プライベート アクセスを設定する
このガイドでは、Azure Managed Grafana ワークスペースへのパブリック アクセスを無効にし、プライベート エンドポイントを設定する方法について説明します。 Azure Managed Grafana でプライベート エンドポイントを設定すると、受信トラフィックを特定のネットワークにのみ制限することでセキュリティが向上します。
前提条件
- アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
- Standard レベルの既存の Azure Managed Grafana インスタンス。 まだない場合は、作成してください。
ワークスペースへのパブリック アクセスを無効にする
Azure Grafana ワークスペースを作成すると、既定でパブリック アクセスが有効になります。 パブリック アクセスを無効にすると、プライベート エンドポイントを経由しない限り、すべてのトラフィックでリソースにアクセスできなくなります。
Note
プライベート アクセスが有効である場合、Azure portal がプライベート IP アドレス上の Azure Managed Grafana ワークスペースにアクセスできないため、"Grafana へのピン留め" 機能を使ったグラフのピン留めは動作しなくなります。
Azure portal で Azure Managed Grafana ワークスペースに移動します。
左側のメニューの [設定] で、[ネットワーク] を選択します。
[パブリック アクセス] で、[無効] を選択して Azure Managed Grafana ワークスペースへのパブリック アクセスを無効にし、プライベート エンドポイントからのアクセスのみを許可します。 パブリック アクセスを既に無効にしていて、代わりに Azure Managed Grafana ワークスペースへのパブリック アクセスを有効にする場合は、[有効] を選択します。
[保存] を選択します。
プライベート エンドポイントの作成
パブリック アクセスを無効にしたら、Azure Private Link でプライベート エンドポイントを設定します。 プライベート エンドポイントにより、仮想ネットワークからプライベート IP アドレスを使って Azure Managed Grafana ワークスペースにアクセスできます。
[ネットワーク] で、[プライベート アクセス] タブ、次に [追加] を選び、新しいプライベート エンドポイントの設定を開始します。
[基本] タブに次の情報を入力します。
パラメーター 説明 例 サブスクリプション Azure サブスクリプションを選択します。 プライベート エンドポイントは、仮想ネットワークと同じサブスクリプションに存在する必要があります。 この攻略ガイドの後の方で、仮想ネットワークを選びます。 MyAzureSubscription Resource group リソース グループを選択するか、新しく作成します。 MyResourceGroup 名前 Azure Managed Grafana ワークスペースの新しいプライベート エンドポイントの名前を入力します。 MyPrivateEndpoint ネットワーク インターフェイス名 このフィールドは自動的に補完されます。 必要に応じて、ネットワーク インターフェイスの名前を編集します。 MyPrivateEndpoint-nic リージョン リージョンを選択します。 プライベート エンドポイントは、仮想ネットワークと同じリージョンに存在する必要があります。 (米国) 米国中西部 [次へ: リソース]> を選びます。 Private Link には、さまざまな種類の Azure リソースに対してプライベート エンドポイントを作成するオプションが用意されています。 現在の Azure Managed Grafana ワークスペースが [リソース] フィールドに自動的に入力されます。
リソースの種類 Microsoft.Dashboard/grafana とターゲット サブリソース grafana は、Azure Managed Grafana ワークスペースのエンドポイントが作成中であることを示しています。
ワークスペースの名前は、[リソース] の下に表示されます。
[次へ: 仮想ネットワーク]> を選びます。
プライベート エンドポイントのデプロイ先として、既存の [仮想ネットワーク] を選びます。 仮想ネットワークがない場合、仮想ネットワークを作成します。
一覧から [サブネット] を選びます。
[プライベート エンドポイントのネットワーク ポリシー] は、既定で無効になっています。 オプションで、[編集] を選択して、ネットワーク セキュリティ グループまたはルート テーブル ポリシーを追加します。 この変更は、選択したサブネットに関連付けられているすべてのプライベート エンドポイントに影響します。
[プライベート IP 構成] で、IP アドレスを動的に割り当てるオプションを選びます。 詳細については、「プライベート IP アドレス」を参照してください。
必要に応じて、[アプリケーション セキュリティ グループ] を選択または作成します。 アプリケーション セキュリティ グループを使うと、仮想マシンをグループ化し、それらのグループに基づいてネットワーク セキュリティ ポリシーを定義できます。
[次へ: DNS]> を選び、DNS レコードを構成します。 既定の設定を変更しない場合は、次のタブに進みます。
[プライベート DNS ゾーンとの統合] では [はい] を選んで、プライベート エンドポイントをプライベート DNS ゾーンと統合します。 また、独自の DNS サーバーを使うことや、仮想マシン上のホスト ファイルを使って DNS レコードを作成することもできます。
プライベート DNS ゾーンのサブスクリプションとリソース グループは事前に選ばれています。 これらは必要に応じて変更できます。
DNS の構成の詳細については、Azure 仮想ネットワークでのリソースの名前解決とプライベート エンドポイントの DNS 構成に関するページを参照してください。 Azure Managed Grafana の Azure プライベート エンドポイント プライベート DNS ゾーンの値は、Azure サービス DNS ゾーンに一覧表示されています。
[次へ: タグ]> を選び、必要に応じてタグを作成します。 タグは名前と値のペアで、同じタグを複数のリソースやリソース グループに適用することでリソースを分類したり、統合した請求を表示したりできるようにします。
[次へ: 確認と作成]> を選び、Azure Managed Grafana ワークスペース、プライベート エンドポイント、仮想ネットワーク、DNS に関する情報を確認します。 [Automation のテンプレートをダウンロードする] を選び、このフォームからの JSON データを後で再利用することもできます。
[作成] を選択します。
デプロイが完了すると、エンドポイントが作成されたことを示す通知が表示されます。 自動承認されれば、非公開でワークスペースにアクセスできるようになります。 それ以外の場合は、承認されるのを待つ必要があります。
プライベート リンク接続を管理する
Azure Managed Grafana ワークスペースの [ネットワーク]>[プライベート アクセス] に移動して、ワークスペースにリンクされているプライベート エンドポイントにアクセスします。
プライベート リンク接続の接続状態を確認します。 プライベート エンドポイントを作成する際は、接続を承認する必要があります。 プライベート エンドポイントを作成する対象のリソースが自分のディレクトリにあり、十分なアクセス許可がある場合、接続要求は自動承認されます。 そうでない場合は、そのリソース所有者が接続要求を承認するのを待つ必要があります。 接続承認モデルの詳細については、「Azure プライベート エンドポイントの管理」を参照してください。
接続を手動で承認、拒否、または削除するには、編集するエンドポイントの横にあるチェック ボックスをオンにし、上部メニューからアクション項目を選びます。
プライベート エンドポイントの名前を選び、プライベート エンドポイント リソースを開いて詳細情報にアクセスするか、プライベート エンドポイントを編集します。
プライベート エンドポイントで問題が発生した場合は、次のガイド「Azure プライベート エンドポイント接続に関する問題のトラブルシューティング」を確認します。
次のステップ
この攻略ガイドでは、ユーザーからの Azure Managed Grafana ワークスペースへのプライベート アクセスを設定する方法について説明しました。 Managed Grafana ワークスペースとデータ ソース間のプライベート アクセスを構成する方法については、「データ ソースに非公開で接続する」を参照してください。