Azure Private Link を使用して、ネットワークを Azure Automation に安全に接続するUse Azure Private Link to securely connect networks to Azure Automation

Azure プライベート エンドポイントは、Azure Private Link を使用するサービスにプライベートかつ安全に接続するネットワーク インターフェイスです。Azure Private Endpoint is a network interface that connects you privately and securely to a service powered by Azure Private Link. プライベート エンドポイントは、ご自分の VNet からのプライベート IP アドレスを使用して、Automation サービスを実質的に VNet に取り込みます。Private Endpoint uses a private IP address from your VNet, effectively bringing the Automation service into your VNet. VNet 上のマシンと Automation アカウントの間のネットワーク トラフィックは、VNet と Microsoft バックボーン ネットワーク上のプライベート リンクを経由することで、パブリック インターネットからの露出を排除します。Network traffic between the machines on the VNet and the Automation account traverses over the VNet and a private link on the Microsoft backbone network, eliminating exposure from the public internet.

たとえば、発信インターネット アクセスを無効にした VNet があるとします。For example, you have a VNet where you have disabled outbound internet access. ただし、Automation アカウントにプライベートにアクセスし、Hybrid Runbook Worker 上で Webhook、State Configuration、runbook ジョブなどの Automation 機能を使用する必要があります。However, you want to access your Automation account privately and use Automation features like Webhooks, State Configuration, and runbook jobs on Hybrid Runbook Workers. さらに、VNET を通じてのみユーザーが Automation アカウントにアクセスできるようにしたいと考えています。Moreover, you want users to have access to the Automation account only through the VNET. プライベート エンドポイントをデプロイすると、これらの目標を達成することができます。Deploying private endpoint achieves these goals.

この記事では、Automation アカウントでプライベート エンドポイントを使用する場合および設定する方法について説明します。This article covers when to use and how to set up a private endpoint with your Automation account.

Azure Automation のプライベート リンクの概念の概要

注意

Azure Automation での Private Link のサポートは、Azure Commercial および Azure US Government のクラウドでのみご利用いただけます。Private Link support with Azure Automation is available only in Azure Commercial and Azure US Government clouds.

長所Advantages

Private Link を使用すると、次のことができます。With Private Link you can:

  • パブリック ネットワーク アクセスを開かずに Azure Automation にプライベートに接続する。Connect privately to Azure Automation without opening up any public network access.

  • パブリック ネットワーク アクセスを開かずに Azure Monitor Log Analytics ワークスペースにプライベートに接続する。Connect privately to Azure Monitor Log Analytics workspace without opening any public network access.

    注意

    Log Analytics ワークスペース用の別のプライベート エンドポイントが必要になるのは、ジョブ データを転送するために Automation アカウントが Log Analytics ワークスペースにリンクされていて、Update Management、変更履歴とインベントリ、State Configuration、Start/Stop VMs during off-hours などの機能が有効になっている場合です。A separate private endpoint for your Log Analytics workspace is required if your Automation account is linked to a Log Analytics workspace to forward job data, and when you have enabled features such as Update Management, Change Tracking and Inventory, State Configuration, or Start/Stop VMs during off-hours. Azure Monitor のプライベート リンクの詳細については、「Azure Private Link を使用して、ネットワークを Azure Monitor に安全に接続する」を参照してください。For more information about Private Link for Azure Monitor, see Use Azure Private Link to securely connect networks to Azure Monitor.

  • 承認されたプライベート ネットワーク経由でのみ Automation データにアクセスできるようにする。Ensure your Automation data is only accessed through authorized private networks.

  • プライベート エンドポイント経由で接続する Azure Automation リソースを定義して、プライベート ネットワーク経由のデータ流出を防ぐ。Prevent data exfiltration from your private networks by defining your Azure Automation resource that connects through your private endpoint.

  • ExpressRoute と Private Link を使用して、オンプレミスのプライベート ネットワークを Azure Automation に安全に接続する。Securely connect your private on-premises network to Azure Automation using ExpressRoute and Private Link.

  • すべてのトラフィックを Microsoft Azure のバックボーン ネットワーク内に収める。Keep all traffic inside the Microsoft Azure backbone network.

詳細については、Private Link の主な利点に関するページを参照してください。For more information, see Key Benefits of Private Link.

制限事項Limitations

  • Private Link の現在の実装では、Automation アカウントのクラウド ジョブは、プライベート エンドポイントを使用してセキュリティ保護された Azure リソースにアクセスできません。In the current implementation of Private Link, Automation account cloud jobs cannot access Azure resources that are secured using private endpoint. たとえば、Azure Key Vault、Azure SQL、Azure Storage アカウントなどです。これを回避するには、代わりに Hybrid Runbook Worker を使用します。For example, Azure Key Vault, Azure SQL, Azure Storage account, etc. To workaround this, use a Hybrid Runbook Worker instead.
  • Windows または Linux の場合、最新バージョンの Log Analytics エージェントを使用する必要があります。You need to use the latest version of the Log Analytics agent for Windows or Linux.
  • Log Analytics ゲートウェイでは、Private Link はサポートされていません。The Log Analytics Gateway does not support Private Link.

しくみHow it works

Azure Automation プライベート リンクは、1 つまたは複数のプライベート エンドポイント (および、それらが含まれている仮想ネットワーク) を、Automation アカウント リソースに接続します。Azure Automation Private Link connects one or more private endpoints (and therefore the virtual networks they are contained in) to your Automation Account resource. これらのエンドポイントは、Webhook を使用して Runbook を開始するマシン、Hybrid Runbook Worker ロールをホストするマシン、および Desired State Configuration (DSC) ノードです。These endpoints are machines using webhooks to start a runbook, machines hosting the Hybrid Runbook Worker role, and Desired State Configuration (DSC) nodes.

Automation のプライベート エンドポイントを作成した後で、公開される Automation URL のそれぞれが、VNet の 1 つのプライベート エンドポイントにマップされます。After you create private endpoints for Automation, each of the public facing Automation URLs, is mapped to one private endpoint in your VNet. ご自身またはマシンが Automation URL に直接アクセスできます。You or a machine can directly contact the Automation URLs.

Webhook のシナリオWebhook scenario

Webhook URL に対して POST を行うことで、Runbook を開始できます。You can start runbooks by doing a POST on the webhook URL. たとえば、URL は https://<automationAccountId>.webhooks.<region>.azure-automation.net/webhooks?token=gzGMz4SMpqNo8gidqPxAJ3E%3d のようになります。For example, the URL looks like: https://<automationAccountId>.webhooks.<region>.azure-automation.net/webhooks?token=gzGMz4SMpqNo8gidqPxAJ3E%3d

Hybrid Runbook Worker のシナリオHybrid Runbook Worker scenario

Azure Automation のユーザー Hybrid Runbook Worker 機能を使用すると、Azure または Azure 以外のマシン (Azure Arc 対応サーバーに登録されているサーバーを含む) で Runbook を直接実行できます。The user Hybrid Runbook Worker feature of Azure Automation enables you to run runbooks directly on the Azure or non-Azure machine, including servers registered with Azure Arc enabled servers. ロールをホストしているマシンまたはサーバーで、環境内のリソースに対して Runbook を直接実行して、それらのローカル リソースを管理できます。From the machine or server that's hosting the role, you can run runbooks directly on it and against resources in the environment to manage those local resources.

JRDS エンドポイントは、Runbook の開始と停止、Runbook の worker へのダウンロード、および Automation サービスへのジョブ ログ ストリームの送信を行うためにハイブリッド worker によって使用されます。A JRDS endpoint is used by the hybrid worker to start/stop runbooks, download the runbooks to the worker, and to send the job log stream back to the Automation service. JRDS エンドポイントを有効にすると、URL は https://<automationaccountID>.jobruntimedata.<region>.azure-automation.net のようになります。 After enabling JRDS endpoint, the URL would look like this: https://<automationaccountID>.jobruntimedata.<region>.azure-automation.net\. これにより、Azure Virtual Network に接続されたハイブリッド worker での Runbook の実行により、インターネットへの送信接続を開かなくてもジョブを実行できるようになります。This would ensure runbook execution on the hybrid worker connected to Azure Virtual Network is able to execute jobs without the need to open an outbound connection to the Internet.

注意

Azure Automation 用のプライベート リンクの現在の実装では、Azure 仮想ネットワークに接続されている Hybrid Runbook Worker でのジョブの実行のみがサポートされており、クラウド ジョブはサポートされていません。With the current implementation of Private Links for Azure Automation, it only supports running jobs on the Hybrid Runbook Worker connected to an Azure virtual network and does not support cloud jobs.

Update Management でのハイブリッド worker のシナリオHybrid Worker scenario for Update Management

システム Hybrid Runbook Worker では、Windows および Linux のマシンにユーザー指定の更新プログラムをインストールするために設計された Update Management 機能によって使用される、非表示の一連の Runbook がサポートされています。The system Hybrid Runbook Worker supports a set of hidden runbooks used by the Update Management feature that are designed to install user-specified updates on Windows and Linux machines. Azure Automation Update Management を有効にすると、Log Analytics ワークスペースに接続されたマシンはすべてシステム Hybrid Runbook Worker として自動的に構成されます。When Azure Automation Update Management is enabled, any machine connected to your Log Analytics workspace is automatically configured as a system Hybrid Runbook Worker.

Update Management の概要と構成方法については、「Update Management の概要」をご覧ください。To understand & configure Update Management review About Update Management. Update Management 機能は、Log Analytics ワークスペースに依存しているため、このワークスペースを Automation アカウントにリンクする必要があります。The Update Management feature has a dependency on a Log Analytics workspace, and therefore requires linking the workspace with an Automation account. Log Analytics ワークスペースは、ソリューションによって収集されたデータを格納し、ログ検索とビューをホストします。A Log Analytics workspace stores data collected by the solution, and host its log searches and views.

Update Management 用に構成されたマシンを、Private Link チャネルを介して安全な方法で Automation および Log Analytics ワークスペースに接続するには、Private Link を使用して構成された Automation アカウントにリンクされている Log Analytics ワークスペースに対して Private Link を有効にする必要があります。If you want your machines configured for Update management to connect to Automation & Log Analytics workspace in a secure manner over Private Link channel, you have to enable Private Link for the Log Analytics workspace linked to the Automation Account configured with Private Link.

プライベート リンク スコープの外部から Log Analytics ワークスペースにアクセスする方法を制御するには、「Log Analytics の構成」に記載されている手順に従います。You can control how a Log Analytics workspace can be reached from outside of the Private Link scopes by following the steps described in Configure Log Analytics. [Allow public network access for ingestion](取り込みにパブリック ネットワークを許可する)[いいえ] に設定した場合、接続されているスコープ外のマシンは、このワークスペースにデータをアップロードできません。If you set Allow public network access for ingestion to No, then machines outside of the connected scopes cannot upload data to this workspace. [Allow public network access for queries](クエリにパブリック ネットワークを許可する)[いいえ] に設定した場合、スコープ外のマシンは、このワークスペースのデータにアクセスできません。If you set Allow public network access for queries to No, then machines outside of the scopes cannot access data in this workspace.

DSCAndHybridWorker ターゲット サブリソースを使用して、ユーザーおよびシステムのハイブリッド worker に対して Private Link を有効にします。Use DSCAndHybridWorker target sub-resource to enable Private Link for user & system hybrid workers.

注意

Azure の外部でホストされているマシンで、Update Management によって管理され、ExpressRoute プライベート ピアリング、VPN トンネル、ピアリングされた仮想ネットワーク (プライベート エンドポイントを使用) 経由で Azure VNet に接続されているものは、Private Link をサポートしています。Machines hosted outside of Azure that are managed by Update Management and are connected to the Azure VNet over ExpressRoute private peering, VPN tunnels, and peered virtual networks using private endpoints support Private Link.

State Configuration (agentsvc) のシナリオState Configuration (agentsvc) scenario

State Configuration は、任意のクラウドまたはオンプレミスのデータセンターのノードについて PowerShell Desired State Configuration (DSC) の構成を記述、管理、およびコンパイルできる Azure 構成管理サービスを提供します。State Configuration provides you with Azure configuration management service that allows you to write, manage, and compile PowerShell Desired State Configuration (DSC) configurations for nodes in any cloud or on-premises datacenter.

コンピューター上のエージェントは DSC サービスに登録され、サービス エンドポイントを使用して DSC 構成をプルします。The agent on the machine registers with DSC service and then uses the service endpoint to pull DSC configuration. エージェント サービス エンドポイントは https://<automationAccountId>.agentsvc.<region>.azure-automation.net のようになります。The agent service endpoint looks like: https://<automationAccountId>.agentsvc.<region>.azure-automation.net.

パブリック エンドポイントとプライベート エンドポイントの URL は同じですが、プライベート リンクが有効になっている場合は、プライベート IP アドレスにマップされます。The URL for public & private endpoint would be the same, however, it would be mapped to a private IP address when Private link is enabled.

ネットワークに基づく計画Planning based on your network

Automation アカウント リソースを設定する前に、ネットワークの分離要件を検討してください。Before setting up your Automation account resource, consider your network isolation requirements. パブリック インターネットへの仮想ネットワークへのアクセスと、Automation アカウントに対するアクセス制限を評価します (Automation アカウントと統合されている場合は、Azure Monitor ログに対するプライベート リンク グループ スコープの設定も含みます)。Evaluate your virtual networks' access to public internet, and the access restrictions to your Automation account (including setting up a Private Link Group Scope to Azure Monitor Logs if integrated with your Automation account). また、サポートされている機能が問題なく動作することを確保するためのプランの一部として、Automation サービス DNS レコードのレビューも含みます。Also include a review of the Automation service DNS records as part of your plan to ensure the supported features work without issue.

プライベート エンドポイントへの接続Connect to a private endpoint

ネットワークに接続するためのプライベート エンドポイントを作成します。Create a private endpoint to connect our network. これは、Azure portal プライベート リンク センターで作成できます。You can create it in the Azure portal Private Link center. PublicNetworkAccess と Private Link に対する変更が適用されてから、有効になるまでに最長で 35 分かかります。Once your changes to publicNetworkAccess and Private Link are applied, it can take up to 35 minutes for them to take effect.

このセクションでは、Automation アカウントのプライベート エンドポイントを作成します。In this section, you'll create a private endpoint for your Automation account.

  1. 画面の左上で、 [リソースの作成] > [ネットワーキング] > [Private Link センター] を選択します。On the upper-left side of the screen, select Create a resource > Networking > Private Link Center.

  2. [プライベート リンク センター - 概要][サービスへのプライベート接続を構築する] オプションで、 [開始] を選択します。In Private Link Center - Overview, on the option to Build a private connection to a service, select Start.

  3. [仮想マシンの作成 - 基本] で、次の情報を入力または選択します。In Create a virtual machine - Basics, enter or select the following information:

    設定Setting Value
    プロジェクトの詳細PROJECT DETAILS
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    Resource groupResource group [myResourceGroup] を選択します。Select myResourceGroup. これは前のセクションで作成しました。You created this in the previous section.
    インスタンスの詳細INSTANCE DETAILS
    名前Name PrivateEndpoint を入力します。Enter your PrivateEndpoint.
    リージョンRegion YourRegion を選択します。Select YourRegion.
  4. [Next:リソース] を選択します。Select Next: Resource.

  5. [プライベート エンドポイントの作成 - リソース] で、次の情報を入力または選択します。In Create a private endpoint - Resource, enter or select the following information:

    設定Setting Value
    接続方法Connection method 自分のディレクトリ内の Azure リソースに接続するように選択します。Select connect to an Azure resource in my directory.
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    リソースの種類Resource type Microsoft.Automation/automationAccounts を選択します。Select Microsoft.Automation/automationAccounts.
    リソースResource myAutomationAccount を選択します。Select myAutomationAccount
    ターゲット サブリソースTarget subresource シナリオに応じて Webhook または DSCAndHybridWorker を選択します。Select Webhook or DSCAndHybridWorker depending on your scenario.
  6. [Next:構成] を選択します。Select Next: Configuration.

  7. [プライベート エンドポイントの作成 - 構成] で、次の情報を入力または選択します。In Create a private endpoint - Configuration, enter or select the following information:

    設定Setting Value
    ネットワークNETWORKING
    仮想ネットワークVirtual network [MyVirtualNetwork] を選択します。Select MyVirtualNetwork.
    SubnetSubnet [mySubnet] を選択します。Select mySubnet.
    プライベート DNS 統合PRIVATE DNS INTEGRATION
    プライベート DNS ゾーンとの統合Integrate with private DNS zone [はい] を選択します。Select Yes.
    プライベート DNS ゾーンPrivate DNS Zone (New)privatelink.azure-automation.net を選択します。Select (New)privatelink.azure-automation.net
  8. [Review + create](レビュー + 作成) を選択します。Select Review + create. [確認および作成] ページが表示され、Azure によって構成が検証されます。You're taken to the Review + create page where Azure validates your configuration.

  9. "証に成功しました" というメッセージが表示されたら、 [作成] を選択します。When you see the Validation passed message, select Create.

[Private Link センター] で、 [プライベート エンドポイント] を選択して、プライベート リンク リソースを表示します。In the Private Link Center, select Private endpoints to view your private link resource.

Automation リソース プライベート リンク

リソースを選択すると、すべての詳細が表示されます。Select the resource to see all the details. これにより、Automation アカウントの新しいプライベート エンドポイントが作成され、仮想ネットワークのプライベート IP アドレスが割り当てられます。This creates a new private endpoint for your Automation account and assigns it a private IP from your virtual network. [接続状態][承認済み] と表示されていることを確認します。The Connection status shows as approved.

同様に、State Configuration (agentsvc) と Hybrid Runbook Worker ジョブ ランタイム (jrds) 用の一意の完全修飾ドメイン名 (FQDN) が作成されます。Similarly, a unique fully qualified domain name (FQDN) is created for the State Configuration (agentsvc) and for the Hybrid Runbook Worker job runtime (jrds). それぞれには VNet から別の IP が割り当てられ、 [接続状態][承認済み] と表示されます。Each of them are assigned a separate IP from your VNet and the Connection status shows as approved.

サービスのコンシューマーに Automation のリソースに対する Azure RBAC アクセス許可がある場合、コンシューマーは自動の承認方法を選択できます。If the service consumer has Azure RBAC permissions on the Automation resource, they can choose the automatic approval method. この場合、要求が Automation プロバイダーのリソースに到達したときにサービス プロバイダーからのアクションは必要なく、接続が自動的に承認されます。In this case, when the request reaches the Automation provider resource, no action is required from the service provider and the connection is automatically approved.

パブリック ネットワーク アクセスのフラグを設定するSet public network access flags

Automation アカウントの構成によって、すべてのパブリック構成を拒否し、プライベート エンドポイント経由の接続のみを許可するようにして、ネットワーク セキュリティを強化できます。You can configure an Automation account to deny all public configurations and allow only connections through private endpoints to further enhance the network security. Automation アカウントへのアクセスを VNet 内のみに制限し、パブリック インターネットからのアクセスを許可しない場合は、publicNetworkAccess プロパティを $false に設定できます。If you want to restrict access to the Automation account from only within the VNet and not allow access from public internet, you can set publicNetworkAccess property to $false.

[公衆ネットワーク アクセス] の設定を $false に設定すると、プライベート エンドポイント経由の接続のみが許可され、パブリック エンドポイント経由のすべての接続は Unauthorized というエラー メッセージと HTTP 状態コード 401 が表示されて拒否されます。When the Public Network Access setting is set to $false, only connections via private endpoints are allowed and all connections via public endpoints are denied with an unauthorized error message and HTTP status of 401.

次の PowerShell スクリプトは、パブリック ネットワーク アクセス プロパティを Automation アカウント レベルで Get および Set する方法を示しています。The following PowerShell script shows how to Get and Set the Public Network Access property at the Automation account level:

$account = Get-AzResource -ResourceType Microsoft.Automation/automationAccounts -ResourceGroupName "<resourceGroupName>" -Name "<automationAccountName>" -ApiVersion "2020-01-13-preview"
$account.Properties | Add-Member -Name 'publicNetworkAccess' -Type NoteProperty -Value $false
$account | Set-AzResource -Force -ApiVersion "2020-01-13-preview"

また、Azure portal から公衆ネットワーク アクセス プロパティを制御することもできます。You can also control the public network access property from the Azure portal. お使いの Automation アカウントで、左側のペインの [アカウント設定] セクションで [ネットワークの分離] を選択します。From your Automation Account, select Network Isolation from the left-hand pane under the Account Settings section. [公衆ネットワーク アクセス] の設定を [いいえ] に設定すると、プライベート エンドポイント経由の接続のみが許可され、パブリック エンドポイント経由の接続はすべて拒否されます。When the Public Network Access setting is set to No, only connections over private endpoints are allowed and all connections over public endpoints are denied.

公衆ネットワーク アクセスの設定

DNS の構成DNS configuration

接続文字列の一部として完全修飾ドメイン名 (FQDN) を使用してプライベート リンク リソースに接続する場合は、割り当てられたプライベート IP アドレスに解決されるように DNS 設定を正しく構成することが重要です。When connecting to a private link resource using a fully qualified domain name (FQDN) as part of the connection string, it's important to correctly configure your DNS settings to resolve to the allocated private IP address. 既存の Azure サービスには、パブリック エンドポイント経由で接続するときに使用する DNS 構成が既に存在している場合があります。Existing Azure services might already have a DNS configuration to use when connecting over a public endpoint. プライベート エンドポイントを使用して接続するには、DNS 構成を確認して更新する必要があります。Your DNS configuration should be reviewed and updated to connect using your private endpoint.

プライベート エンドポイントに関連付けられたネットワーク インターフェイスには、特定のプライベート リンク リソースに割り当てられた FQDN やプライベート IP アドレスなど、DNS を構成するために必要な情報の完全なセットが含まれています。The network interface associated with the private endpoint contains the complete set of information required to configure your DNS, including FQDN and private IP addresses allocated for a given private link resource.

次のオプションを使用して、プライベート エンドポイントの DNS 設定を構成できます。You can use the following options to configure your DNS settings for private endpoints:

  • ホスト ファイルを使用する (テストにのみ推奨)。Use the host file (only recommended for testing). 仮想マシン上のホスト ファイルを使用して、最初に名前解決のために DNS を使用してオーバーライドすることができます。You can use the host file on a virtual machine to override using DNS for name resolution first. DNS エントリは次の例のようになります: privatelinkFQDN.jrds.sea.azure-automation.netYour DNS entry should look like the following example: privatelinkFQDN.jrds.sea.azure-automation.net.

  • プライベート DNS ゾーンを使用する。Use a private DNS zone. プライベート DNS ゾーンを使用して、特定のプライベート エンドポイントの DNS 解決をオーバーライドすることができます。You can use private DNS zones to override the DNS resolution for a particular private endpoint. プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、特定のドメインを解決することができます。A private DNS zone can be linked to your virtual network to resolve specific domains. 仮想マシン上のエージェントがプライベート エンドポイント経由で通信できるようにするには、プライベート DNS レコードを privatelink.azure-automation.net として作成します。To enable the agent on your virtual machine to communicate over the private endpoint, create a Private DNS record as privatelink.azure-automation.net. 新しい DNS A レコード マッピングをプライベート エンドポイントの IP に追加します。Add a new DNS A record mapping to the IP of the private endpoint.

  • DNS フォワーダーを使用する (オプション)。Use your DNS forwarder (optional). DNS フォワーダーを使用して、特定のプライベート リンク リソースの DNS 解決をオーバーライドすることができます。You can use your DNS forwarder to override the DNS resolution for a particular private link resource. お使いの DNS サーバーが仮想ネットワーク上にホストされている場合は、プライベート DNS ゾーンを使用する DNS 転送規則を作成して、すべてのプライベート リンク リソースの構成を簡略化することができます。If your DNS server is hosted on a virtual network, you can create a DNS forwarding rule to use a private DNS zone to simplify the configuration for all private link resources.

詳細については、「Azure プライベート エンドポイントの DNS 構成」をご覧ください。For more information, see Azure Private Endpoint DNS configuration.

次のステップNext steps

プライベート エンドポイントの詳細については、「Azure プライベート エンドポイントとは」を参照してください。To learn more about Private Endpoint, see What is Azure Private Endpoint?.