トップ > New Relic > 【クロスリージョン対応】New RelicのPrivateLink接続を簡単に設定する方法

【クロスリージョン対応】New RelicのPrivateLink接続を簡単に設定する方法

New Relic New Relic PrivateLink AWS PrivateLink Network
記事タイトルとURLをコピーする

みなさんこんにちは。マネージドサービス部MSS課の塩野(正)です。

New Relicを使ってプライベート環境の監視をおこないたいというお話はよく伺いますが、New Relicが提供するVPCエンドポイントが東京リージョンに設置できないことによってAWS側の環境を色々工夫する必要がありました。2024年の年末にAWS側でアップデートされたAWS PrivateLink クロスリージョン接続機能を使用することで、New Relicが提供するVPCエンドポイント自体は東京リージョンにないけれども、東京リージョンに間接的にエンドポイントを設置できるようになりました。

今回はそのあたりの設定について記事にまとめてみました。

想定読者

  • New Relicをプライベート環境で使用したい方
  • セキュリティ要件によりインターネット通信を制限したい方
  • AWSのPrivateLinkについて理解を深めたい方

クロスリージョン接続とは

AWS PrivateLinkのクロスリージョン接続機能

AWS PrivateLinkってこれまでは同じリージョン内でしか使えなかったんですが、2024年11月のアップデートで異なるリージョン間でもプライベート接続できるようになったんです!これはマジで嬉しいアップデートでした。

つまり、私たちがよく使う東京リージョン(ap-northeast-1)のVPCから、バージニアリージョン(us-east-1)にあるNew Relicのエンドポイントに直接プライベート接続できちゃうってことです。これまではネットワーク構成を色々考えなければいけなかったのですが、とても運用しやすくなったと思います。

New RelicのPrivateLink対応状況

New Relicが現在PrivateLinkエンドポイントを提供しているのは、次の4つのリージョンです。

  • us-east-1 (バージニア北部)
  • us-east-2 (オハイオ)
  • us-west-2 (オレゴン)
  • eu-central-1 (フランクフルト)

私たち日本のユーザーがよく使う東京リージョン(ap-northeast-1)には、残念ながら直接のエンドポイントはありませんが、クロスリージョン接続機能のおかげで東京のVPCからバージニアのエンドポイントに直接プライベート接続できちゃいます。

AWS側の設定手順

前提条件

  • マネジメントコンソールへのアクセス権限
  • VPCとサブネットが既に作成済み
  • 適切なIAM権限(VPCエンドポイント作成権限)

東京リージョンでのVPCエンドポイント作成

マネジメントコンソールでの作成手順

  1. AWSマネジメントコンソールにログインし、東京リージョン(ap-northeast-1)を選択

  2. VPCサービスに移動し、左メニューから「エンドポイント」を選択

  3. 「エンドポイントを作成」をクリック

  4. エンドポイント設定①

    • エンドポイントの設定
      • 名前タグ: 任意の名前を入力
      • タイプ: 「PrivateLink Ready パートナーのサービス」
    • サービス設定
      • サービス名: com.amazonaws.vpce.us-east-1.vpce-svc-007e743510dc46024
      • サービスリージョン:
        • クロスリージョンエンドポイントを有効にする:有効
        • リージョン: us-east-1

  5. 「サービスの検証をクリック」をクリック

  6. エンドポイント設定②

    • ネットワーク設定
      • VPC: 対象のVPCを選択
      • 追加設定
        • DNS 名を有効化: 基本的には有効だが、DNSプライベート名がない一部サブドメインは無効
    • サブネット: 対象のプライベートサブネットを選択
    • セキュリティグループ: 適用するセキュリティグループを選択

  7. 「エンドポイントを作成」をクリック

New Relic側のサービス名の詳細やDNSプライベート名の有無はこちらのドキュメントをご参照ください。

docs.newrelic.com

Route53 Private Hosted Zoneの設定時の注意点

VPCエンドポイントを作成した後、New RelicのエンドポイントURLへの名前解決を適切に行うため、Route53 Private Hosted Zoneの設定が必要になります。ただし、この設定はVPC内でのDNS動作を根本的に変更するため、事前の設計と十分な理解が必要です。

DNS優先順位による影響を理解する

最も重要なポイント: Private Hosted Zone(PHZ)は、VPC内からの名前解決においてパブリックDNSより常に優先されます。

例えば、newrelic.com ドメインのPHZを作成した場合は・・・

  • VPC内からの infra-api.newrelic.com への名前解決は、インターネット上のパブリックDNSではなく、必ずPHZの設定が使用される
  • PHZで定義していないサブドメイン(例:docs.newrelic.com)への名前解決は失敗する
  • これにより、New RelicのWebコンソールへのアクセスなどが意図せず切断される可能性がある

DNS設計時の考慮事項

  1. 部分的なドメイン設計を推奨

    • newrelic.com 全体ではなく、必要なサブドメインのみをPHZとして個別に設定する
    • 例:infra-api.newrelic.commetric-api.newrelic.com など

  2. 影響範囲の事前確認

    • VPC内で動作するすべてのアプリケーションが、対象ドメインのどのサブドメインを使用するかを確認します
    • 開発/テスト環境での事前検証を強く推奨します

  3. ロールバック計画の準備

    • DNS設定変更により予期しない接続問題が発生した場合の切り戻し手順を準備しましょう

まとめ

AWS PrivateLinkのクロスリージョン接続機能を使ってたNew Relicの接続設定について解説してみました。 今まではバージニアなどのUSリージョンに設置してそこからどのように通信をするかという点を気にしなければいけなかったのが、東京リージョンに限定できるようになったので、とてもやりやすくなったと思います。設定の注意点としては、DNS周りで気にしないといけない点があるということでしょうか。注意すべき点はあるもののセキュリティが確保できるため、社内ポリシーの関係でプライベート環境だけの通信に閉じたくてNew Relic導入に踏み込めなかった方でも導入の敷居が下がったと思います。

この記事がどなたかのお役に立てれば幸いです。

宣伝

弊社では、お客様環境のオブザーバビリティを加速するためのNew Relicアカウント開設を含めた伴走型のNew Relic導入支援サービスをご提供しております。 もしご興味をお持ちの方は、こちらのお問合せフォームよりお問合せ頂けましたら幸いでございます。

参照ドキュメント

docs.newrelic.com

aws.amazon.com

◆ 塩野 正人
◆ マネージドサービス部 所属
◆ X(Twitter):@shioccii
◆ 過去記事はこちら

前職ではオンプレミスで仮想化基盤の構築や運用に従事。現在は運用部隊でNew Relicを使ってサービス改善に奮闘中。New Relic User Group運営。