Private Endpoint経由の名前解決回数を把握する方法
Azure Storage AccountにPrivate Endpoint(PE)を設定し、VNetにアタッチしました。また、Private DNS ZoneをVNetにリンクしています。同じVNet内のAzure VMからStorage AccountにPE経由でアクセスする際の名前解決の回数を把握したい場合、Private DNS Zoneのメトリック「Query Volume」は現在利用できません。
そこで、DNSセキュリティーポリシーを利用して、名前解決の回数をログとして記録するソリューションを紹介します。以下に手順と検証結果をまとめます。
ソリューション:DNSセキュリティーポリシーの活用
DNSセキュリティーポリシーを使用すると、DNSクエリのログを取得でき、名前解決の回数を確認できます。以下は具体的な作成手順です。
手順
-
DNSセキュリティーポリシーの作成
- Azureポータルで「DNSセキュリティーポリシー」を検索し、作成を開始。
- 新しいDNSセキュリティーポリシーを作成。
-
仮想ネットワークリンクの設定
- Private EndpointがアタッチされているVNetを選択。
- 仮想ネットワークリンクを作成して、DNSセキュリティーポリシーをVNetに適用。
-
ルールの設定
- 特定のトラフィックをブロックするルールは不要なため、ルール作成はスキップ。
- そのままポリシーを作成。
-
診断設定の有効化
- DNSセキュリティーポリシーの診断設定を有効化。
- 「DNS responseログ」を収集するよう設定。
-
名前解決のテスト
- Azure VMからStorage AccountのFQDN(例:
tansatest1987.blob.core.windows.net)に対し、nslookupを6回実行。 - Private Endpointが正しく利用され、Private IPに名前解決されることを確認。
- Azure VMからStorage AccountのFQDN(例:
-
ログの確認
- 約10分後、診断ログを確認。
- 以下のKQLクエリでログをフィルタリング:
DNSQueryLogs | where QueryName contains "tansatest1987.blob.core.windows.net" | where QueryName !contains_cs "cloudapp" | where QueryType !contains_cs "AAAA" - 結果:6回の名前解決が正確に記録されていることを確認。
検証結果
-
nslookupを6回実行した結果、DNSセキュリティーポリシーの診断ログに6回のクエリが記録されました。 - Private Endpoint経由の名前解決が正常に行われ、ログに正確に反映されました。
補足
- DNSセキュリティーポリシーの利点:設定が簡単で、DNSクエリの詳細なログを取得可能。名前解決の監視やトラブルシューティングに有効。
- 注意点:診断ログの反映には数分から10分程度の遅延が発生する場合があります。
参考文章:
https://qiita.com/Isato-Hiyama/items/7bb6483f29e981df9e23
https://learn.microsoft.com/ja-jp/azure/dns/dns-security-policy