警告
仮想ネットワークの挿入は、2025 年 2 月 1 日までに Azure Data Explorer で廃止されました。
この記事では、Microsoft Azure Virtual Network によって挿入された Azure Data Explorer クラスターを Azure プライベート エンドポイント ネットワーク セキュリティ モデルに移行する方法について説明します。
移行のプロセスには数分かかります。 この移行により、エンジンとデータ管理サービス用に、Microsoft が管理する仮想ネットワーク内に新しいクラスターが作成されます。 接続は、あなたのために新しく作成されたサービスに切り替わります。 このプロセスにより、クラスターに対するクエリによるダウンタイムが最小限に抑えられます。
移行後も、private-[clustername].[geo-region].kusto.windows.net (エンジン) と ingest-private-[clustername].[geo-region].kusto.windows.net\private-ingest-[clustername].[geo-region].kusto.windows.net (データ管理) の FQDN を使用してクラスターに接続できます。 ただし、private のプレフィックスが付いていない通常のクラスター エンドポイントに移行することをお勧めします。
前提条件
- 仮想ネットワークインジェクションを使用する既存の Azure Data Explorer クラスターがあり、それを移行する必要があります。 詳細については、「 仮想ネットワークインジェクションを使用するクラスターの検索を参照してください。
- クラスターを管理するには、少なくとも 共同作成者 アクセス許可が必要です。
- クラスターが配置されている仮想ネットワークを管理するには、少なくとも 共同作成者 アクセス許可が必要です。
- クラスターに接続されているプライベート IP を管理するには、少なくとも 共同作成者 アクセス許可が必要です。
- Azure Storage や Event Hubs などの他のリソースの場合は、少なくとも所有者アクセス許可が必要です。
- (省略可能)Azure Data Explorer クラスターのプライベート エンドポイントを作成する仮想ネットワークとサブネットがあります。
- (省略可能)サブスクリプションとリソース グループ内のプライベート エンドポイントとプライベート DNS ゾーンを確立して監視するために必要なアクセス許可があります。
ヒント
または、移行の実行中に、クラスターを含むリソース グループに対する少なくとも共同作成者アクセス許可を一時的に持つことができます。
Virtual Network インジェクションを使用するクラスターを検索する
Azure Resource Graph を使用し、Kusto 照会言語 (KQL) を使用して Azure リソースを調べることで、サブスクリプション内のどのクラスターが Virtual Network インジェクションを使用しているかを特定できます。
Azure portal の Resource Graph エクスプローラーに移動します。
次のクエリをコピーして貼り付けます。 次に、[クエリの実行] を選択して、Virtual Network インジェクションを使用しているすべてのクラスターを一覧表示します。
このクエリを実行すると、
microsoft.kusto/clustersプロパティの状態がvirtualNetworkConfiguration(クラスターが Virtual Network インジェクションを使用していることを示します) に設定されているクラスター (Enabled) のみを含むようにリソースがフィルター処理されます。resources | where type == 'microsoft.kusto/clusters' | where properties.virtualNetworkConfiguration.state == 'Enabled' | project name, resourceGroup, subscriptionId, location
移行の準備を行う
移行プロセスを開始する前に、Azure プライベート エンドポイント ネットワーク セキュリティ モデルに合わせてクラスター インフラストラクチャを構成することをお勧めします。 移行後にこの構成を実行することはできますが、これを行うとサービスが中断される可能性があります。
次の手順では、仮想ネットワーク内の移行後のクライアントがクラスターに接続でき、クラスターが他のサービスに接続できることを確認します。 Azure Storageazure Event Hubsのファイアウォールを使用する場合は、次の手順が重要です。 たとえば、Azure Storage と Azure Event Hubs 名前空間にサービス エンドポイントが使用されていた場合、クラスターを仮想ネットワークから移行すると、これらのサービスへの接続が中断されます。 接続を復元するには、Azure Data Explorer のマネージド プライベート エンドポイントを設定する必要があります。
移行用にクラスターを準備するには:
Azure portal で、移行する Azure Data Explorer クラスターに移動します。
左側のメニューから Networking を選択します。
![仮想ネットワークが挿入されたクラスターの Azure portal の [ネットワーク] オプションのスクリーンショット。](media/security-network-migrate/vnet-injection-migration-overview.png)
パブリック アクセスが
Disabledに設定されている場合でもクラスターに接続するには、[Private Endpoints connections] タブを選択し、プライベート エンドポイントを作成。 Azure Virtual Network 統合を使用して Azure Data Explorer クラスターに使用したサブネットとは異なるサブネットを選択してください。それ以外の場合、プライベート エンドポイントのデプロイは失敗します。![仮想ネットワークが挿入されたクラスターの Azure portal の [ネットワーク] オプションのスクリーンショット。選択したプライベート エンドポイントのタブ。](media/security-network-migrate/vnet-injection-migration-pe.png)
注
この構成は、クラスターの移行後にのみ有効になります。
クラスターが他のネットワークで保護されたサービスに接続できるようにするには、[管理されたプライベート エンドポイント] タブを選択しマネージド プライベート エンドポイントを作成。
![仮想ネットワークが挿入されたクラスターの Azure portal の [ネットワーク] オプションのスクリーンショット。選択したマネージド プライベート エンドポイントのタブ。](media/security-network-migrate/vnet-injection-migration-mpe.png)
注
この構成は、クラスターの移行後にのみ有効になります。
送信アクセスを制限するには、送信アクセスの制限タブを選択し、送信アクセスを制限する方法についてはドキュメントを参照してください。 これらの制限は直ちに有効になります。
![仮想ネットワークが挿入されたクラスターの Azure portal の [ネットワーク] オプションのスクリーンショット。制限付き送信アクセスのタブが選択されています。](media/security-network-migrate/vnet-injection-migration-roa.png)
![仮想ネットワークが挿入されたクラスターの Azure portal の [ネットワーク] オプションのスクリーンショット。](media/security-network-migrate/vnet-injection-migration-overview.png#lightbox)
![仮想ネットワークが挿入されたクラスターの Azure portal の [ネットワーク] オプションのスクリーンショット。選択したプライベート エンドポイントのタブ。](media/security-network-migrate/vnet-injection-migration-pe.png#lightbox)
![仮想ネットワークが挿入されたクラスターの Azure portal の [ネットワーク] オプションのスクリーンショット。選択したマネージド プライベート エンドポイントのタブ。](media/security-network-migrate/vnet-injection-migration-mpe.png#lightbox)
警告
インジェストと外部テーブルに不可欠なサービスにクラスターが接続できないと、データが失われるリスクがあります。 さらに、他のネットワークで保護されたサービスを呼び出すクエリが機能しなくなる可能性があります。
警告
移行手順は、準備手順が完了してから数時間以内に実行する必要があります。 移行を遅らせると、サービスが正常に動作しなくなる可能性があります。
クラスターを移行する
Azure portal からクラスターを移行するには:
移行する Azure データ エクスプローラー クラスターに移動します。
左側のメニューから Networking を選択します。
[ Migrate ボタンを選択します。
![仮想ネットワークが挿入されたクラスターの Azure portal の [ネットワーク] オプションのスクリーンショット。[移行] タブが選択されています。](media/security-network-migrate/vnet-injection-migration-migrate.png)
移行が完了するまで 待ちます。
移行が成功したことを確認する
プライベート エンドポイントに移行した後、次のチェックを実行して移行が成功したことを確認します。
新しいプライベート エンドポイントを作成した場合は、期待どおりに機能していることを確認します。 必要に応じて、トラブルシューティング ガイドを参照してください。
.show ingestion failures コマンドを使用してインジェストが適切に機能していることを確認するか、「メトリックを使用してキューに入ったインジェストを監視する」のガイダンスを参照してください。 この検証は、Azure Event Hubs などのサービスを使用してインジェストを行うために、ネットワークで保護されたサービスに接続する必要がある場合に特に重要です。
ロールバック
ARM テンプレートを変更して、以前の Virtual Network に挿入された構成への移行をロールバックするには:
クラスターの ARM テンプレートで VirtualNetworkConfiguration を見つけます。
"virtualNetworkConfiguration": { "state": "Disabled", "subnetId": "[concat(parameters('virtualNetworks_Test_vnet_externalid'), '/subnets/newsubnet')]", "enginePublicIpId": "[parameters('publicIPAddresses_vnetclusterwestus3engine_externalid')]", "dataManagementPublicIpId": "[parameters('publicIPAddresses_vnetclusterwestus3dm_externalid')]" },"state": "Disabled" を "state": "Enabled"に置き換えます。 他のプロパティが変更されていないことを確認します。
"virtualNetworkConfiguration": { "state": "Enabled", "subnetId": "[concat(parameters('virtualNetworks_Test_vnet_externalid'), '/subnets/newsubnet')]", "enginePublicIpId": "[parameters('publicIPAddresses_vnetclusterwestus3engine_externalid')]", "dataManagementPublicIpId": "[parameters('publicIPAddresses_vnetclusterwestus3dm_externalid')]" },ARM テンプレート デプロイして変更を適用します。
これにより、クラスターが以前に挿入された仮想ネットワークの構成に復元されます。