監視対象のアプリケーションまたはインフラストラクチャがファイアウォールの内側にある場合は、 Azure Monitor サービスとの通信を許可するようにネットワーク アクセスを構成する必要があります。
Azure Monitor では 、サービス タグを使用します。このタグを使用すると、ネットワーク アクセスをより信頼性が高く動的に管理できます。 サービス タグは定期的に更新され、API を介して取得できるため、手動で更新しなくても、使用可能な最新の IP アドレス情報を確実に取得できます。
Azure ネットワーク セキュリティ グループを使用している場合は、Azure ネットワーク サービス タグを使用してアクセスを管理できます。 ハイブリッド リソースまたはオンプレミス リソースの場合は、同等の IP アドレス一覧を JSON ファイルとしてダウンロードできます。これは毎週更新されます。 必要なすべての例外をカバーするには、サービス タグ ActionGroup、 ApplicationInsightsAvailability、および AzureMonitorを使用します。 詳細については、「 Azure サービス タグの概要」を参照してください。
注
- Application Insights のすべてのトラフィックは、可用性の監視と Webhook アクション グループを除く送信トラフィックを表します。このグループには受信ファイアウォール規則も必要です。
- サービス タグは、顧客の Azure リソースと他のサービス タグ リソース間のテナント間通信に必要な検証/認証チェックを置き換えるわけではありません。
送信ポート
Application Insights SDK や Application Insights エージェントがポータルにデータを送信できるように、サーバーのファイアウォールでいくつかの送信ポートを開く必要があります。
| 目的 | URL | タイプ | ポート |
|---|---|---|---|
| テレメトリ | dc.applicationinsights.azure.comdc.applicationinsights.microsoft.comdc.services.visualstudio.com{region}.in.applicationinsights.azure.com |
グローバル グローバル グローバル 地域 |
443 |
| ライブ メトリック | live.applicationinsights.azure.comrt.applicationinsights.microsoft.comrt.services.visualstudio.com{region}.livediagnostics.monitor.azure.com{region}の例:westus2 |
グローバル グローバル グローバル 地域 |
443 |
注
Application Insights インジェスト エンドポイントは IPv4 のみです。
Azure Government では、
.comではなく、最上位ドメイン.usが使用されます。 Azure パブリック エンドポイントと Azure Government エンドポイントを 一般的な Azure サービスと比較します。
Application Insights エージェント
Application Insights エージェントの構成は変更を加えている場合にのみ必要です。
| 目的 | URL | ポート |
|---|---|---|
| コンフィギュレーション | management.core.windows.net |
443 |
| コンフィギュレーション | management.azure.com |
443 |
| コンフィギュレーション | login.windows.net |
443 |
| コンフィギュレーション | login.microsoftonline.com |
443 |
| コンフィギュレーション | secure.aadcdn.microsoftonline-p.com |
443 |
| コンフィギュレーション | auth.gfx.ms |
443 |
| コンフィギュレーション | login.live.com |
443 |
| 取り付け |
globalcdn.nuget.org、 packages.nuget.org 、api.nuget.org/v3/index.jsonnuget.org、 api.nuget.org、 dc.services.vsallin.net |
443 |
可用性テスト
可用性テストの詳細については、「 Private 可用性テストを参照してください。
Application Insights API と Log Analytics API
| 目的 | URI(統一リソース識別子) | ポート |
|---|---|---|
| API (アプリケーション・プログラミング・インターフェース) | api.applicationinsights.ioapi1.applicationinsights.ioapi2.applicationinsights.ioapi3.applicationinsights.ioapi4.applicationinsights.ioapi5.applicationinsights.iodev.applicationinsights.iodev.applicationinsights.microsoft.comdev.aisvc.visualstudio.comwww.applicationinsights.iowww.applicationinsights.microsoft.comwww.aisvc.visualstudio.comapi.loganalytics.io*.api.loganalytics.iodev.loganalytics.iodocs.loganalytics.iowww.loganalytics.ioapi.loganalytics.azure.com |
80,443 |
| Azure Pipeline 注釈拡張機能 | aigs1.aisvc.visualstudio.com |
443 |
Application Insights 分析
| 目的 | URI(統一リソース識別子) | ポート |
|---|---|---|
| CDN (コンテンツ配信ネットワーク) | applicationanalytics.azureedge.net |
80,443 |
| メディア CDN | applicationanalyticsmedia.azureedge.net |
80,443 |
Application Insights チームは、*.applicationinsights.io ドメインを所有しています。
Log Analytics ポータル
| 目的 | URI(統一リソース識別子) | ポート |
|---|---|---|
| ポータル | portal.loganalytics.io |
80,443 |
Log Analytics チームは、*.loganalytics.io ドメインを所有しています。
Application Insights Azure portal 拡張機能
| 目的 | URI(統一リソース識別子) | ポート |
|---|---|---|
| Application Insights 拡張機能 | stamp2.app.insightsportal.visualstudio.com |
80,443 |
| Application Insights 拡張機能 CDN | insightsportal-prod2-cdn.aisvc.visualstudio.cominsightsportal-prod2-asiae-cdn.aisvc.visualstudio.cominsightsportal-cdn-aimon.applicationinsights.io |
80,443 |
Application Insights SDK (ソフトウェア開発キット)
| 目的 | URI(統一リソース識別子) | ポート |
|---|---|---|
| Application Insights JS SDK CDN | az416426.vo.msecnd.netjs.monitor.azure.com |
80,443 |
アクション グループ Webhook
アクション グループによって使用される IP アドレスの一覧は、Get-AzNetworkServiceTag PowerShell コマンドを使用して問い合わせることができます。
アクション グループ サービス タグ
ソース IP アドレスの変更管理には、時間がかかることがあります。 "サービス タグ" を使用すると、構成を更新する必要がなくなります。 サービス タグは、特定の Azure サービスからの IP アドレス プレフィックスのグループを表します。 Microsoft は IP アドレスを管理し、アドレスが変更されたとき、サービス タグを自動更新します。アクション グループのネットワーク セキュリティ規則を更新する必要はありません。
[Azure サービス] の下の Azure portal で、[ネットワーク セキュリティ グループ] を検索します。
[追加] を選択して、ネットワーク セキュリティ グループを作成します。
- リソース グループ名を追加し、[インスタンスの詳細]の情報を入力します。
- [確認と作成]、[作成] の順に選択します。
[リソース グループ] に移動し、作成したネットワーク セキュリティ グループを選択します。
- [受信セキュリティ規則] を選択します。
- [] を選択し、[] を追加します。
右側のペインに新しいウィンドウが開きます。
- [ソース] に「サービス タグ」と入力します。
- [ソース サービス タグ] に「ActionGroup」と入力します。
- [] を選択し、[] を追加します。
Application Insights Profiler for .NET
| 目的 | URI(統一リソース識別子) | ポート |
|---|---|---|
| エージェント | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netprofiler.monitor.azure.com |
443 |
| ポータル | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
443 |
| ストレージ | *.core.windows.net |
443 |
スナップショット デバッガー
注
Application Insights Profiler for .NET とスナップショット デバッガーは、同じ IP アドレスのセットを共有します。
| 目的 | URI(統一リソース識別子) | ポート |
|---|---|---|
| エージェント | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netsnapshot.monitor.azure.com |
443 |
| ポータル | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
443 |
| ストレージ | *.core.windows.net |
443 |
よく寄せられる質問
このセクションでは、一般的な質問への回答を示します。
イントラネット Web サーバーを監視できますか?
はい。ただし、ファイアウォール例外またはプロキシ リダイレクトによってサービスへのトラフィックを許可する必要があります。
サービスと IP アドレスの全一覧については、「Azure Monitor で使用される IP アドレス」を参照してください。
インターネット上でサーバーからゲートウェイにトラフィックを再ルーティングするにはどうすればよいですか?
構成内のエンドポイントを上書きすることによって、ご利用のサーバーからのトラフィックをイントラネット上のゲートウェイにルーティングします。
Endpointプロパティが構成に存在しない場合、これらのクラスは、Azure Monitor で使用される IP アドレスに記載されている既定値を使用します。
ご利用のゲートウェイは、Microsoft のエンドポイントのベース アドレスにトラフィックをルーティングする必要があります。 構成内の既定値を http://<your.gateway.address>/<relative path> に置き換えてください。
製品がサービス タグをサポートしていない場合はどうなりますか?
製品がサービス タグをサポートしていない場合は、完全な接続を確保するために次の手順を実行します。
- ダウンロード可能な Azure IP 範囲とサービス タグ JSON ファイルの最新の IP 範囲を確認します。これは毎週更新されます。
- ブロックされた要求のファイアウォール ログを確認し、必要に応じて許可リストを更新します。
詳細については、「 Azure サービス タグの概要」を参照してください。