マネージド Prometheus と Azure Monitor ワークスペースのデータ インジェストのためのプライベート リンク

  • [アーティクル]

マネージド Prometheus のデータ インジェスト用のプライベート リンクは、データを格納するワークスペースのデータ収集エンドポイント (DCE) に構成されます。

この記事では、データ インジェストにプライベート リンクを使用するように、Azure Monitor ワークスペースに関連付けられている DCE を構成する方法について説明します。

Azure Monitor Private Link スコープ (AMPLS) を定義するには、Azure Monitor のプライベート リンクに関するドキュメントを参照し、DCE を AMPLS に関連付けます。

Azure Monitor ワークスペースに関連付けられている DCE を確認します。

  1. Azure portal の [Azure Monitor ワークスペース] メニューを開く
  2. ワークスペースを選択する
  3. [ワークスペース] メニューから [データ収集エンドポイント] を選択する

Azure Monitor ワークスペースの [データ収集エンドポイント] ページを示すスクリーンショット。

このページには、Azure Monitor ワークスペースに関連付けられ、ワークスペースへのデータ インジェストが有効化されているすべての DCE が表示されます。 Private Link で構成する DCE を選択し、手順に従って Azure Monitor プライベート リンク スコープを作成してプロセスを完了します。

これが完了したら、Azure portal からマネージド Prometheus の有効化中に作成された DCR リソースに移動し、[構成] メニューの [リソース] を選択します。 データ収集エンドポイントのドロップダウンで、AKS クラスターと同じリージョン内の DCE を選択します。 Azure Monitor ワークスペースが AKS クラスターと同じリージョンにある場合は、マネージド Prometheus の有効化中に作成された DCE を再利用できます。 そうでない場合は、AKS クラスターと同じリージョンに DCE を作成し、ドロップダウンでそれを選びます。

注意

Grafana を使って Azure Monitor ワークスペースのデータに対してクエリを実行するためのプライベート リンクを構成する方法について詳しくは、「データ ソースにプライベートに接続する」を参照してください。

ブック (Grafana 以外) を使って Azure Monitor ワークスペースのデータに対してクエリを実行するためのプライベート リンクを構成する方法について詳しくは、クエリにプライベート エンドポイントを使う方法に関する記事を参照してください。

プライベート Azure Kubernetes Service クラスターでは、既定で、パブリック ネットワーク経由でマネージド Prometheus と Azure Monitor ワークスペース、およびパブリック データ収集エンドポイントにデータを送信できます。

Azure Firewall を使用してクラスターからのエグレスを制限する場合は、次のいずれかを実装できます。

  • パブリック インジェスト エンドポイントへのパスを開きます。 ルーティング テーブルを次の 2 つのエンドポイントで更新します。
    • *.handler.control.monitor.azure.com
    • *.ingest.monitor.azure.com
  • Azure Firewall を有効にして、データ インジェストに使用される Azure Monitor Private Link スコープとデータ収集エンドポイントにアクセスします

次の手順では、プライベート リンク VNET と Azure Monitor Private Link スコープを介して Kubernetes クラスターのリモート書き込みを設定する方法を示します。

次に示すのは、プライベート リンク VNET と Azure Monitor Private Link スコープを介して Kubernetes クラスターのリモート書き込みを設定する手順です。

まず、オンプレミスの Kubernetes クラスターから始めます。

  1. Azure 仮想ネットワークを作成します。
  2. VPN ゲートウェイ、またはプライベート ピアリングを使用した ExpressRoute を使用して Azure VNET に接続するようにオンプレミス クラスターを構成します。
  3. Azure Monitor Private Link スコープを作成します。
  4. Azure Monitor Private Link スコープを、オンプレミス クラスターで使用される仮想ネットワーク内のプライベート エンドポイントに接続します。 このプライベート エンドポイントは、データ収集エンドポイントにアクセスするために使用されます。
  5. ポータルで Azure Monitor ワークスペースに移動します。 Azure Monitor ワークスペースの作成の一環として、リモート書き込みを使用してデータを取り込むために利用できるシステムのデータ収集エンドポイントが作成されます。
  6. Azure Monitor の [ワークスペース] メニューから [データ収集エンドポイント] を選択します。
  7. 既定では、システムのデータ収集エンドポイントの名前は Azure Monitor ワークスペースと同じになります。 このデータ収集エンドポイントを選択します。
  8. データ収集エンドポイントの [ネットワークの分離] ページが表示されます。 このページから [追加] を選択し、作成した Azure Monitor Private Link スコープを選択します。 設定が反映されるまで数分かかります。 完了すると、プライベート AKS クラスターからのデータがプライベート リンク経由で Azure Monitor ワークスペースに取り込まれます。

データが取り込まれていることを確認する

データが取り込まれていることを確認するには、次のいずれかの方法を試してください。

  • Azure Monitor ワークスペースから [ブック] ページを開き、[Prometheus エクスプローラー] タイルを選択します。 Azure Monitor ワークスペースのブックの詳細については、「ブックの概要」を参照してください。

  • リンクされた Grafana インスタンスを使用します。 Grafana インスタンスをワークスペースにリンクする方法の詳細については、Azure Monitor ワークスペースにGrafana ワークスペースをリンクする方法についての記事を参照してください。

次のステップ