Share via

Azure Data Explorer のプライベート エンドポイントを作成する

  • [アーティクル]

Azure プライベート エンドポイントを使用して、Azure 仮想ネットワーク (VNet) 内のクラスターに接続します。

プライベート エンドポイントでは、仮想ネットワークからのプライベート IP アドレスを使用して、クラスターにプライベートに接続します。 この設定により、プライベート ネットワーク上のクライアントとクラスター間のネットワーク トラフィックは、仮想ネットワークと Microsoft バックボーン ネットワーク上のプライベート リンクを経由します。 この記事では、クラスターのプライベート エンドポイントを作成する方法を示します。

前提条件

プライベート エンドポイントの作成

クラスターのプライベート エンドポイントを作成するには、いくつかの方法があります。

ポータルでのクラスターのデプロイ中にプライベート エンドポイントを作成する

クラスターの作成時にプライベート エンドポイントを作成するには、次の情報を使用します。

  1. Azure Data Explorer クラスターの作成 ページで、ネットワーク タブを選択します。

  2. 接続方法 で、プライベート エンドポイント を選択します。

  3. [プライベート エンドポイント] で、[追加] を選択します。

    デプロイ中のプライベート エンドポイント オプションを示すクラスター作成ページのスクリーンショット。

  4. プライベート エンドポイントを構成します。

  5. クラスターを作成するステップを完了します。

既存のクラスターにプライベート エンドポイントを作成する

既存のクラスターにプライベート エンドポイントを作成するには、次の情報を使用します。

  1. Azure portal で、クラスターに移動してから [ネットワーク] を選択します。

  2. [プライベート エンドポイント接続] を選択してから、[+ プライベート エンドポイント] を選択します。

    プライベート エンドポイントの作成の最初の手順を示すネットワーク ページのスクリーンショット。

  3. プライベート エンドポイントを構成します。

プライベート エンドポイントを構成する

  1. [基本] タブで、基本的なクラスターの詳細に次の情報を入力し、[次へ] を選択します。

    基本情報を示す [プライベート エンドポイントの作成] ページのスクリーンショット。

    設定 推奨値 フィールドの説明
    サブスクリプション 該当するサブスクリプション プライベート エンドポイントに使用する Azure サブスクリプションを選択します
    Resource group 該当するリソース グループ 既存のリソース グループを使用するか、新しいリソース グループを作成します
    名前 myNewPrivateEndpoint リソース グループ内でプライベート エンドポイントを識別する名前を選択します
    リージョン (ヨーロッパ) 西ヨーロッパ ニーズに最も適したリージョンを選択します

  2. [リソース] タブで、[マイ ディレクトリ内の Azure リソース接続する] を選択し、リソースの詳細に次の情報を入力して、[次へ] を選択します。

    リソース情報を示す [プライベート エンドポイントの作成] ページのスクリーンショット。

    設定 推奨値 フィールドの説明
    サブスクリプション 該当するサブスクリプション クラスターに使用する Azure サブスクリプションを選択します
    リソースの種類 該当するリソース グループ Microsoft.Kusto/clusters を選択します
    リソース contoso-adx 新しい Azure プライベート エンドポイントの宛先として使用するクラスターを選択します
    ターゲット サブリソース cluster 他のオプションはありません

    代わりに、[リソース ID またはエイリアスを使って Azure リソースに接続します] を選択できます。 これにより、リソースに対する少なくとも [閲覧者] アクセス権を持っていない場合に別のテナント内のクラスターへのプライベート エンドポイントを作成できます。

    設定 推奨値 フィールドの説明
    ResourceId またはエイリアス /subscriptions/... 誰かが自分と共有しているリソース ID または別名。 リソース ID を取得する最も簡単な方法は、Azure portal でクラスターに移動し、[プロパティ] セクションから リソース ID をコピーすることです
    ターゲット サブリソース cluster 他のオプションはありません
    要求メッセージ 承認してください このメッセージは、プライベート エンドポイント接続の管理中にリソース所有者に表示されます

  3. [仮想ネットワーク] タブの [ネットワーク] で、プライベート エンドポイントをデプロイする [仮想ネットワーク][サブネット] を指定します。

  4. [プライベート IP 構成] で、[IP アドレスを動的に割り当てる] を選択します。

    注意

    [静的に IP アドレスを割り当てる] オプションはサポートされていません。

  5. [プライベート DNS 統合] で、[プライベート DNS ゾーンと統合する] をオンにします。 これは、インジェストとエクスポート機能に必要なストレージ アカウントを含む、エンジンとデータ管理エンドポイントを解決するために必要です。

    注意

    [プライベート DNS 統合] オプションを使用することをお勧めします。 このオプションを使用できない場合は、「カスタム DNS サーバーを使用する」の手順に従ってください。

  6. [次へ] を選択します。

    仮想ネットワークの構成を示す [プライベート エンドポイントの作成] ページのスクリーンショット。

  7. [タグ] タブで、必要なタグを構成し、[次へ] を選択します。

  8. 構成の詳細を確認し、[作成] を選択してプライベート エンドポイント リソースを作成します。

    [プライベート エンドポイントの作成] ページのスクリーンショット。レビューと作成の概要が表示されています。

プライベート エンドポイントの作成を確認する

プライベート エンドポイントの作成が完了したら、Azure portal でアクセスできます。

プライベート エンドポイントの作成ページのスクリーンショット。プライベート エンドポイントの作成結果が表示されています。

クラスター用に作成されたプライベート エンドポイントをすべて表示するには:

  1. Azure portal で、クラスターに移動してから [ネットワーク] を選択します。

  2. [プライベート エンドポイント] を選択します。 この表では、クラスター用に作成されたすべてのプライベート エンドポイントを確認できます。

    Azure portal内のクラスターのすべてのプライベート エンドポイントを示すネットワーク ページのスクリーンショット。

  3. [接続状態] 列で、プライベート エンドポイントが承認されていることを確認します。

カスタム DNS サーバーを使用する

状況によっては、仮想ネットワークのプライベート DNS ゾーンと統合できない場合があります。 たとえば、独自の DNS サーバーを使用したり、仮想マシン上のホスト ファイルを使って DNS レコードを作成したりする場合があります。 このセクションでは、DNS ゾーンにアクセスする方法について説明します。

  1. choco をインストールします

  2. ARMClient をインストールします

    choco install armclient

  3. ARMClient でログインする

    armclient login

  4. 次の REST API 呼び出しを実行して、クラスターのプライベート DNS ゾーンを取得します。

    #replace the <...> placeholders with the correct values
armclient GET /subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/clusters/<clusterName>/privateLinkResources?api-version=2022-02-01

  5. 応答を確認します。 必要な DNS ゾーンは、結果の応答の "requiredZoneNames" 配列にあります。

    {
  "value": [
    {
      "id": "/subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/Clusters/<clusterName>/PrivateLinkResources/cluster",
      "name": "<clusterName>/cluster",
      "type": "Microsoft.Kusto/Clusters/PrivateLinkResources",
      "location": "<the region of your cluster>",
      "properties": {
        "groupId": "cluster",
        "requiredMembers": [
          "Engine",
          "DataManagement",
          "blob-storageAccount1",
          "queue-storageAccount1",
          "table-storageAccount1",
          "blob-storageAccount2",
          "queue-storageAccount2",
          "table-storageAccount2"
        ],
        "requiredZoneNames": [
          "privatelink.<the region of your cluster>.kusto.windows.net",
          "privatelink.blob.core.windows.net",
          "privatelink.queue.core.windows.net",
          "privatelink.table.core.windows.net"
        ],
        "provisioningState": "Succeeded"
      }
    }
  ]
}

  6. Azure portal で、プライベート エンドポイントに移動し、[DNS 構成] を選択します。 このページでは、DNS 名への IP アドレス マッピングに必要な情報を取得できます。

    プライベート エンドポイントの DNS 構成を示す、DNS 構成ページのスクリーンショット。

    警告

    この情報を使用して、カスタム DNS サーバーに必要なレコードを伝達することができます。 仮想ネットワークのプライベート DNS ゾーンと統合し、独自のカスタム DNS サーバーを構成しないことを強くお勧めします。 Azure Data Explorer クラスターのプライベート エンドポイントの性質は、他の Azure PaaS サービスの場合とは異なります。 インジェストの負荷が高いなど、いくつかの状況では、スループットを向上させるために、サービスがプライベート エンドポイント経由でアクセスできるストレージ アカウントの数をスケールアウトすることが必要になる場合があります。 独自のカスタム DNS サーバーを伝達することを選択した場合は、このような状況で DNS レコードを更新する責任はユーザーにあります。後でレコードを削除すると、ストレージ アカウントの数がスケールインされます。

関連コンテンツ