Private Link を使用して Azure Monitor エージェントのネットワークの分離を有効にする

既定では、Azure Monitor エージェントは、Azure Monitor 環境に接続するためにパブリック エンドポイントに接続されます。 この記事では、Azure Private Link を使用してエージェントのネットワークの分離を有効にする方法について説明します。

前提条件

  • データ収集ルール。このルールで、Azure Monitor エージェントで収集されるデータと、エージェントからデータを送信する送信先を定義します。
  1. リージョンごとにデータ収集エンドポイントを作成します。エージェントは、パブリック エンドポイントを使用する代わりに、このエンドポイントに接続します。 エージェントは、同じリージョン内のデータ収集エンドポイントにのみ接続できます。 複数のリージョンにエージェントがある場合、各リージョンにデータ収集エンドポイントを作成します。

  2. プライベート リンクを構成します。 このプライベート リンクを使用して、監視ネットワークの境界を定義する Azure Monitor リソースのセットにデータ収集エンドポイントを接続します。 このセットは、Azure Monitor プライベート リンク スコープと呼ばれています。

  3. データ収集エンドポイントを Azure Monitor プライベート リンク スコープのリソースに追加します。 このプロセスでは、データ収集エンドポイントをプライベート DNS ゾーンに追加し (検証方法に関するページを参照)、プライベート リンク経由で通信できるようにします。 このタスクは、AMPLS リソースから、または既存のデータ収集エンドポイント リソースの [ネットワークの分離] タブ内で実行できます。

    重要

    データの送信先のデータ収集ルールで構成されている Log Analytics ワークスペースなどの他の Azure Monitor リソースは、この同じ AMPLS リソースの一部である必要があります。

    データ収集エンドポイントの場合は、Azure portal のエンドポイント リソースにある [ネットワークの分離] タブで、[プライベート リンク スコープを通じて接続されていないパブリック ネットワークからのアクセスを受け入れる] オプションが [いいえ] に設定されていることを確認します。 この設定により、パブリック インターネット アクセスが無効になり、ネットワーク通信はプライベート リンク経由でのみ行われるようになります。

    データ収集エンドポイントのネットワークの分離の構成を示すスクリーンショット。

  4. Azure portal でデータ収集ルールを編集して、データ収集エンドポイントをターゲット リソースに関連付けます。 [リソース] タブで、[データ収集エンドポイントを有効にする] を選択します。 各仮想マシンのデータ収集エンドポイントを選択します。 Azure Monitor エージェント用のデータ収集の構成に関するページをご覧ください。

    エージェント用のデータ収集エンドポイントの構成を示すスクリーンショット。

次のステップ