Azure Private Link を使用して、ネットワークを Azure Monitor に接続する
Azure Private Link を使用すると、プライベート エンドポイントを使用することにより、Azure PaaS (サービスとしてのプラットフォーム) リソースを仮想ネットワークに安全にリンクできます。 Azure Monitor のプライベート リンクは、他のサービスに対するプライベート リンクとは構造が異なります。 この記事では、Azure Monitor のプライベート リンクの主な原則とその動作について説明します。
Azure Monitor で Private Link を使うと、次のような利点があります。 詳しくは、Private Link の主な利点に関する記事をご覧ください。
- パブリック ネットワーク アクセスを許可しないで、Azure Monitor にプライベートに接続します。 承認されたプライベート ネットワーク経由でのみ監視データにアクセスできるようになります。
- プライベート エンドポイント経由で接続する特定の Azure Monitor リソースを定義して、プライベート ネットワーク経由のデータ流出を防ぎます。
- Azure ExpressRoute と Private Link を使用して、オンプレミスのプライベート ネットワークを Azure Monitor に安全に接続します。
- すべてのトラフィックを Azure バックボーン ネットワーク内に収めます。
基本的な概念
Azure Monitor は、仮想ネットワークの接続先のリソースごとにプライベート リンクを作成するのではなく、仮想ネットワークから Azure Monitor プライベート リンク スコープ (AMPLS) へのプライベート エンドポイントを使う 1 つのプライベート リンク接続を使います。 AMPLS は、監視ネットワークの境界を定義する一連の Azure Monitor リソースです。
AMPLS の重要な特徴は次のとおりです。
- プライベート IP を使用する: 仮想ネットワークのプライベート エンドポイントを使うので、ネットワークのプールのプライベート IP を介して Azure Monitor のエンドポイントに到達でき、これらのエンドポイントのパブリック IP を使う必要がありません。 これにより、必要のない送信トラフィックのために仮想ネットワークを開くことなく、Azure Monitor リソースを使い続けることができます。
- Azure バックボーン上で動作: プライベート エンドポイントから Azure Monitor リソースへのトラフィックは、Azure バックボーンを経由するようになり、公衆ネットワークにはルーティングされません。
- 到達できる Azure Monitor リソースを制御する: Private Link リソースへのトラフィックだけを許可するか、または Private Link と AMPLS の外側にある非 Private Link の両方のリソースに対して許可するかを構成します。
- Azure Monitor リソースへのネットワーク アクセスを制御する: ワークスペースやコンポーネントごとに、公衆ネットワークからのトラフィックを受け入れるかブロックするかを構成します。データ インジェストとクエリの要求に対して異なる設定を使う可能性があります。
DNS ゾーン
AMPLS を作成すると、トラフィックをプライベート リンク経由で送信するため、DNS ゾーンによって Azure Monitor のエンドポイントがプライベート IP にマップされます。 Azure Monitor は、リソース固有のエンドポイントと共有グローバル/リージョン エンドポイントの両方を使用して、AMPLS 内のワークスペースとコンポーネントにアクセスします。
Azure Monitor ではいくつかの共有エンドポイントが使われるため、プライベート リンクを構成するのが 1 つのリソースであっても DNS の構成が変更され、"すべてのリソース" へのトラフィックに影響を与えます。 また、共有エンドポイントを使用すると、同じ DNS を共有するすべてのネットワークで 1 つの AMPLS を使用する必要があります。 複数の AMPLS リソースを作成すると、Azure Monitor DNS ゾーンが互いにオーバーライドされ、既存の環境が破壊されます。 詳しくは、「ネットワーク トポロジ別の計画」をご覧ください。
共有グローバル エンドポイントとリージョン エンドポイント
1 つのリソースにでも Private Link を構成すると、以下のエンドポイントへのトラフィックが、割り当てられたプライベート IP を介して送信されるようになります。
- すべての Application Insights エンドポイント: Application Insights エンドポイントに対するインジェスト、ライブ メトリック、プロファイラー、デバッガーを処理するエンドポイントはグローバルです。
- クエリ エンドポイント: Application Insights と Log Analytics の両方のリソースに対するクエリを処理するエンドポイントはグローバルです。
リソース固有のエンドポイント
Log Analytics エンドポイントは、前述のクエリ エンドポイントを除き、ワークスペース固有です。 その結果、AMPLS に特定の Log Analytics ワークスペースを追加すると、プライベート リンクを通じてこのワークスペースにインジェスト要求が送信されます。 他のワークスペースへのインジェストでは、引き続きパブリック エンドポイントが使用されます。
データ収集エンドポイントも、リソース固有です。 これらを使用すると、新しい Azure Monitor エージェントとデータ収集ルールを使用するときに、マシン (またはマシンのセット) からゲスト OS テレメトリ データを収集するためのインジェスト設定を一意に構成できます。 マシンのセットに対してデータ収集エンドポイントを構成しても、新しいエージェントを使用する他のマシンからのゲスト テレメトリのインジェストには影響がありません。
次のステップ
- Azure Private Link のセットアップを設計する。
- プライベート リンクを構成する方法を確認する。
- カスタム ログとカスタマー マネージド キーのプライベート ストレージについて確認する。