Instana と AWS PrivateLink の連携

AWS PrivateLink と Instana を組み合わせて使用することで、監視対象のホストを Instana のVPC(仮想プライベートクラウド)エンドポイントに接続できます。 AWS PrivateLink と Instana を併用することで、アプリケーションデータが AWS のクラウド外に流出しないようにすることができます。

AWS PrivateLink と Instana の連携により、以下のメリットが得られます:

  • トラフィックを AWS 内に留め、パブリックインターネットへの露出を回避することで、セキュリティを強化しました。
  • 安定した信頼性の高い接続。
  • ネットワーク通信コストの削減。
  • 同一リージョン内およびリージョン間の統合の両方をサポートしています。

Instana 以下の3つのエンドポイントについて、 AWS PrivateLink をサポートしています:

  • エージェントのエンドポイント( ingress -region -saas.instana.io )
  • サーバーレス・エンドポイント( server less-region -saas.instana.io )
  • OTLP エンドポイント ( ot lp-region -saas.instana.io )

前提条件

作業を開始する前に、以下の要件が満たされていることを確認してください:

  • VPCインターフェースエンドポイントを作成するための十分な権限を持つ、有効な AWS アカウント。 管理者アカウントを使用することをお勧めします。
  • AWS のVPCコンソールまたはCLIツールへのアクセス。
  • AWS アカウントの情報(アカウントIDやルートARN(Amazon Resource Name)など)。 ARNの形式は次のとおりです arn:aws:iam::<AWS_ACCOUNT_ID>:root
  • 割り当てられた SaaS インスタンスまたはテナントユニットの名前。 例えば、 #prod-instana または #dev-instana
  • リークン間の設定を行うには、VPCピアリングまたはAmazon Route 53のプライベートホストゾーンについて理解している必要があります。

エンドポイントサービスの名前を特定する

以下の表を参照して、エンドポイントサービスの名前を確認してください:

「ブルー」( AWS - EU:アイルランド)地域については:

エンドポイント VPCE サービス名
ingress-blue-saas.instana.io com.amazonaws.vpce.eu-west-1.vpce-svc-0da65975a2a5129a6
serverless-blue-saas.instana.io com.amazonaws.vpce.eu-west-1.vpce-svc-07de0fcc6a559153d
otlp-blue-saas.instana.io com.amazonaws.vpce.eu-west-1.vpce-svc-0eeea10ffc967a01a

ミズ( AWS -JP: 東京)地域については:

エンドポイント VPCE サービス名
ingress-mizu-saas.instana.io com.amazonaws.vpce.ap-northeast-1.vpce-svc-048b183ac07cfa103
mizu.instana.io com.amazonaws.vpce.ap-northeast-1.vpce-svc-085a8f1419bab7ae8
注: VPCEのサービス名は、テナント単位を問わず一貫して同じです。 変更されるのは、リージョンごとのVPCとエンドポイントのみです。

インターフェースVPCエンドポイントの作成

インターフェースVPCエンドポイントは、 AWS のVPCコンソール、または AWS のCLIを使用して作成できます。

AWS のVPCコンソールを使用してVPCエンドポイントを作成する

AWS のVPCコンソールを使用してインターフェースVPCエンドポイントを作成するには、以下の手順を実行してください:

  1. AWS のVPCコンソールにログインします。

  2. コンソールのナビゲーションメニューで「 エンドポイント 」を選択し、「 エンドポイントを作成 」をクリックします。
    図 1. AWS コンソールでエンドポイントを作成する
    エンドポイントの作成
  3. 「エンドポイントの作成」ページで、「タイプ」の下にある「 PrivateLink 対応パートナーサービス 」を選択します。

  4. サービス設定 」の 「サービス名 」フィールドに、「 エンドポイントサービス名 」テーブルに記載されているVPCEサービス名を入力します。 次に、 「サービスの確認」 をクリックします。 サービス名が検証済みであることを確認してください。
    図 2. サービス名と地域を設定する
    サービス名を設定する

    サービス名が確認できない場合、またはこの手順で問題が発生した場合は、既存のサポートチケットを利用してサポートをご依頼ください。

  5. リージョン間展開の場合のみ、 「リージョン間エンドポイントを有効にする」 を選択し、リストから AWS のリージョンを選択してください。 アプリケーションを AWS の同じリージョンにデプロイした場合は、これらのフィールドを空白のままにしてください。

  6. ネットワーク設定 」セクションで、以下の情報を入力してください:

    • VPCVPC リストから、プライベートリンクを有効にする仮想プライベートクラウドを選択します。
    • DNS 名前 :エンドポイントを最初に作成する際は、このチェックボックスにチェックを入れないでください。 エンドポイントの作成後にプライベート DNS のサポートを設定するには、 「 DNS 名の有効化」 を参照してください。
    • サブネット :インターフェースエンドポイントを使用するVPC内のサブネットを選択してください。 インスタンスがすべてのアベイラビリティゾーン(AZ)に分散している場合は、すべてのサブネットを選択してください。
    • セキュリティグループ :エンドポイントのネットワークインターフェースに関連付けるセキュリティグループを選択します。 送信および受信のルールで、ポート443を許可するようにしてください。 詳細については、 「送信および受信ルールの設定」 を参照してください。
    • (任意)タグを追加するには、 「新しいタグを追加」 を選択し、タグキーとタグ値を入力します。
    図 3. VPCエンドポイントのネットワーク設定
    ネットワーク設定
  7. 「エンドポイントの作成」 をクリックします。

必要に応じて、各エンドポイント(エージェント、サービス、 OTLP )について、これらの手順を繰り返してください。

DNS の名前を有効にする

インターフェース・エンドポイントを作成した後、以下の手順に従ってプライベート DNS のサポートを設定できます:

  1. コンソールのナビゲーションメニューで、 「エンドポイント」 を選択します。
  2. 作成したインターフェース・エンドポイントを選択してください。
  3. [アクション] > [プライベート DNS 名の変更 ] をクリックします。
  4. DNS のプライベート名を有効にする 」を選択し、変更を保存します。

送信および受信ルールの設定

セキュリティグループの作成時、または作成後に、受信および送信のルールを設定できます。

セキュリティグループを作成するには、VPCコンソールで [VPC ] > [セキュリティグループ ] > [セキュリティグループの作成 ] の順に選択します。

すでにセキュリティグループが設定されている場合は、VPCコンソールの 「セキュリティグループ」 に移動し、必要なセキュリティグループを選択して、ルールを追加するように変更できます。 次に、受信ルールを追加するには、 「受信ルールの編集」 をクリックします。 同様に、送信ルールを追加するには、 「送信ルールの編集」 をクリックします。

受信および送信ルールには、以下の設定を使用してください:

  • タイプ : HTTPS
  • プロトコル : TCP
  • ポート範囲 :443
  • ソース :カスタムを選択し、CIDRブロック( 推奨 )または別のセキュリティグループID(特定のリソースからのアクセスのみを許可したい場合)を入力してください。

変更を保存します。

詳細については、Amazon Virtual Private Cloud (VPC) のドキュメントにある「VPC用のセキュリティグループを作成する」のトピックを参照してください。

AWS CLI を使用した VPC エンドポイントの作成

AWS のCLIを使用してインターフェースVPCエンドポイントを作成するには、次のコマンドを実行します

  1. エンドポイントを設定します:

    VPC_ID="vpc-xxxxxxxxxxxxxxxxx"  # Replace with your VPC ID
    SUBNET_IDS="subnet-xxxxxxxxxxxxxxxxx,subnet-yyyyyyyyyyyyyyy"  # Replace with your subnet IDs (comma-separated)
    SECURITY_GROUP_IDS="sg-xxxxxxxxxxxxxxxxx"  # Replace with your security group IDs (comma-separated)
    SERVICE_NAME="com.amazonaws.vpce.your-region.your-service-name"  # Replace with the AWS service name
    DNS_NAME_ENABLED="true" # Set to "true" to enable private DNS for the endpoint
    TAGS="Service=MyPrivateLinkService" # Add tags for your endpoint
    REGION="your-region" # Replace with your AWS region
     
  2. インターフェースのエンドポイントを作成します:

    aws ec2 create-vpc-endpoint \
        --vpc-id "$VPC_ID" \
        --service-name "$SERVICE_NAME" \
        --subnet-ids "$SUBNET_IDS" \
        --security-group-ids "$SECURITY_GROUP_IDS" \
        --endpoint-type Interface \
        --tags "$(echo $TAGS | sed -e 's/=/=/g')" \
        --region $REGION
     

    このコマンドは、VPCエンドポイントIDを返します。

  3. (オプション) DNS のプライベート名を有効にする:

    aws ec2 modify-vpc-endpoint \
        --vpc-endpoint-id "vpce-xxxxxxxxxxxxxxxxx" # Replace with the VPC endpoint ID (from previous step)
        --private-dns-enabled \
        --region $REGION
     

必要に応じて、各エンドポイント(エージェント、サービス、 OTLP )について、これらの手順を繰り返してください。

接続承認の依頼

エンドポイントを作成したら、サポートチケットを更新して、エンドポイントが作成されたことをお知らせください。 その後、 IBM サポートチームが、先ほどご提供いただいたARNを使用して接続を承認します。

接続の検証

接続が承認されたら、監視ダッシュボードでデータの流れを確認し、連携が正常に機能していることを確認してください。 接続が確認できたら、サポートチケットの情報を更新してください。

IBM のサポートチームは、接続が確認され、設定が完了した時点でサポートチケットをクローズします。