クラウド環境でシステムを運用する際、リソースの動作状況を適切に監視することは重要です。
Azureでは、仮想マシン(VM)のログやメトリクスを取得するために、Log Analyticsが利用されます。これにより、システムの状態を可視化し、障害の早期発見やトラブルシューティングが可能になります。
しかし、デフォルトの設定では、VMのログデータはインターネット経由でLog Analyticsに送信されるため、セキュリティリスクが発生する可能性があります。特に、企業ネットワークのポリシーやコンプライアンス要件により、インターネット通信を制限したいケースも多いでしょう。
本記事では、プライベートエンドポイント経由でLog Analyticsに安全にデータを送る方法を紹介します。
- Log Analyticsとは?
- Azure Monitorエージェントとは?
- 構成図
- AMPLS(Azure Monitor Private Link Scope)とは?
- なぜプライベートエンドポイントだけでは不十分なのか?
- データ収集エンドポイントの必要性
- データ収集ルールの設定
- まとめ
Log Analyticsとは?
Log Analyticsは、Azure Monitorの機能の一つで、Azureリソースのログやメトリクスを収集・分析するためのツールです。
これにより、システムのパフォーマンス監視やトラブルシューティングが可能になります。
Azure Monitorエージェントとは?
Azure Monitorエージェントは、Azure上にあるVMからログやメトリクスを収集してAzure Monitorにデータを送信するためのエージェントになります。
ログやメトリクスを収集したいVMにインストールをすることで使用することが可能になります。
構成図
プライベート接続でLog Analyticsを利用する場合の、基本的な構成図になります。
AMPLS(Azure Monitor Private Link Scope)とは?
AMPLSは、Azure Monitor関連サービス(Log AnalyticsやApplication Insightsなど)へのプライベートアクセスを提供する機能です。
AMPLSを利用することで、インターネットを経由せずにAzure Monitorのサービスへ安全に接続できます。
なぜプライベートエンドポイントだけでは不十分なのか?
一見すると、個々のLog Analyticsワークスペースにプライベートエンドポイントを作成すれば十分に思えます。
しかし、Azure Monitor関連サービスは複数のリソースで構成されており、それぞれに対してプライベートエンドポイントを作成すると、管理が煩雑になるだけでなく、コストの増加や運用の負担も発生します。
そのため、Azure Monitorの複数のリソースを一括で管理できるAMPLSを利用することで、よりシンプルかつ効率的なプライベート接続が実現できます。
データ収集エンドポイントの必要性
AMPLSを利用する場合、データをLog Analyticsに送信するためにデータ収集エンドポイント(DCE)が必要になります。
データ収集エンドポイントを適切に設定しないと、VMのログやメトリクスが正しく収集されない可能性があります。
データ収集ルールの設定
Azure Monitorでは、収集するデータを制御するためにデータ収集ルール(DCR)を利用できます。
データ収集ルールを適切に設定することで、収集するログやメトリクスの種類を細かく制御し、不要なデータの送信を防ぐことができます。
また、DCRを作成することで、ログ・メトリクス収集対象となるVMに対し、自動でAzure Monitorエージェントがインストールされます。
まとめ
本記事では、Log Analyticsをプライベートエンドポイント経由で利用する方法について説明しました。
次回の記事では、実際にAMPLSを設定し、VMのログやメトリクスがインターネットに接続せず、プライベートネットワークを経由して正しく収集されることを検証します。
