 443
ストレージ *.core.windows.net 動的 443

スナップショット デバッガー

Note

プロファイラーとスナップショット デバッガーは、同じ IP アドレスのセットを共有します。

目的 URI IP Port
エージェント agent.azureserviceprofiler.net
*.agent.azureserviceprofiler.net		 20.190.60.38
20.190.60.32
52.173.196.230
52.173.196.209
23.102.44.211
23.102.45.216
13.69.51.218
13.69.51.175
138.91.32.98
138.91.37.93
40.121.61.208
40.121.57.2
51.140.60.235
51.140.180.52
52.138.31.112
52.138.31.127
104.211.90.234
104.211.91.254
13.70.124.27
13.75.195.15
52.185.132.101
52.185.132.170
20.188.36.28
40.89.153.171
52.141.22.239
52.141.22.149
102.133.162.233
102.133.161.73
191.232.214.6
191.232.213.239		 443
ポータル gateway.azureserviceprofiler.net 動的 443
ストレージ *.core.windows.net 動的 443

よく寄せられる質問

このセクションでは、一般的な質問への回答を示します。

イントラネット Web サーバーを監視できますか?

はい。ただし、ファイアウォールの例外またはプロキシによるリダイレクトを使用して、Microsoft のサービスへのトラフィックを許可する必要があります。

  • QuickPulse https://rt.services.visualstudio.com:443
  • ApplicationIdProvider https://dc.services.visualstudio.com:443
  • TelemetryChannel https://dc.services.visualstudio.com:443

サービスと IP アドレスの全一覧については、「Azure Monitor で使用される IP アドレス」を参照してください。

インターネット上でサーバーからゲートウェイにトラフィックを再ルーティングするにはどうすればよいですか?

構成内のエンドポイントを上書きすることによって、ご利用のサーバーからのトラフィックをイントラネット上のゲートウェイにルーティングします。 Endpoint プロパティが config に存在しない場合、これらのクラスでは、次の ApplicationInsights.config の例に示されている既定値が使用されます。

ご利用のゲートウェイは、Microsoft のエンドポイントのベース アドレスにトラフィックをルーティングする必要があります。 構成内の既定値を http://<your.gateway.address>/<relative path> に置き換えてください。

既定のエンドポイントを使用する ApplicationInsights.config の例:

<ApplicationInsights>
...
<TelemetryModules>
    <Add Type="Microsoft.ApplicationInsights.Extensibility.PerfCounterCollector.QuickPulse.QuickPulseTelemetryModule, Microsoft.AI.PerfCounterCollector">
    <QuickPulseServiceEndpoint>https://rt.services.visualstudio.com/QuickPulseService.svc</QuickPulseServiceEndpoint>
    </Add>
</TelemetryModules>
    ...
<TelemetryChannel>
    <EndpointAddress>https://dc.services.visualstudio.com/v2/track</EndpointAddress>
</TelemetryChannel>
...
<ApplicationIdProvider Type="Microsoft.ApplicationInsights.Extensibility.Implementation.ApplicationId.ApplicationInsightsApplicationIdProvider, Microsoft.ApplicationInsights">
    <ProfileQueryEndpoint>https://dc.services.visualstudio.com/api/profiles/{0}/appId</ProfileQueryEndpoint>
</ApplicationIdProvider>
...
</ApplicationInsights>

Note

ApplicationIdProvider は、v2.6.0 以降で使用できます。