Azure宛先のプライベートリンク
Azure プライベートリンク を使用すると、データの書き出しをAdobe Experience PlatformからAzureのリソースにMicrosoft Azure バックボーン上のプライベート IP アドレス経由でルーティングできます。これは、パブリックインターネット経由ではなく、プライベート IP アドレス経由です。 アクティベーションデータが公開インフラストラクチャを通過することはありません。
Adobeは、Azure リソースを指すAdobe所有のバーチャル ネットワーク (VNet)でプライベート エンドポイントを作成および管理します。 Azure様が接続リクエストをブローカーすると、Azure ポータルから承認されます。 承認後、そのリソースのすべてのアクティベーショントラフィックは、プライベートエンドポイントを経由します。
サポートされる宛先 supported-destinations
Azure プライベートリンクは次の宛先でサポートされています:
前提条件 prerequisites
宛先のAzure プライベートリンクには、次のいずれかの使用権限が必要です:
- Adobe Healthcare Shield
- Adobe Privacy & Security Shield
Azure プライベートリンクの仕組み how-it-works
Adobe Experience Platformは、専用のプライベート接続ハブ VNetを保持しています。 プライベートリンクの設定をリクエストすると、AdobeはこのVNetにAzure リソースをターゲットとするプライベートエンドポイントをプロビジョニングします。 Azure様は、保留中の承認リクエストをあなたに仲介しました。
Azure ポータルでリクエストを承認すると、そのリソースの既存および新しい宛先データフローはすべて、Microsoft Azure バックボーン経由でプライベートエンドポイントを経由します。
プライベート ルーティングは、Experience Platformの既存の宛先設定に対して透過的です。 プライベートエンドポイントの承認後に、ホスト名、資格情報、その他の宛先設定を更新する必要はありません。
プライベートリンクを無効にすると、トラフィックは自動的にパブリックインターネット経由でルーティングされます。 既存のデータフローは中断することなく続行されます。
ガードレール guardrails
宛先のAzure プライベートリンクには、次の制限が適用されます。
プライベートリンクの設定をリクエスト request-setup
現在、セルフサービスモードで宛先のプライベートリンク接続を設定できるUIはありません。 プライベートリンク接続を設定する宛先に応じて、Adobe アカウントマネージャーに連絡してプライベートリンク設定をリクエストし、次の情報を提供します。
Azure Event Hubs request-setup-event-hubs
- Event Hubs名前空間のAzure リソース ID
- Event Hubs名前空間の完全修飾ドメイン名(FQDN) (例:
<namespace>.servicebus.windows.net) - Azure地域(パフォーマンスを最適化するためにExperience Platform データ地域に合わせる)
Azure Blob Storage request-setup-blob
- ストレージ アカウントのAzure リソース ID
- ストレージ アカウントの完全修飾ドメイン名(FQDN) (例:
<account>.blob.core.windows.net) - Blob エンドポイント、DFS エンドポイント、またはその両方が必要かどうか
- Azure地域(パフォーマンスを最適化するためにExperience Platform データ地域に合わせる)
Azure Data Lake Storage Gen2 request-setup-adls
- ストレージ アカウントのAzure リソース ID
- ストレージ アカウントの完全修飾ドメイン名(FQDN) (例:
<account>.dfs.core.windows.net) - Blob エンドポイント、DFS エンドポイント、またはその両方が必要かどうか
- Azure地域(パフォーマンスを最適化するためにExperience Platform データ地域に合わせる)
Adobeはプライベート エンドポイントを作成し、Azure ポータルで承認リクエストが利用可能になったときに通知します。
プライベートエンドポイントの承認 approve-private-endpoint
Adobeがプライベート エンドポイントを作成すると、保留中の承認リクエストがAzure ポータルに表示されます。 承認するには:
- Azure ポータルで、Adobeと共有したリソース(Event Hubs名前空間、Blob Storage アカウント、またはData Lake Storage Gen2 アカウント)に移動します。
- 左側のナビゲーションで「セキュリティ + ネットワーク」を選択し、「ネットワーク」を選択します。
- 「プライベートエンドポイント」を選択すると、アカウントに関連付けられているプライベートエンドポイントのリストと、現在の接続状態が表示されます。
- Adobeから保留中の接続を探し、承認を選択します。
そのリソースの既存および新しい宛先データフローはすべて、プライベートエンドポイント経由で数分でルーティングされます。
代わりに 拒否 を選択すると、データは引き続きパブリックインターネット経由で送信されます。
ベストプラクティス best-practices
次の推奨事項に従って、宛先のAzure プライベートリンクを最大限に活用してください。
- 専用のVNetを作成したり、Adobeへのネットワークを開いたりしないでください。 プライベートエンドポイントは、完全にAdobeのVNetに存在します。
- 最高のパフォーマンスを得るために、Azure リソース領域をExperience Platform データ領域に合わせます。
- プライベート エンドポイントがアクティブになったら、セキュリティを最大限に活用するために、Azure リソースへのパブリック ネットワーク アクセスを無効にします。
制限事項 limitations
Azure プライベートリンクの設定をリクエストする前に、次の制約に注意してください。
- プライベートリンクはAzure宛先でのみ利用できます。 AWSおよびGoogle Cloud Platformの宛先はまだサポートされていません。
- 設定にはAdobe エンジニアリングが必要です。 セルフサービスのプロビジョニングは現在利用できません。
Azure リソース削除 resource-deletion
リソースを削除すると、プライベートエンドポイントが孤立します。 孤立したエンドポイントのステータスは 切断 です。データを配信できず、引き続きAdobe インフラストラクチャに料金が発生します。 アクティブなプライベート エンドポイントを持つAzure リソースを削除する前に、Adobeに連絡してください。
Adobeの内部手順:お客様のプライベートリンクを有効にする internal-activation
顧客のプライベートリンクをアクティブ化するには、Jira チケット PLATIR-64767を複製し、アカウントマネージャーが収集した顧客の詳細を入力します。
必須フィールドは、宛先タイプによって異なります。 チケットを複製する前に、お客様から次の情報を収集します。
Azure Event Hubs
- Event Hubs名前空間のAzure リソース ID
- 名前空間FQDN (例:
<namespace>.servicebus.windows.net) - Azure地域
- IMS Org ID
Azure Blob Storage
- ストレージ アカウントのAzure リソース ID
- ストレージ アカウント FQDN (例:
<account>.blob.core.windows.net) - Blob エンドポイント、DFS エンドポイント、またはその両方が必要かどうか
- Azure地域
- IMS Org ID
Azure Data Lake Storage Gen2
- ストレージ アカウントのAzure リソース ID
- ストレージ アカウント FQDN (例:
<account>.dfs.core.windows.net) - Blob エンドポイント、DFS エンドポイント、またはその両方が必要かどうか
- Azure地域
- IMS Org ID
プロビジョニング後、プライベートエンドポイントの承認要求がAzure ポータルで利用可能であることを顧客に通知します。