استخدام نقاط النهاية الخاصة ل Prometheus المدارة ومساحة عمل Azure Monitor
استخدم نقاط النهاية الخاصة ل Prometheus المدار ومساحة عمل Azure Monitor للسماح للعملاء على شبكة ظاهرية (VNet) بالاستعلام عن البيانات بأمان عبر ارتباط خاص. تستخدم نقطة النهاية الخاصة عنوان IP منفصلا داخل مساحة عنوان VNet لمورد مساحة عمل Azure Monitor. تجتاز نسبة استخدام الشبكة بين العملاء على الشبكة الظاهرية ومورد مساحة العمل الشبكة الظاهرية ورابطا خاصا على شبكة Microsoft الأساسية، مما يلغي التعرض من الإنترنت العام.
إشعار
إذا كنت تستخدم Azure Managed Grafana للاستعلام عن بياناتك، فكون نقطة نهاية خاصة مدارة لضمان استخدام الاستعلامات من Grafana المدارة في مساحة عمل Azure Monitor شبكة Microsoft الأساسية دون المرور عبر الإنترنت.
يتيح لك استخدام نقاط النهاية الخاصة لمساحة العمل ما يلي:
- تأمين مساحة العمل الخاصة بك عن طريق تكوين إعداد شبكة الوصول العام لحظر كافة الاتصالات على نقطة نهاية الاستعلام العام لمساحة العمل.
- قم بزيادة الأمان لـ VNet، من خلال تمكينك من منع تسلل البيانات من VNet.
- الاتصال بأمان بمساحات العمل من الشبكات المحلية التي تتصل بالشبكة الظاهرية باستخدام VPN أو ExpressRoutes مع نظير خاص.
نظرة عامة منطقية
نقطة النهاية الخاصة هي واجهة شبكة خاصة لخدمة Azure في الشبكة الظاهرية (VNet). عند إنشاء نقطة نهاية خاصة لمساحة العمل الخاصة بك، فإنها توفر اتصالا آمنا بين العملاء على VNet ومساحة العمل الخاصة بك. يتم تعيين عنوان IP لنقطة النهاية الخاصة من نطاق عناوين IP الخاص بشبكة VNet لديك. يستخدم الاتصال بين نقطة النهاية الخاصة ومساحة العمل ارتباطا خاصا آمنا.
يمكن للتطبيقات في VNet الاتصال بمساحة العمل عبر نقطة النهاية الخاصة بسلاسة، باستخدام نفس سلسلة الاتصال وآليات التخويل التي ستستخدمها بخلاف ذلك.
يمكن إنشاء نقاط النهاية الخاصة في الشبكات الفرعية التي تستخدم نقاط نهاية الخدمة. يمكن للعملاء في الشبكة الفرعية بعد ذلك الاتصال بمساحة عمل باستخدام نقطة نهاية خاصة، أثناء استخدام نقاط نهاية الخدمة للوصول إلى خدمات أخرى.
عند إنشاء نقطة نهاية خاصة لمساحة عمل في VNet، يتم إرسال طلب موافقة للموافقة إلى مالك حساب مساحة العمل. إذا كان المستخدم الذي يطلب إنشاء نقطة النهاية الخاصة هو أيضا مالك مساحة العمل، تتم الموافقة على طلب الموافقة هذا تلقائيا.
يمكن لمالكي مساحة عمل Azure Monitor إدارة طلبات الموافقة ونقاط النهاية الخاصة من خلال علامة التبويب "الوصول الخاص" في صفحة الشبكات لمساحة العمل في مدخل Microsoft Azure.
تلميح
إذا كنت تريد تقييد الوصول إلى مساحة العمل الخاصة بك من خلال نقطة النهاية الخاصة فقط، فحدد "تعطيل الوصول العام واستخدام الوصول الخاص" في علامة التبويب "الوصول العام" في صفحة الشبكات لمساحة العمل في مدخل Microsoft Azure.
قم بإنشاء نقطة نهاية خاصة
لإنشاء نقطة نهاية خاصة باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI، راجع المقالات التالية. تتميز المقالات بتطبيق ويب Azure كخدمة مستهدفة، ولكن خطوات إنشاء ارتباط خاص هي نفسها لمساحة عمل Azure Monitor.
عند إنشاء نقطة نهاية خاصة، قم بإجراء التحديدات التالية من القوائم المنسدلة في علامة التبويب الأساسية:
- نوع المورد - حدد
Microsoft.Monitor/accounts. حدد مساحة عمل Azure Monitor التي تتصل بها. - المورد الفرعي المستهدف - حدد
prometheusMetrics.
إنشاء نقطة نهاية خاصة باستخدام المقالات التالية:
الاتصال بنقطة نهاية خاصة
يجب على العملاء على VNet الذين يستخدمون نقطة النهاية الخاصة استخدام نفس نقطة نهاية الاستعلام لمساحة عمل Azure monitor مثل العملاء المتصلين بنقطة النهاية العامة. نعتمد على دقة DNS لتوجيه الاتصالات تلقائيا من VNet إلى مساحة العمل عبر ارتباط خاص.
بشكل افتراضي، نقوم بإنشاء منطقة DNS خاصة مرفقة بالشبكة الظاهرية مع التحديثات الضرورية لنقاط النهاية الخاصة. ومع ذلك، إذا كنت تستخدم خادم DNS الخاص بك، فقد تحتاج إلى إجراء تغييرات إضافية على تكوين DNS لديك. يصف القسم الخاص بتغييرات DNS أدناه التحديثات المطلوبة لنقاط النهاية الخاصة.
تغييرات DNS لنقاط النهاية الخاصة
إشعار
للحصول على تفاصيل حول كيفية تكوين إعدادات DNS لنقاط النهاية الخاصة، راجع تكوين Azure Private Endpoint DNS.
عند إنشاء نقطة نهاية خاصة، يتم تحديث سجل مورد DNS CNAME لمساحة العمل إلى اسم مستعار في مجال فرعي بالبادئة privatelink. بشكل افتراضي، نقوم أيضا بإنشاء منطقة DNS خاصة، مطابقة للمجال privatelink الفرعي، مع سجلات موارد DNS A لنقاط النهاية الخاصة.
عند حل عنوان URL لنقطة نهاية الاستعلام من خارج VNet بنقطة النهاية الخاصة، يتم حله إلى نقطة النهاية العامة لمساحة العمل. عند حلها من الشبكة الظاهرية التي تستضيف نقطة النهاية الخاصة، يتم حل عنوان URL لنقطة نهاية الاستعلام إلى عنوان IP لنقطة النهاية الخاصة.
على سبيل المثال أدناه نستخدم k8s02-workspace في منطقة شرق الولايات المتحدة. لا يضمن أن يكون اسم المورد فريدا، مما يتطلب منا إضافة بضعة أحرف بعد الاسم لجعل مسار URL فريدا؛ على سبيل المثال، k8s02-workspace-<key>. يتم عرض نقطة نهاية الاستعلام الفريدة هذه في صفحة نظرة عامة على مساحة عمل Azure Monitor.
سجلات موارد DNS لمساحة عمل Azure Monitor عند حلها من خارج VNet التي تستضيف نقطة النهاية الخاصة، هي:
| Name | نوع | القيمة |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
CNAME | <نقطة النهاية العامة للخدمة الإقليمية AMW> |
| <نقطة النهاية العامة للخدمة الإقليمية AMW> | ش | <عنوان IP العام لخدمة AMW الإقليمية> |
كما ذكر سابقا، يمكنك رفض الوصول للعملاء خارج VNet أو التحكم فيه من خلال نقطة النهاية العامة باستخدام علامة التبويب "الوصول العام" في صفحة الشبكات في مساحة العمل الخاصة بك.
سجلات موارد DNS ل "k8s02-workspace" عند حلها بواسطة عميل في VNet الذي يستضيف نقطة النهاية الخاصة، هي:
| Name | نوع | القيمة |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
ش | <عنوان IP لنقطة النهاية الخاصة> |
يتيح هذا الأسلوب الوصول إلى مساحة العمل باستخدام نفس نقطة نهاية الاستعلام للعملاء على الشبكة الظاهرية التي تستضيف نقاط النهاية الخاصة، بالإضافة إلى العملاء خارج VNet.
إذا كنت تستخدم خادم DNS مخصصا على شبكتك، يجب أن يكون العملاء قادرين على حل FQDN لنقطة نهاية استعلام مساحة العمل إلى عنوان IP لنقطة النهاية الخاصة. يجب تكوين خادم DNS لتفويض المجال الفرعي للارتباط الخاص بك إلى منطقة DNS الخاصة للشبكة الظاهرية، أو تكوين سجلات A ل k8s02-workspace مع عنوان IP لنقطة النهاية الخاصة.
تلميح
عند استخدام خادم DNS مخصص أو محلي، يجب تكوين خادم DNS الخاص بك لحل اسم نقطة نهاية استعلام مساحة العمل في privatelink المجال الفرعي إلى عنوان IP لنقطة النهاية الخاصة. يمكنك القيام بذلك عن طريق تفويض privatelink المجال الفرعي إلى منطقة DNS الخاصة للشبكة الظاهرية أو عن طريق تكوين منطقة DNS على خادم DNS وإضافة سجلات DNS A.
أسماء منطقة DNS الموصى بها لنقاط النهاية الخاصة لمساحة عمل Azure Monitor هي:
| Resource | المورد الفرعي المستهدف | اسم المنطقة |
|---|---|---|
| مساحة عمل Azure Monitor | prometheusMetrics | privatelink.<region>.prometheus.monitor.azure.com |
لمزيد من المعلومات حول تكوين خادم DNS الخاص بك لدعم نقاط النهاية الخاصة، راجع المقالات التالية:
التسعير
للحصول على تفاصيل التسعير، راجع تسعير Azure Private Link.
المشكلات المعروفة
ضع في اعتبارك المشكلات المعروفة التالية حول نقاط النهاية الخاصة لمساحة عمل Azure Monitor.
قيود الوصول إلى استعلام مساحة العمل للعملاء في VNets مع نقاط النهاية الخاصة
يواجه العملاء في VNets الذين لديهم نقاط نهاية خاصة موجودة قيودا عند الوصول إلى مساحات عمل Azure Monitor الأخرى التي تحتوي على نقاط نهاية خاصة. على سبيل المثال، افترض أن VNet N1 يحتوي على نقطة نهاية خاصة لمساحة عمل A1. إذا كانت مساحة العمل A2 تحتوي على نقطة نهاية خاصة في VNet N2، فيجب على العملاء في VNet N1 أيضا الاستعلام عن بيانات مساحة العمل في الحساب A2 باستخدام نقطة نهاية خاصة. إذا لم تحتوي مساحة العمل A2 على أي نقاط نهاية خاصة تم تكوينها، فيمكن للعملاء في VNet N1 الاستعلام عن البيانات من مساحة العمل هذه دون نقطة نهاية خاصة.
هذا القيد هو نتيجة تغييرات DNS التي تم إجراؤها عند إنشاء مساحة العمل A2 نقطة نهاية خاصة.