Azure Monitor ログ専用クラスター

Azure Monitor ログ専用クラスターは、Azure Monitor ログのお客様向けの高度な機能を有効にするデプロイ オプションです。 お客様は、専用クラスターでホストする必要がある Log Analytics ワークスペースを選択できます。

専用クラスターでは、1 日あたり少なくとも 1 TB のデータ インジェストの容量を使用してコミットを行う必要があります。 データの損失やサービスの中断を発生させることなく、既存のワークスペースを専用クラスターに移行できます。

専用クラスターを必要とする機能は次のとおりです。

  • カスタマー マネージド キー - お客様によって指定、管理されるキーを利用してクラスター データを暗号化します。
  • Lockbox - Microsoft サポート エンジニアのデータ アクセス要求を制御します。
  • 二重暗号化 - 暗号化アルゴリズムまたはキーのいずれかが侵害される可能性があるシナリオから保護されます。 この場合は、追加の暗号化レイヤーによって引き続きデータが保護されます。
  • Availability Zones - 専用クラスター上の Availability Zones を使用してデータセンターの障害からデータを保護します。 可用性ゾーンは、別の物理的な場所にあるデータセンターであり、独立した電源、冷却手段、ネットワークを備えています。 ゾーンのこの独立したインフラストラクチャと物理的な分離により、ワークスペースで任意のゾーンのリソースに依存できるので、インシデントの可能性がはるかに低くなります。
  • マルチワークスペース - お客様が運用に複数のワークスペースを使用している場合、専用クラスターの使用をお勧めします。 すべてのワークスペースが同じクラスター上にある場合は、クロスワークスペース クエリの実行速度が速くなります。 割り当てられたコミットメント レベルですべてのクラスターのインジェストが考慮されるため、専用クラスターを使用する方がコスト効率が高くなる可能性もあります。その一部が小さく、コミットメント レベル割引の対象になっていない場合でも、すべてのワークスペースに適用されます。

管理

専用クラスターは、Azure Monitor ログ クラスターを表す Azure リソースで管理されます。 CLIPowerShell REST のいずれかを使用してプログラムから操作が実行されます。

クラスターの作成後、そこにワークスペースをリンクさせると、新しく取り込まれたデータがクラスターに格納されます。 ワークスペースとクラスターのリンクはいつでも解除できます。リンクの解除後は、新しいデータが共有 Log Analytics クラスターに格納されます。 リンクとリンク解除の操作はクエリに影響せず、ワークスペースに保有されている限り、操作の前後でデータへのアクセスにも影響しません。 クラスターとワークスペースとの間にリンクを設定するには、両者が同じリージョンに存在する必要があります。

クラスター レベルでのすべての操作には、クラスターに対する Microsoft.OperationalInsights/clusters/write アクション権限が必要です。 このアクセス許可を付与するには、*/write アクションを含む所有者または共同作成者、または Microsoft.OperationalInsights/* アクションを含む Log Analytics 共同作成者ロールを使用します。 Log Analytics のアクセス許可の詳細については、「Azure Monitor でログ データとワークスペースへのアクセスを管理する」を参照してください。

クラスターの価格モデル

Log Analytics 専用クラスターには、500 GB/日以上のコミットメント レベル (旧称: 容量予約) 価格モデルが使用されます。 そのレベルを超える使用量は、有効な 1 GB あたりのコミットメント レベル料金で課金されます。 コミットメント レベル価格情報については、Azure Monitor の価格ページをご覧ください。

クラスターのコミットメント レベルは、Sku の下にある Capacity パラメーターを使用して、Azure Resource Manager でプログラムによって構成されます。 Capacity は GB 単位で指定され、1 日あたり 500 GB、1,000 GB、2,000 GB、5,000 GB の値を設定できます。

クラスターでの使用については、2 つの課金モードがあります。 これらは、ご自分のクラスターを構成するときに、billingType パラメーターで指定できます。

  1. クラスター (既定) : 取り込まれたデータの課金は、クラスター レベルで行われます。 クラスターに関連付けられている各ワークスペースが取り込んだデータ量が集計され、クラスターの日次請求が計算されます。

  2. ワークスペース: クラスターのコミットメント レベル コストは、各ワークスペースのデータ インジェスト量に応じて、クラスター内のワークスペースに比例的に帰属します (各ワークスペースに対する Azure Security Center からのノードごとの割り当てを考慮した後)。この価格モデルの詳細については、こちらをご覧ください。

ワークスペースで従来のノードごとの価格レベルが使用されている場合、クラスターにリンクされると、クラスターのコミットメント レベルに対するデータ インジェストに基づいて課金され、ノードごとには課金されなくなります。 Azure Security Center からのノードごとのデータ割り当ては引き続き適用されます。

Log Analytics 専用クラスターの課金の詳細については、こちらをご覧ください。

非同期操作と状態のチェック

構成手順の一部はすぐに完了できないため、非同期的に実行されます。 応答の状態には、次のいずれかが含まれます: InProgressUpdatingDeletingSucceededFailed (エラー コードを伴う)。 REST を使用している場合、応答では最初に HTTP 状態コード 202 (承認済み) と Azure-AsyncOperation プロパティを持つヘッダーが返されます。

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/subscription-id/providers/Microsoft.OperationalInsights/locations/region-name/operationStatuses/operation-id?api-version=2021-06-01"

Azure-AsyncOperation ヘッダー値に GET 要求を送信することにより、非同期操作の状態を確認できます。

GET https://management.azure.com/subscriptions/subscription-id/providers/microsoft.operationalInsights/locations/region-name/operationstatuses/operation-id?api-version=2021-06-01
Authorization: Bearer <token>

専用クラスターを作成する

新しい専用クラスターを作成するときに、次のプロパティを指定する必要があります。

  • ClusterName
  • ResourceGroupName: 通常、クラスターは組織内の多くのチームによって共有されるため、中央の IT リソース グループを使用する必要があります。 設計に関するその他の考慮事項については、「Azure Monitor ログのデプロイの設計」を参照してください。
  • 場所
  • SkuCapacity: コミットメント レベル (旧称: 容量予約) は 500、1000、2000、または 5000 GB/日に設定できます。 クラスターのコストの詳細については、Log Analytics クラスターのコストの管理に関するページをご覧ください。

クラスターを作成するユーザー アカウントには、Azure リソースの作成に関する標準的なアクセス許可 Microsoft.Resources/deployments/* およびクラスターの書き込みアクセス許可 Microsoft.OperationalInsights/clusters/write が必要です。このために、ロールの割り当てで、この特定のアクション、Microsoft.OperationalInsights/* または */write を使用します。

"クラスター" リソースを作成した後、sku、*keyVaultProperties、billingType などの追加のプロパティを編集できます。 詳細については、以下を参照してください。

リージョンごと、サブスクリプションごとに最大 2 つのアクティブ クラスターを使用できます。 クラスターは、削除されても、14 日間は予約されています。 リージョンごと、サブスクリプションごとに最大 4 つの (アクティブな、または最近削除された) 予約済みクラスターを使用できます。

[!INFORMATION] クラスターの作成によって、リソース割り当てとプロビジョニングがトリガーされます。 この操作が完了するまで数時間かかることがあります。 専用クラスターは、データ インジェストに関係なくプロビジョニング後に課金されます。プロビジョニングおよびクラスターへのワークスペースのリンクを効率よく行えるようデプロイを準備することをお勧めします。 次の点を確認します。

  • クラスターにリンクさせる初期ワークスペースのリストが明らかになっていること
  • リンクさせるワークスペースとクラスターに使用するサブスクリプションへのアクセス許可があること

CLI

az monitor log-analytics cluster create --no-wait --resource-group "resource-group-name" --name "cluster-name" --location "region-name" --sku-capacity "daily-ingestion-gigabyte"

# Wait for job completion
az resource wait --created --ids /subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.operationalinsights/clusters/cluster-name --include-response-body true

PowerShell

New-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -Location "region-name" -SkuCapacity "daily-ingestion-gigabyte" -AsJob

# Check when the job is done
Get-Job -Command "New-AzOperationalInsightsCluster*" | Format-List -Property *

REST API

Call

PUT https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2021-06-01
Authorization: Bearer <token>
Content-type: application/json

{
  "identity": {
    "type": "systemAssigned"
    },
  "sku": {
    "name": "capacityReservation",
    "Capacity": 500
    },
  "properties": {
    "billingType": "Cluster",
    },
  "location": "<region>",
}

Response

202 (承認済み) とヘッダーである必要があります。

クラスターのプロビジョニング状態を確認する

Log Analytics クラスターのプロビジョニングは、完了するまでに時間がかかります。 ProvisioningState プロパティをチェックするには、次のいずれかの方法を使用します。 この値は、プロビジョニング中は ProvisioningAccount、完了時は Succeeded になります。

CLI

az monitor log-analytics cluster show --resource-group "resource-group-name" --name "cluster-name"

PowerShell

Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name"

REST API

クラスター リソースに GET 要求を送信し、provisioningState の値を調べます。 この値は、プロビジョニング中は ProvisioningAccount、完了時は Succeeded になります。

GET https://management.azure.com/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name?api-version=2021-06-01
Authorization: Bearer <token>

Response

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 500
  },
  "properties": {
    "provisioningState": "ProvisioningAccount",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 500
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

principalId GUID は、クラスター作成時にマネージド ID サービスによって生成されます。


Log Analytics ワークスペースが専用クラスターにリンクされている場合、ワークスペースに取り込まれた新しいデータは新しいクラスターにルーティングされ、既存のデータは既存のクラスターに残ります。 専用クラスターがカスタマー マネージド キー (CMK) を使用して暗号化されている場合は、新しいデータのみがキーで暗号化されます。 この違いはシステムにより抽象化されているので、ユーザーは、システムによってバックエンドでクラスター間クエリが実行されている間、通常どおりにワークスペースを照会できます。

1 つのクラスターを最大 1,000 ワークスペースにリンクできます。 リンクされたワークスペースは、クラスターと同じリージョンにあります。 システムのバックエンドを保護し、データの断片化を避けるために、ワークスペースを 1 か月に 3 回以上クラスターにリンクすることはできません。

リンク操作を実行するには、ワークスペースと "クラスター" リソースの両方に対する次の "書き込み" アクセス許可を持っている必要があります。

  • ワークスペース:Microsoft.OperationalInsights/workspaces/write
  • "クラスター" リソース:Microsoft.OperationalInsights/clusters/write

請求の側面を除き、リンクされたワークスペースは、データ保有期間などの独自の設定を保持します。

ワークスペースとクラスターは、異なるサブスクリプションに配置できます。 Azure Lighthouse を使用して両方のテナントを 1 つのテナントにマップすると、ワークスペースとクラスターが異なるテナントに配置される可能性があります。

ワークスペースのリンクは、Log Analytics クラスターのプロビジョニングが完了した後でのみ実行できます。

警告

ワークスペースをクラスターにリンクするには、複数のバックエンド コンポーネントを同期して、キャッシュのハイドレーションを確保する必要があります。 この操作の完了には最大で 2 時間かかる場合があるので、非同期的に実行する必要があります。

ワークスペースをクラスターにリンクするには、次のコマンドを使用します。

CLI

# Find cluster resource ID
$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, "cluster-name")]" --query [].id --output table

az monitor log-analytics workspace linked-service create --no-wait --name cluster --resource-group "resource-group-name" --workspace-name "workspace-name" --write-access-resource-id $clusterResourceId

# Wait for job completion
az resource wait --created --ids /subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.operationalinsights/clusters/cluster-name --include-response-body true

PowerShell

# Find cluster resource ID
$clusterResourceId = (Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name").id

# Link the workspace to the cluster
Set-AzOperationalInsightsLinkedService -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -LinkedServiceName cluster -WriteAccessResourceId $clusterResourceId -AsJob

# Check when the job is done
Get-Job -Command "Set-AzOperationalInsightsLinkedService" | Format-List -Property *

REST API

次の REST 呼び出しを使用して、クラスターにリンクします。

Send

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/workspaces/<workspace-name>/linkedservices/cluster?api-version=2021-06-01 
Authorization: Bearer <token>
Content-type: application/json

{
  "properties": {
    "WriteAccessResourceId": "/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/clusters/<cluster-name>"
    }
}

Response

202 (承認済み) とヘッダー。


カスタマー マネージド キーを使用してクラスターが構成されている場合、リンク操作の完了後にワークスペースに取り込まれたデータは、マネージド キーで暗号化された状態で格納されます。 ワークスペースのリンク操作が完了するには最大 90 分かかる場合があります。また、状態は次の 2 つの方法で確認できます。

  • 応答から Azure-AsyncOperation URL 値をコピーし、非同期操作と状態のチェックに従います。
  • ワークスペースで Get 操作を実行し、応答の features の下に clusterResourceId プロパティが存在するかどうかを確認します。

CLI

az monitor log-analytics workspace show --resource-group "resource-group-name" --workspace-name "workspace-name"

PowerShell

Get-AzOperationalInsightsWorkspace -ResourceGroupName "resource-group-name" -Name "workspace-name"

REST API

Call

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/workspaces/<workspace-name>?api-version=2021-06-01
Authorization: Bearer <token>

Response

{
  "properties": {
    "source": "Azure",
    "customerId": "workspace-name",
    "provisioningState": "Succeeded",
    "sku": {
      "name": "pricing-tier-name",
      "lastSkuUpdate": "Tue, 28 Jan 2020 12:26:30 GMT"
    },
    "retentionInDays": 31,
    "features": {
      "legacy": 0,
      "searchVersion": 1,
      "enableLogAccessUsingOnlyResourcePermissions": true,
      "clusterResourceId": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name"
    },
    "workspaceCapping": {
      "dailyQuotaGb": -1.0,
      "quotaNextResetTime": "Tue, 28 Jan 2020 14:00:00 GMT",
      "dataIngestionStatus": "RespectQuota"
    }
  },
  "id": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/microsoft.operationalinsights/workspaces/workspace-name",
  "name": "workspace-name",
  "type": "Microsoft.OperationalInsights/workspaces",
  "location": "region"
}

クラスターのプロパティを変更する

クラスター リソースを作成し、完全にプロビジョニングされたら、PowerShell または REST API を使用して追加のプロパティを編集できます。 クラスターのプロビジョニング後に設定できる追加のプロパティは次のとおりです。

  • keyVaultProperties - 次のパラメーターを使用して Azure Key Vault 内のキーが格納されます: KeyVaultUriKeyNameKeyVersion。 「キー識別子の詳細を使用してクラスターを更新する」をご覧ください。
  • Identity - キー コンテナーへの認証に使用される ID。 System-assigned (システム割り当て) または User-assigned (ユーザー割り当て) のいずれかです。
  • billingType - クラスター リソースとそのデータの課金の帰属。 次の値が含まれます。
    • Cluster (既定) - クラスターのコストは、クラスター リソースに帰属します。
    • Workspaces - クラスターのコストは、クラスター内のワークスペースに比例的に帰属します。その日に取り込まれた合計データがコミットメント レベルを下回る場合に使用量の一部がクラスター リソースに課金されます。 クラスターの価格モデルの詳細については、「Log Analytics 専用クラスター」を参照してください。

重要

クラスターの更新では、同じ操作に ID とキー識別子の詳細の両方を含めることをしないでください。 両方の更新が必要な場合、更新は 2 つの連続する操作で行ってください。

注意

billingType プロパティは、PowerShell ではサポートされていません。

リソース グループ内のすべてのクラスターを取得する

CLI

az monitor log-analytics cluster list --resource-group "resource-group-name"

PowerShell

Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name"

REST API

Call

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters?api-version=2021-06-01
Authorization: Bearer <token>

Response

{
  "value": [
    {
      "identity": {
        "type": "SystemAssigned",
        "tenantId": "tenant-id",
        "principalId": "principal-id"
      },
      "sku": {
        "name": "capacityreservation",
        "capacity": 500
      },
      "properties": {
        "provisioningState": "Succeeded",
        "clusterId": "cluster-id",
        "billingType": "Cluster",
        "lastModifiedDate": "last-modified-date",
        "createdDate": "created-date",
        "isDoubleEncryptionEnabled": false,
        "isAvailabilityZonesEnabled": false,
        "capacityReservationProperties": {
          "lastSkuUpdate": "last-sku-modified-date",
          "minCapacity": 500
        }
      },
      "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
      "name": "cluster-name",
      "type": "Microsoft.OperationalInsights/clusters",
      "location": "cluster-region"
    }
  ]
}

サブスクリプション内のすべてのクラスターを取得する

CLI

az monitor log-analytics cluster list

PowerShell

Get-AzOperationalInsightsCluster

REST API

Call

GET https://management.azure.com/subscriptions/<subscription-id>/providers/Microsoft.OperationalInsights/clusters?api-version=2021-06-01
Authorization: Bearer <token>

Response

"リソース グループ内のクラスター" に対するものと同じですが、サブスクリプション スコープです。


クラスター内のコミットメント レベルを更新する

リンクされたワークスペースへのデータ量が時間の経過と共に変化し、コミットメント レベルを適切に更新する必要があります。 このレベルは GB 単位で指定し、1 日あたり 500 GB、1,000 GB、2,000 GB、5,000 GB のいずれかの値を設定できます。 完全な REST 要求本文を指定する必要はなく、SKU を含める必要があることに注意してください。

CLI

az monitor log-analytics cluster update --resource-group "resource-group-name" --name "cluster-name"  --sku-capacity 500

PowerShell

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -SkuCapacity 500

REST API

Call

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2021-06-01
Authorization: Bearer <token>
Content-type: application/json

{
  "sku": {
    "name": "capacityReservation",
    "Capacity": 2000
  }
}

クラスターの billingType を更新する

billingType プロパティによって、クラスターとそのデータの課金の属性が決まります。

  • Cluster (既定) - 課金は、クラスター リソースに帰属します
  • Workspaces - 課金は、リンクされたワークスペースに比例的に帰属します。 すべてのワークスペースのデータ ボリュームがコミットメント レベルを下回っている場合、残りのボリュームはクラスターに帰属します

REST

Call

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2021-06-01
Authorization: Bearer <token>
Content-type: application/json

{
  "properties": {
    "billingType": "Workspaces",
    }  
}

クラスターからワークスペースのリンクを解除することができます。 クラスターからワークスペースのリンクを解除すると、このワークスペースに関連付けられた新しいデータは専用クラスターに送信されません。 また、ワークスペースの課金はクラスター経由で行われなくなります。 リンクを解除したワークスペースの古いデータがクラスターに残っている可能性があります。 このデータがカスタマー マネージド キー (CMK) を使用して暗号化されている場合、Key Vault シークレットは保持されます。 この変更は Log Analytics ユーザーから分離されています。 ユーザーはワークスペースに通常どおりクエリを実行できます。 システムは必要に応じてバックエンドでクラスター間クエリを実行し、ユーザーには何も通知しません。

警告

特定のワークスペースのリンク操作は 1 か月に 2 回という制限があります。 リンク解除アクションは考慮に時間をかけて計画してください。

クラスターからワークスペースのリンクを解除するには、次のコマンドを使用します。

CLI

az monitor log-analytics workspace linked-service delete --resource-group "resource-group-name" --workspace-name "workspace-name" --name cluster

PowerShell

# Unlink a workspace from cluster
Remove-AzOperationalInsightsLinkedService -ResourceGroupName "resource-group-name" -WorkspaceName {workspace-name} -LinkedServiceName cluster

クラスターを削除する

削除する前に、専用クラスターからすべてのワークスペースのリンクを解除する必要があります。 この操作を実行するには、クラスター リソースに対する "書き込み" アクセス許可が必要です。

クラスター リソースが削除されると、物理クラスターは消去と削除のプロセスに入ります。 クラスターを削除すると、クラスターに格納されていたすべてのデータが削除されます。 このデータは、過去にクラスターにリンクされたワークスペースのものである可能性があります。

過去 14 日以内に削除されたクラスター リソースは、論理的な削除状態であり、そのデータで復旧できます。 クラスター リソースの削除によって、すべてのワークスペースがクラスター リソースから関連付け解除されているため、回復後にワークスペースを再関連付けする必要があります。 ユーザーが復旧操作を実行することはできません。Microsoft チャネルまたはサポートに問い合わせて、復旧要求を行ってください。

削除後 14 日間クラスター リソース名は予約され、他のリソースでは使用できません。

警告

サブスクリプションあたり 3 つのクラスターに制限されています。 アクティブなクラスターと論理的に削除されたクラスターは、この一部としてカウントされます。 クラスターを作成して削除する反復手順は作成しないでください。 Log Analytics バックエンド システムに大きな影響を与えます。

クラスターを削除するには、次のコマンドを使用します。

CLI

az monitor log-analytics cluster delete --resource-group "resource-group-name" --name $clusterName

PowerShell

Remove-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name"

REST API

次の REST 呼び出しを使用して、クラスターを削除します。

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2021-06-01
Authorization: Bearer <token>

Response

200 OK


制限および制約

  • 各リージョンとサブスクリプションには、最大 2 つのアクティブなクラスターを作成できます。

  • 各リージョンとサブスクリプションには、最大 4 つの予約済みクラスター (アクティブまたは最近削除されたもの) を作成できます。

  • 1 つのクラスターには、最大 1,000 の Log Analytics ワークスペースをリンクできます。

  • 特定のワークスペースでは、30 日間に最大 2 つのワークスペース リンク操作が許可されます。

  • 別のリソース グループまたはサブスクリプションへのクラスターの移動は、現時点ではサポートされていません。

  • クラスターの更新では、同じ操作に ID とキー識別子の詳細の両方を含めることをしないでください。 両方の更新が必要な場合、更新は 2 つの連続する操作で行ってください。

  • ロックボックスは、現在、中国では使用できません。

  • 二重暗号化は、サポートされているリージョンで 2020 年 10 月以降に作成されたクラスターに対して自動的に構成されます。 クラスターが二重暗号化されるように構成されているかどうかを確認するには、クラスターに対して GET 要求を送信し、二重暗号化が有効になっているクラスターの isDoubleEncryptionEnabled の値が true かどうかを検査します。

    • クラスターを作成したときに、「"リージョン名" ではクラスターの二重暗号化がサポートされていません」というエラーが表示された場合でも、REST 要求本文に "properties": {"isDoubleEncryptionEnabled": false} を追加すると、二重暗号化なしでクラスターを作成できます。
    • クラスターの作成後に、二重暗号化の設定を変更することはできません。

トラブルシューティング

  • クラスターを作成するときに競合エラーが発生する場合は、過去 14 日以内にクラスターを削除し、それが論理的な削除状態にある可能性があります。 クラスター名は、論理的な削除の期間中は予約されたままであり、その名前で新しいクラスターを作成することはできません。 この名前は、論理的な削除の期間の後、クラスターが完全に削除されたときに解放されます。

  • クラスターがプロビジョニング中または更新中の状態のときにクラスターを更新すると、更新は失敗します。

  • 一部の操作は長く、完了するまでに時間がかかることがあります。 "クラスターの作成"、"クラスターのキーの更新"、 "クラスターの削除" などです。 操作の状態を確認するには、次の 2 つの方法があります。

    • REST を使用している場合、応答から Azure-AsyncOperation URL 値をコピーし、「非同期操作と状態のチェック」に従います。
    • GET 要求をクラスターまたはワークスペースに送信し、応答を観察します。 たとえば、リンクされていないワークスペースには、features の下に clusterResourceId が存在しません。
  • 別のクラスターにリンクされている場合、クラスターへのワークスペースのリンクは失敗します。

エラー メッセージ

クラスターの作成

  • 400 -- Cluster name is not valid. (400 -- クラスター名が無効です。) クラスター名に含めることができる文字は a から z、A から Z、0 から 9 であり、長さは 3 から 63 文字です。
  • 400 -- The body of the request is null or in bad format. (400 -- 要求の本文が null であるか無効な形式です。)
  • 400 -- SKU name is invalid. (400 -- SKU 名が無効です。) SKU 名を capacityReservation に設定してください。
  • 400 -- Capacity was provided but SKU is not capacityReservation. (400 -- 容量が指定されましたが、SKU は capacityReservation ではありません。) SKU 名を capacityReservation に設定してください。
  • 400 -- Missing Capacity in SKU. (400 -- SKU に容量がありません。) 容量の値を 1 日あたり 500 GB、1,000 GB、2,000 GB、または 5,000 GB に設定してください。
  • 400 -- Capacity is locked for 30 days. (400 -- 容量は 30 日間ロックされます。) 容量の減少は更新の 30 日後に許可されます。
  • 400 -- No SKU was set. (400 -- SKU が設定されていませんでした。) SKU 名を capacityReservation にし、容量の値を 1 日あたり 500 GB、1,000 GB、2,000 GB、または 5,000 GB に設定してください。
  • 400 -- Identity is null or empty. (400 -- ID が null または空です。) systemAssigned の種類の ID を設定してください。
  • 400 -- KeyVaultProperties are set on creation. (400 -- 作成時に KeyVaultProperties が設定されます。) クラスターの作成後に KeyVaultProperties を更新してください。
  • 400 -- Operation cannot be executed now. (400 -- 現在、操作を実行できません。) 非同期操作は成功以外の状態になっています。 更新操作を実行する前に、クラスターでの操作が完了している必要があります。

クラスターの更新

  • 400 -- Cluster is in deleting state. (400 -- クラスターは削除中の状態です。) 非同期操作が進行中です。 更新操作を実行する前に、クラスターでの操作が完了している必要があります。
  • 400 -- KeyVaultProperties is not empty but has a bad format. (400 -- KeyVaultProperties は空ではありませんが、形式が無効です。) キー識別子の更新に関するセクションを参照してください。
  • 400 -- Failed to validate key in Key Vault. (400 -- Key Vault 内のキーの検証に失敗しました。) 必要なアクセス許可がないことが原因である可能性があります。または、キーが存在しません。 Key Vault でキーとアクセス ポリシーを設定したことを確認してください。
  • 400 -- Key is not recoverable. (400 -- キーは回復不能です。) Key Vault に論理的な削除と消去保護を設定する必要があります。 Key Vault のドキュメントを参照してください
  • 400 -- Operation cannot be executed now. (400 -- 現在、操作を実行できません。) 非同期操作が完了するまで待ってから、もう一度お試しください。
  • 400 -- Cluster is in deleting state. (400 -- クラスターは削除中の状態です。) 非同期操作が完了するまで待ってから、もう一度お試しください。

クラスターの取得

  • 404 -- Cluster not found, the cluster may have been deleted. (404 -- クラスターが見つかりません。クラスターは削除された可能性があります。) クラスターをその名前で作成しようとし、競合が発生した場合、そのクラスターは 14 日間の論理的な削除状態にあります。 回復するためにサポートに連絡するか、別の名前を使用して新しいクラスターを作成できます。

クラスターの削除

  • 409 -- Can't delete a cluster while in provisioning state. (409 -- プロビジョニング状態の間は、クラスターを削除できません。) 非同期操作が完了するまで待ってから、もう一度お試しください。
  • 404 -- ワークスペースが見つかりません。 指定したワークスペースが存在しないか、削除されました。
  • 409 -- ワークスペースのリンクまたはリンク解除操作が進行中です。
  • 400 -- Cluster not found, the cluster you specified doesn’t exist or was deleted. (400 -- クラスターが見つかりません。指定したクラスターが存在しないか、削除されました。) クラスターをその名前で作成しようとし、競合が発生した場合、そのクラスターは 14 日間の論理的な削除状態にあります。 回復するには、サポートにお問い合わせください。
  • 404 -- ワークスペースが見つかりません。 指定したワークスペースが存在しないか、削除されました。
  • 409 -- ワークスペースのリンクまたはリンク解除操作が進行中です。

次の手順