Private Link を使用して TSI のプライベート アクセスを有効にする (プレビュー)

  • [アーティクル]

Note

Time Series Insights サービスは、2024 年 7 月 7 日に廃止されます。 できるだけ早く既存の環境を代替ソリューションに移行することを検討してください。 サポートの終了と移行の詳細については、こちらのドキュメントを参照してください。

この記事では、Azure Time Series Insights Gen2 環境のプライベート エンドポイントを使用してプライベート リンクを有効にする方法について説明します (現在プレビュー段階)。 Azure Time Series Insights Gen2 環境のプライベート エンドポイントを構成することで、Azure Time Series Insights 環境をセキュリティで保護し、パブリック エクスポージャを排除するだけでなく、Azure Virtual Network (VNet) からのデータ流出を回避することができます。

この記事では、Azure portal を使用したプロセスについて説明します。

この記事では、次の手順を説明します。

  1. Private Link を有効にして、Time Series Insights Gen2 環境のプライベート エンドポイントを構成します。
  2. パブリック ネットワーク アクセス フラグを無効または有効にして、Private Link 接続のみにアクセスを制限します。

Note

イベント ソースに対する Private Link はサポートされていないことに注意してください。 Time Series Insights によって使用されるハブまたはイベント ソースへのパブリック インターネット アクセスを制限しないでください。

前提条件

プライベート エンドポイントをセットアップする前に、エンドポイントをデプロイできる Azure Virtual Network (VNet) が必要です。 VNet がまだない場合は、Azure Virtual Network のいずれかのクイックスタートに従って、これを設定できます。

Azure Time Series Insights Gen2 環境のプライベート エンドポイントを追加する

Azure portal を使用する場合、環境の初期設定の一部として Azure Time Series Insights Gen2 環境のプライベート エンドポイントで Private Link を有効にするか、既に存在する環境で後から有効にするかを選択できます。

どちらの作成方法でも、環境に用意される構成オプションと結果は同じです。 このセクションでは、それぞれの方法について説明します。

ヒント

また、Azure Time Series Insights Gen2 環境を使用するのではなく、Private Link サービスを使用して Private Link エンドポイントを設定することもできます。 その場合も、構成オプションと最終的な結果は同じです。

Private Link リソースの設定の詳細については、Azure portalAzure CLIARM、または PowerShell の Private Link に関するドキュメントを参照してください。

環境の作成時にプライベート エンドポイントを追加する

このセクションでは、現在作成中の Azure Time Series Insights Gen2 環境でプライベート エンドポイントを使用して Private Link を有効にします。 このセクションでは、現在作成中の Azure Time Series Insights Gen2 環境上のプライベート エンドポイントを使用して Private Link を有効にします。環境の設定方法に関するページを参照してください。

Private Link のオプションは、環境の設定の [ネットワーク] タブにあります。

このタブでは、[接続方法][プライベート エンドポイント] オプションを選択することにより、プライベート エンドポイントを有効にできます。

これによって追加される [プライベート エンドポイント接続] というセクションで、プライベート エンドポイントの詳細を構成できます。 [+ 追加] ボタンをクリックして続けます。

Time Series Insights Gen2 の [リソースの作成] ダイアログの [ネットワーク] タブを示す Azure portal のスクリーンショット。タブ名が強調表示され、[接続方法] には [プライベート エンドポイント] オプションがあり、新しいプライベート エンドポイント接続を作成するための [+ 追加] ボタンがあります。

これにより、新しいプライベート エンドポイントの詳細を入力するページが開きます。

[プライベート エンドポイントの作成] ページが表示されている Azure portal のスクリーンショット。以下で説明するフィールドが含まれます。

  1. [サブスクリプション][リソース グループ] の選択を入力します。 [場所] を、使用する VNet と同じ場所に設定します。 エンドポイントの [名前] を選択し、[Target sub-resources]\(ターゲット サブリソース\)[environment] または [tsiExplorer] を選択します。

  2. 次に、エンドポイントのデプロイに使用する [仮想ネットワーク][サブネット] を選択します。

  3. 最後に、[プライベート DNS ゾーンと統合する] かどうかを選択します。 既定の [はい] をそのまま使用できます。または、このオプションの詳細については、ポータルのリンクに従って、プライベート DNS 統合の詳細を確認してください。

構成オプションを設定した後、[OK] をクリックして完了します。

これにより、Azure Time Series Insights Gen2 環境の設定の [ネットワーク] タブに戻ります。そこの [プライベート エンドポイント接続] の下に、新しいエンドポイントが表示されているはずです。

その後、下部にあるナビゲーション ボタンを使用して、環境の残りの設定を続けることができます。

既存の環境にプライベート エンドポイントを追加する

このセクションでは、既に存在する Azure Time Series Insights Gen2 環境でプライベート エンドポイントを使用して Private Link を有効にします。

  1. まず、ブラウザーで Azure portal に移動します。 ポータルの検索バーで名前を検索して、Azure Time Series Insights Gen2 環境を表示します。

  2. 左側のメニューで、[Networking (preview)]\(ネットワーク (プレビュー)\) を選択します。

  3. **[プライベート エンドポイント接続]** タブに切り替えます。

  4. [+ プライベート エンドポイント] を選択して、[プライベート エンドポイントの作成] の設定を開きます。

    Azure Time Series Insights Gen2 環境の [Networking (preview)]\(ネットワーク (プレビュー)\) ページが表示されている Azure portal のスクリーンショット。[プライベート エンドポイント接続] タブが強調表示され、[+ プライベート エンドポイント] ボタンも強調表示されています。

  5. [基本] タブで、プロジェクトの [サブスクリプション][リソース グループ]、およびエンドポイントの [名前][リージョン] を入力または選択します。 リージョンは、使用している VNet のリージョンと同じにする必要があります。

    [プライベート エンドポイントの作成] ダイアログの最初の ([基本]) タブが表示されている Azure portal のスクリーンショット。上で説明したフィールドが含まれます。

    操作が完了したら、[次へ: リソース >] ボタンを選択して、次のタブに進んでください。

  6. [リソース] タブで、次の情報を入力または選択します。

    • 接続方法: [マイ ディレクトリ内の Azure リソースに接続します] を選択し、Azure Time Series Insights Gen2 環境を検索します。
    • サブスクリプション: サブスクリプションを入力します。
    • リソースの種類: [Microsoft.TimeSeriesInsights/environments] を選択します。
    • リソース: Azure Time Series Insights Gen2 環境の名前を選択します。
    • Target sub-resource (ターゲット サブリソース): [environment] または [tsiExplorer] を選択します。

    [プライベート エンドポイントの作成] ダイアログの 2 つ目の ([リソース]) タブが表示されている Azure portal のスクリーンショット。上で説明したフィールドが含まれます。

    操作が完了したら、[次へ: 構成 >] ボタンを選択して、次のタブに進んでください。

  7. [構成] タブで、次の情報を入力または選択します。

    • 仮想ネットワーク:仮想ネットワークを選択します。
    • サブネット: 仮想ネットワークからサブネットを選択します。
    • プライベート DNS ゾーンと統合する: [プライベート DNS ゾーンと統合する] かどうかを選択します。 既定の [はい] をそのまま使用できます。または、このオプションの詳細については、ポータルのリンクに従って、プライベート DNS 統合の詳細を確認してください。 [はい] を選択した場合は、既定の構成情報をそのまま使用できます。

    [プライベート エンドポイントの作成] ダイアログの 3 つ目の ([構成]) タブが表示されている Azure portal のスクリーンショット。上で説明したフィールドが含まれます。

    終わったら、[確認および作成] ボタンを選択して、セットアップを完了します。

  8. [確認および作成] タブで選択内容を確認し、[作成] ボタンを選択します。

エンドポイントのデプロイが完了すると、Azure Time Series Insights Gen2 環境用のプライベート エンドポイント接続に表示されます。

ヒント

エンドポイントは、Azure portal の Private Link センターから表示することもできます。

パブリック ネットワーク アクセス フラグを無効または有効にする

Azure Time Series Insights Gen2 環境の構成によって、すべてのパブリック接続を拒否し、プライベート エンドポイント経由の接続のみを許可するようにして、ネットワークのセキュリティを強化できます。 この操作は、パブリック ネットワーク アクセス フラグで行います。

このポリシーを使用すると、アクセスを Private Link 接続のみに制限することができます。 パブリック ネットワーク アクセス フラグが "無効" に設定されていると、パブリック クラウドから Azure Time Series Insights Gen2 環境のデータ プレーンへのすべての REST API 呼び出しで、403, Unauthorized が返されます。 または、ポリシーが "無効" に設定されていて、要求がプライベート エンドポイントを通して行われた場合は、API 呼び出しは成功します。

Azure portal でパブリック ネットワーク アクセスを無効または有効にするには、ポータルを開き、お使いの Azure Time Series Insights Gen2 環境に移動します。

  1. 左側のメニューで、[Networking (preview)]\(ネットワーク (プレビュー)\) を選択します。

  2. [パブリック アクセス] タブの [Allow public network access to]\(パブリック ネットワーク アクセスを許可する\) を、[無効] または [すべてのネットワーク] に設定します。

    Azure Time Series Insights Gen2 環境の [ネットワーク (プレビュー)] ページを示す Azure portal のスクリーンショット。[パブリック アクセス] タブが強調表示され、パブリック ネットワーク アクセスを許可するかどうかを選択するオプションも強調表示されています。

    [保存] を選択します。

次のステップ

Azure 用 Private Link の詳細を確認します。