Instana と AWS PrivateLink の連携
AWS PrivateLink と Instana を組み合わせて使用することで、監視対象のホストを Instana のVPC(仮想プライベートクラウド)エンドポイントに接続できます。 AWS PrivateLink と Instana を併用することで、アプリケーションデータが AWS のクラウド外に流出しないようにすることができます。
AWS PrivateLink と Instana の連携により、以下のメリットが得られます:
- トラフィックを AWS 内に留め、パブリックインターネットへの露出を回避することで、セキュリティを強化しました。
- 安定した信頼性の高い接続。
- ネットワーク通信コストの削減。
- 同一リージョン内およびリージョン間の統合の両方をサポートしています。
Instana 以下の3つのエンドポイントについて、 AWS PrivateLink をサポートしています:
- エージェントのエンドポイント( ingress -region -saas.instana.io )
- サーバーレス・エンドポイント( server less-region -saas.instana.io )
- OTLP エンドポイント ( ot lp-region -saas.instana.io )
前提条件
作業を開始する前に、以下の要件が満たされていることを確認してください:
- VPCインターフェースエンドポイントを作成するための十分な権限を持つ、有効な AWS アカウント。 管理者アカウントを使用することをお勧めします。
- AWS のVPCコンソールまたはCLIツールへのアクセス。
- AWS アカウントの情報(アカウントIDやルートARN(Amazon Resource Name)など)。 ARNの形式は次のとおりです
arn:aws:iam::<AWS_ACCOUNT_ID>:root。 - 割り当てられた SaaS インスタンスまたはテナントユニットの名前。 例えば、
#prod-instanaまたは#dev-instana - リークン間の設定を行うには、VPCピアリングまたはAmazon Route 53のプライベートホストゾーンについて理解している必要があります。
Instana 向けに AWS PrivateLink を設定する
Instana 向けに AWS PrivateLink を設定する手順は、以下の通りです:
AWS PrivateLink の設定依頼
AWS PrivateLink のセットアップを開始するには、 IBM サポートポータルからサポートリクエストを送信してください。
チケットには以下の情報を明記してください:
AWS アカウントのARN(ARNの例:
arn:aws:iam::AWS_ACCOUNT_ID:root)。VPCエンドポイントの作成に使用するすべてのアカウントのARNを指定してください。AWS PrivateLink を設定するすべての ARN のテナント・ユニット名。
AWS PrivateLink をインストールする地域。 現在、利用可能なオプションは、 eu-west-1 (アイルランド、ダブリン)および ap-northeast-1 (日本、東京)です。
ワークロードが他の Instana AWS リージョンにある場合は、その情報をチケットに記載してください。 この設定には、通常より時間がかかる場合があります。
リークン間のデプロイメント(たとえば、ワークロードがリークンAにあり
us-east-1、 AWS PrivateLink がリークンBに設定されている場合などeu-west-1)では、リークンAとリークンBの間で DNS をプライベートにルーティングできるよう、VPCピアリングまたはRoute 53のプライベートホストゾーンを設定してください。 また、 IBM サポートが適切に対応できるよう、チケットに地域名を明記してください。リージョン間の AWS PrivateLink では、同一リージョン内の接続に比べてデータ転送コストが高くなる場合があります。 AWS PrivateLink の価格に関する詳細については、 「 AWS PrivateLink の価格」 をご覧ください。
リクエストの検証と承認が完了したら、次のステップでサービス名を特定してください。
エンドポイントサービスの名前を特定する
以下の表を参照して、エンドポイントサービスの名前を確認してください:
「ブルー」( AWS - EU:アイルランド)地域については:
| エンドポイント | VPCE サービス名 |
|---|---|
ingress-blue-saas.instana.io |
com.amazonaws.vpce.eu-west-1.vpce-svc-0da65975a2a5129a6 |
serverless-blue-saas.instana.io |
com.amazonaws.vpce.eu-west-1.vpce-svc-07de0fcc6a559153d |
otlp-blue-saas.instana.io |
com.amazonaws.vpce.eu-west-1.vpce-svc-0eeea10ffc967a01a |
ミズ( AWS -JP: 東京)地域については:
| エンドポイント | VPCE サービス名 |
|---|---|
ingress-mizu-saas.instana.io |
com.amazonaws.vpce.ap-northeast-1.vpce-svc-048b183ac07cfa103 |
mizu.instana.io |
com.amazonaws.vpce.ap-northeast-1.vpce-svc-085a8f1419bab7ae8 |
インターフェースVPCエンドポイントの作成
インターフェースVPCエンドポイントは、 AWS のVPCコンソール、または AWS のCLIを使用して作成できます。
AWS のVPCコンソールを使用してVPCエンドポイントを作成する
AWS のVPCコンソールを使用してインターフェースVPCエンドポイントを作成するには、以下の手順を実行してください:
AWS のVPCコンソールにログインします。
- コンソールのナビゲーションメニューで「 エンドポイント 」を選択し、「 エンドポイントを作成 」をクリックします。
図 1. AWS コンソールでエンドポイントを作成する 
「エンドポイントの作成」ページで、「タイプ」の下にある「 PrivateLink 対応パートナーサービス 」を選択します。
- 「サービス設定 」の 「サービス名 」フィールドに、「 エンドポイントサービス名 」テーブルに記載されているVPCEサービス名を入力します。 次に、 「サービスの確認」 をクリックします。 サービス名が検証済みであることを確認してください。
図 2. サービス名と地域を設定する 
サービス名が確認できない場合、またはこの手順で問題が発生した場合は、既存のサポートチケットを利用してサポートをご依頼ください。
リージョン間展開の場合のみ、 「リージョン間エンドポイントを有効にする」 を選択し、リストから AWS のリージョンを選択してください。 アプリケーションを AWS の同じリージョンにデプロイした場合は、これらのフィールドを空白のままにしてください。
「 ネットワーク設定 」セクションで、以下の情報を入力してください:
- VPC : VPC リストから、プライベートリンクを有効にする仮想プライベートクラウドを選択します。
- DNS 名前 :エンドポイントを最初に作成する際は、このチェックボックスにチェックを入れないでください。 エンドポイントの作成後にプライベート DNS のサポートを設定するには、 「 DNS 名の有効化」 を参照してください。
- サブネット :インターフェースエンドポイントを使用するVPC内のサブネットを選択してください。 インスタンスがすべてのアベイラビリティゾーン(AZ)に分散している場合は、すべてのサブネットを選択してください。
- セキュリティグループ :エンドポイントのネットワークインターフェースに関連付けるセキュリティグループを選択します。 送信および受信のルールで、ポート443を許可するようにしてください。 詳細については、 「送信および受信ルールの設定」 を参照してください。
- (任意)タグを追加するには、 「新しいタグを追加」 を選択し、タグキーとタグ値を入力します。
図 3. VPCエンドポイントのネットワーク設定 
「エンドポイントの作成」 をクリックします。
必要に応じて、各エンドポイント(エージェント、サービス、 OTLP )について、これらの手順を繰り返してください。
DNS の名前を有効にする
インターフェース・エンドポイントを作成した後、以下の手順に従ってプライベート DNS のサポートを設定できます:
- コンソールのナビゲーションメニューで、 「エンドポイント」 を選択します。
- 作成したインターフェース・エンドポイントを選択してください。
- [アクション] > [プライベート DNS 名の変更 ] をクリックします。
- 「 DNS のプライベート名を有効にする 」を選択し、変更を保存します。
送信および受信ルールの設定
セキュリティグループの作成時、または作成後に、受信および送信のルールを設定できます。
セキュリティグループを作成するには、VPCコンソールで [VPC ] > [セキュリティグループ ] > [セキュリティグループの作成 ] の順に選択します。
すでにセキュリティグループが設定されている場合は、VPCコンソールの 「セキュリティグループ」 に移動し、必要なセキュリティグループを選択して、ルールを追加するように変更できます。 次に、受信ルールを追加するには、 「受信ルールの編集」 をクリックします。 同様に、送信ルールを追加するには、 「送信ルールの編集」 をクリックします。
受信および送信ルールには、以下の設定を使用してください:
- タイプ : HTTPS
- プロトコル : TCP
- ポート範囲 :443
- ソース :カスタムを選択し、CIDRブロック( 推奨 )または別のセキュリティグループID(特定のリソースからのアクセスのみを許可したい場合)を入力してください。
変更を保存します。
詳細については、Amazon Virtual Private Cloud (VPC) のドキュメントにある「VPC用のセキュリティグループを作成する」のトピックを参照してください。
AWS CLI を使用した VPC エンドポイントの作成
AWS のCLIを使用してインターフェースVPCエンドポイントを作成するには、次のコマンドを実行します
エンドポイントを設定します:
VPC_ID="vpc-xxxxxxxxxxxxxxxxx" # Replace with your VPC ID SUBNET_IDS="subnet-xxxxxxxxxxxxxxxxx,subnet-yyyyyyyyyyyyyyy" # Replace with your subnet IDs (comma-separated) SECURITY_GROUP_IDS="sg-xxxxxxxxxxxxxxxxx" # Replace with your security group IDs (comma-separated) SERVICE_NAME="com.amazonaws.vpce.your-region.your-service-name" # Replace with the AWS service name DNS_NAME_ENABLED="true" # Set to "true" to enable private DNS for the endpoint TAGS="Service=MyPrivateLinkService" # Add tags for your endpoint REGION="your-region" # Replace with your AWS regionインターフェースのエンドポイントを作成します:
aws ec2 create-vpc-endpoint \ --vpc-id "$VPC_ID" \ --service-name "$SERVICE_NAME" \ --subnet-ids "$SUBNET_IDS" \ --security-group-ids "$SECURITY_GROUP_IDS" \ --endpoint-type Interface \ --tags "$(echo $TAGS | sed -e 's/=/=/g')" \ --region $REGIONこのコマンドは、VPCエンドポイントIDを返します。
(オプション) DNS のプライベート名を有効にする:
aws ec2 modify-vpc-endpoint \ --vpc-endpoint-id "vpce-xxxxxxxxxxxxxxxxx" # Replace with the VPC endpoint ID (from previous step) --private-dns-enabled \ --region $REGION
必要に応じて、各エンドポイント(エージェント、サービス、 OTLP )について、これらの手順を繰り返してください。
接続承認の依頼
エンドポイントを作成したら、サポートチケットを更新して、エンドポイントが作成されたことをお知らせください。 その後、 IBM サポートチームが、先ほどご提供いただいたARNを使用して接続を承認します。
接続の検証
接続が承認されたら、監視ダッシュボードでデータの流れを確認し、連携が正常に機能していることを確認してください。 接続が確認できたら、サポートチケットの情報を更新してください。
IBM のサポートチームは、接続が確認され、設定が完了した時点でサポートチケットをクローズします。