تكوين الارتباط الخاص بك

يتطلب تكوين مثيل Azure Private Link ما يلي:

  • إنشاء Azure Monitor Private Link Scope (AMPLS) مع الموارد.
  • إنشاء نقطة نهاية خاصة على الشبكة وتوصيلها بالنطاق.
  • تكوين الوصول المطلوب على موارد Azure Monitor.

تستعرض هذه المقالة كيفية إجراء التكوين من خلال مدخل Microsoft Azure. يوفر مثالا لقالب Azure Resource Manager (قالب ARM) لأتمتة العملية.

في هذا القسم، نراجع عملية إعداد ارتباط خاص خطوة بخطوة من خلال مدخل Microsoft Azure. لإنشاء ارتباط خاص وإدارته باستخدام سطر الأوامر أو قالب ARM، راجع استخدام واجهات برمجة التطبيقات وخط الأوامر.

  1. انتقل إلى «إنشاء مورد» في مدخل Microsoft Azure وابحث عن نطاق الارتباط الخاص لخدمة Azure Monitor.

    لقطة شاشة تظهر العثور على Azure Monitor Private Link Scope.

  2. حدد إنشاء.

  3. حدد اشتراك ومجموعة موارد.

  4. حدد اسماً لـAMPLS. استخدم اسما ذا معنى وواضحا مثل AppServerProdTelem.

  5. حدد "Review + create".

    لقطة شاشة توضح إنشاء نطاق ارتباط خاص ل Azure Monitor.

  6. اسمح لتمرير التحقق من الصحة وحدد إنشاء.

الاتصال بموارد Azure Monitor

قم بتوصيل موارد Azure Monitor مثل مساحات عمل Log Analytics ومكونات Application Insights ونقاط نهاية تجميع البيانات) لنطاق الارتباط الخاص ب Azure Monitor (AMPLS).

  1. في AMPLS، حدد Azure Monitor Resources في القائمة على اليسار. حدد إضافة.

  2. إضافة مساحة العمل أو العنصر. يؤدي تحديد إضافة إلى فتح مربع حوار حيث يمكنك تحديد موارد Azure Monitor. يمكنك الاستعراض عبر الاشتراكات ومجموعات الموارد. يمكنك أيضا إدخال أسمائهم للتصفية إليها. حدد مساحة العمل أو المكون وحدد «تطبيق» لإضافتها إلى النطاق.

    لقطة شاشة توضح تحديد نطاق.

إشعار

يتطلب حذف موارد Azure Monitor فصلها أولا عن أي كائنات AMPLS متصلة بها. يستحيل حذف الموارد المرتبطة بـAMPLS.

الاتصال بنقطة نهاية خاصة

الآن بعد أن أصبح لديك موارد متصلة ب AMPLS، قم بإنشاء نقطة نهاية خاصة لتوصيل شبكتك. يمكنك القيام بهذه المهمة في مركز الارتباط الخاص بمدخل Azure أو داخل AMPLS، كما هو الحال في هذا المثال.

  1. في مورد النطاق، حدد Private Endpoint connections من قائمة المورد على اليسار. حدد نقطة النهاية الخاصة لبدء عملية إنشاء نقطة النهاية. يمكنك أيضا الموافقة على الاتصالات التي بدأت في مركز الارتباطات الخاصة هنا عن طريق تحديدها وتحديد الموافقة.

    لقطة شاشة تعرض اتصالات نقطة النهاية الخاصة.

  2. في علامة التبويب الأساسيات، حدد مجموعة الاشتراك والموارد

  3. أدخل اسم نقطة النهاية واسم واجهة الشبكة

  4. حدد المنطقة التي يجب أن تعيش فيها نقطة النهاية الخاصة. يجب أن تكون المنطقة هي نفس المنطقة مثل الشبكة الظاهرية التي تقوم بتوصيلها بها.

  5. حدد «التالي: المورد».

    لقطة شاشة تعرض علامة التبويب إنشاء أساسيات نقطة النهاية الخاصة.

  6. في علامة التبويب Resource ، حدد الاشتراك الذي يحتوي على مورد Azure Monitor Private Link Scope.

  7. بالنسبة إلى Resource type، حدد Microsoft.insights/privateLinkScopes.

  8. من القائمة المنسدلة Resource، حدد Private Link Scope الذي أنشأته سابقا.

  9. حدد Next: Virtual Network.

    لقطة شاشة تعرض صفحة إنشاء نقطة نهاية خاصة في مدخل Microsoft Azure مع تحديد علامة التبويب Resource.

  10. في علامة التبويب Virtual Network، حدد الشبكة الظاهرية والشبكة الفرعية التي تريد توصيلها بموارد Azure Monitor.

  11. بالنسبة إلى نهج الشبكة لنقاط النهاية الخاصة، حدد تحرير إذا كنت تريد تطبيق مجموعات أمان الشبكة أو توجيه الجداول إلى الشبكة الفرعية التي تحتوي على نقطة النهاية الخاصة.

    في تحرير نهج شبكة الشبكة الفرعية، حدد خانات الاختيار بجوار مجموعات أمان الشبكة وجداول التوجيه، وحدد حفظ. لمزيد من المعلومات، راجع إدارة نهج الشبكة لنقاط النهاية الخاصة.

  12. لتكوين IP الخاص، بشكل افتراضي، يتم تحديد تخصيص عنوان IP ديناميكيا. إذا كنت تريد تعيين عنوان IP ثابت، فحدد تخصيص عنوان IP بشكل ثابت. ثم أدخل اسما وعنوان IP خاصا.
    اختياريًا، يمكنك تحديد Application security group أو إنشائها. يمكنك استخدام مجموعات أمان التطبيقات لتجميع الأجهزة الظاهرية وتحديد نهج أمان الشبكة استنادا إلى تلك المجموعات.

  13. حدد Next: DNS.

    لقطة شاشة تعرض صفحة إنشاء نقطة نهاية خاصة في مدخل Microsoft Azure مع تحديد علامة تبويب الشبكة الظاهرية.

  14. في علامة التبويب DNS ، حدد نعم للتكامل مع منطقة DNS الخاصة، واتركها تنشئ منطقة DNS خاصة جديدة تلقائيا. قد تختلف مناطق DNS الفعلية عما هو موضح في لقطة الشاشة التالية.

    إشعار

    إذا حددت لا وتفضل إدارة سجلات DNS يدويا، فأكمل أولا إعداد الارتباط الخاص بك. قم بتضمين نقطة النهاية الخاصة هذه وتكوين AMPLS. ثم قم بتكوين DNS الخاص بك وفقا للإرشادات الموجودة في تكوين DNS لنقطة النهاية الخاصة ب Azure. تأكد من عدم إنشاء سجلات فارغة كإعداد لإعداد الارتباط الخاص بك. يمكن لسجلات DNS التي تقوم بإنشائها تجاوز الإعدادات الموجودة والتأثير على اتصالك ب Azure Monitor.

    بالإضافة إلى ذلك، إذا حددت نعم أو لا وكنت تستخدم خوادم DNS المخصصة الخاصة بك، فستحتاج إلى إعداد معادي التوجيه الشرطي لمعيدي توجيه منطقة DNS العامة المذكورة في تكوين DNS لنقطة النهاية الخاصة ب Azure. يحتاج معدي التوجيه الشرطي إلى إعادة توجيه استعلامات DNS إلى Azure DNS.

  15. حدد Next: Tags، ثم حدد Review + create.

    لقطة شاشة تعرض صفحة إنشاء نقطة نهاية خاصة في مدخل Microsoft Azure مع تحديد علامة التبويب DNS.

  16. في Review + create ، بمجرد اجتياز التحقق من الصحة، حدد Create.

لقد أنشأت الآن نقطة نهاية خاصة جديدة متصلة ب AMPLS هذه.

تكوين الوصول إلى مواردك

حتى الآن قمنا بتغطية تكوين شبكتك. ولكن يجب عليك أيضا التفكير في كيفية تكوين الوصول إلى الشبكة إلى الموارد المراقبة مثل مساحات عمل Log Analytics ومكونات Application Insights ونقاط نهاية جمع البيانات.

انتقل إلى مدخل Azure. في قائمة المورد، ابحث عن عزل الشبكة على الجانب الأيسر. تتحكم هذه الصفحة في الشبكات التي يمكنها الوصول إلى المورد من خلال ارتباط خاص وما إذا كانت الشبكات الأخرى يمكنها الوصول إليه أم لا.

لقطة شاشة تعرض عزل الشبكة.

هنا يمكنك مراجعة وتكوين اتصالات المورد ب AMPLS. يسمح الاتصال ب AMPLS بنسبة استخدام الشبكة من الشبكة الظاهرية المتصلة بكل AMPLS للوصول إلى المورد. له نفس تأثير توصيله من النطاق كما فعلنا في قسم Connect Azure Monitor resources.

لإضافة اتصال جديد، حدد إضافة وحدد AMPLS. حدد «تطبيق» لتوصيله. يمكن توصيل المورد بخمسة عناصر AMPLS على النحو المذكور في مراعاة حدود AMPLS.

تتحكم الإعدادات الموجودة في الجزء السفلي من هذه الصفحة في الوصول من الشبكات العامة، ما يعني أن الشبكات غير متصلة بالنطاقات المدرجة.

إذا قمت بتعيين قبول استيعاب البيانات من الشبكات العامة غير المتصلة من خلال نطاق الارتباط الخاص إلى لا، فلن يتمكن العملاء مثل الأجهزة أو SDKs خارج النطاقات المتصلة من تحميل البيانات أو إرسال سجلات إلى المورد.

إذا قمت بتعيين قبول الاستعلامات من الشبكات العامة غير المتصلة من خلال نطاق ارتباط خاص إلى لا، فلن يتمكن العملاء مثل الأجهزة أو SDKs خارج النطاقات المتصلة من الاستعلام عن البيانات في المورد.

تتضمن هذه البيانات الوصول إلى السجلات والمقاييس ودفق المقاييس المباشرة. كما يتضمن تجارب مبنية على أعلى مثل المصنفات ولوحات المعلومات وتجارب العميل المستندة إلى واجهة برمجة التطبيقات للاستعلام والرؤى في مدخل Microsoft Azure. يجب أيضا تشغيل التجارب التي تعمل خارج مدخل Microsoft Azure وبيانات Log Analytics هذه الاستعلام داخل الشبكة الظاهرية المرتبطة بخاصة.

استخدام واجهات برمجة التطبيقات وخط الأوامر

يمكنك أتمتة العملية الموضحة سابقا باستخدام قوالب ARM وREST وواجهات سطر الأوامر.

لإنشاء نطاقات الارتباط الخاص وإدارتها، استخدم واجهة برمجة تطبيقات REST أو Azure CLI (az monitor private-link-scope).

إنشاء AMPLS مع أوضاع الوصول المفتوح: مثال CLI

ينشئ أمر CLI التالي مورد AMPLS جديدا يسمى "my-scope"، مع تعيين أوضاع الوصول إلى الاستعلام والاستيعاب على Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

إنشاء AMPLS مع أوضاع الوصول المختلط: مثال PowerShell

يقوم البرنامج النصي PowerShell التالي بإنشاء مورد AMPLS جديد يسمى "my-scope"، مع تعيين وضع الوصول إلى الاستعلام على Open ولكن تم تعيين أوضاع الوصول إلى الاستيعاب إلى PrivateOnly. يعني هذا الإعداد أنه سيسمح باستيعاب الموارد في AMPLS فقط.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

إنشاء AMPLS: قالب ARM

ينشئ قالب ARM التالي:

  • AMPLS باسم "my-scope"، مع تعيين أوضاع الوصول إلى الاستعلام والاستيعاب إلى Open.
  • مساحة عمل Log Analytics تسمى "my-workspace".
  • ويضيف موردا محدد النطاق إلى AMPLS المسمى "my-scope" "my-workspace-connection".

إشعار

تأكد من استخدام إصدار API جديد (2021-07-01-preview أو أحدث) لإنشاء كائن AMPLS (اكتب microsoft.insights/privatelinkscopes كما يلي). استخدم قالب ARM الموثق في الماضي إصدار API قديما، ما يؤدي إلى مجموعة AMPLS مع QueryAccessMode="Open" و IngestionAccessMode="PrivateOnly".

{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

تعيين أوضاع الوصول إلى AMPLS: مثال PowerShell

لتحديد إشارات وضع الوصول على AMPLS، يمكنك استخدام البرنامج النصي PowerShell التالي. يقوم البرنامج النصي التالي بتعيين العلامات إلى Open. لاستخدام الوضع الخاص فقط، استخدم القيمة "PrivateOnly".

السماح لنحو 10 دقائق لتحديث أوضاع الوصول AMPLS إلى حيز التنفيذ.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group-name"
$scopeName = "my-scope"

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

تعيين علامات الوصول إلى الموارد

لإدارة علامات الوصول إلى مساحة العمل أو المكونات، استخدم العلامات [--ingestion-access {Disabled, Enabled}] و[--query-access {Disabled, Enabled}]على مساحة عمل az monitor log-analytics أو مكون az monitor app-insights.

اتبع الخطوات الواردة في هذا القسم لمراجعة إعداد الارتباط الخاص والتحقق من صحته.

مراجعة إعدادات DNS لنقطة النهاية

يجب أن تحتوي نقطة النهاية الخاصة التي قمت بإنشائها الآن على خمس مناطق DNS مكونة:

  • privatelink.monitor.azure.com
  • privatelink.oms.opinsights.azure.com
  • privatelink.ods.opinsights.azure.com
  • privatelink.agentsvc.azure-automation.net
  • privatelink.blob.core.windows.net

تقوم كل منطقة من هذه المناطق بتعيين نقاط نهاية Azure Monitor محددة إلى عناوين IP خاصة من مجموعة عناوين IP للشبكة الظاهرية. عناوين IP الموضحة في الصور التالية هي أمثلة فقط. يجب أن يظهر التكوين IPs الخاصة من الشبكة عوضاً عن ذلك.

هام

تستخدم AMPLS وموارد نقطة النهاية الخاصة التي تم إنشاؤها بدءا من 1 ديسمبر 2021 آلية تسمى Endpoint Compression. الآن نقاط النهاية الخاصة بالموارد، مثل نقاط نهاية OMS وODS و AgentSVC، تشترك في نفس عنوان IP، لكل منطقة ولكل منطقة DNS. تعني هذه الآلية أنه يتم أخذ عدد أقل من عناوين IP من تجمع IP للشبكة الظاهرية، ويمكن إضافة العديد من الموارد إلى AMPLS.

تغطي هذه المنطقة نقاط النهاية العمومية المستخدمة من قبل Azure Monitor، ما يعني أن نقاط النهاية تخدم الطلبات عالميا/إقليميا وليس طلبات خاصة بالموارد. يجب أن يكون لهذه المنطقة نقاط نهاية معينة للقيام بما يلي:

  • in.ai: نقطة نهاية استيعاب Application Insights (إدخال عمومي وإقليمي).
  • api: نقطة نهاية Application Insights وLog Analytics API.
  • live: نقطة نهاية مقاييس Application Insights المباشرة.
  • محلل ملفات التعريف: نقطة نهاية محلل ملفات تعريف Application Insights.
  • لقطة: نقطة نهاية لقطة Application Insights.
  • diagservices-query: محلل ملفات تعريف Application Insights و Snapshot Debugger (يستخدم عند الوصول إلى نتائج محلل ملفات التعريف/مصحح الأخطاء في مدخل Microsoft Azure).

تغطي هذه المنطقة أيضا نقاط النهاية الخاصة بالموارد لنقاط نهاية جمع البيانات (DCEs):

  • <unique-dce-identifier>.<regionname>.handler.control: نقطة نهاية التكوين الخاصة، جزء من مورد DCE.
  • <unique-dce-identifier>.<regionname>.ingest: نقطة نهاية الاستيعاب الخاصة، جزء من مورد DCE.

لقطة شاشة تعرض Private DNS zone monitor-azure-com.

نقاط نهاية Log Analytics

هام

تستخدم AMPLSs ونقاط النهاية الخاصة التي تم إنشاؤها بدءا من 1 ديسمبر 2021 آلية تسمى Endpoint Compression. الآن، تستخدم كل نقطة نهاية خاصة بالموارد، مثل OMS وODS و AgentSVC، عنوان IP واحد، لكل منطقة ولكل منطقة DNS، لجميع مساحات العمل في تلك المنطقة. تعني هذه الآلية أنه يتم أخذ عدد أقل من عناوين IP من تجمع IP للشبكة الظاهرية، ويمكن إضافة العديد من الموارد إلى AMPLS.

يستخدم Log Analytics أربع مناطق DNS:

  • privatelink-oms-opinsights-azure-com: يغطي التعيين الخاص لمساحة العمل إلى نقاط نهاية OMS. يجب أن تشاهد إدخالا لكل مساحة عمل مرتبطة ب AMPLS المتصلة بنقطة النهاية الخاصة هذه.
  • privatelink-ods-opinsights-azure-com: يغطي التعيين الخاص بمساحة العمل لنقاط نهاية ODS، وهي نقاط نهاية استيعاب Log Analytics. يجب أن تشاهد إدخالا لكل مساحة عمل مرتبطة ب AMPLS المتصلة بنقطة النهاية الخاصة هذه.
  • privatelink-agentsvc-azure-automation-net: يغطي التعيين الخاص لمساحة العمل إلى نقاط نهاية أتمتة خدمة العامل. يجب أن تشاهد إدخالا لكل مساحة عمل مرتبطة ب AMPLS المتصلة بنقطة النهاية الخاصة هذه.
  • privatelink-blob-core-windows-net: تكوين الاتصال بحساب تخزين حزم حلول الوكلاء العموميين. من خلال ذلك، يمكن للوكلاء تنزيل حزم حلول جديدة أو محدثة، والتي تعرف أيضا باسم حزم الإدارة. مطلوب إدخال واحد فقط للتعامل مع جميع عوامل تحليلات السجل، بغض النظر عن عدد مساحات العمل المستخدمة. تتم إضافة هذا الإدخال فقط إلى إعدادات الارتباط الخاص التي تم إنشاؤها في 19 أبريل 2021 أو بعد ذلك (أو بدءا من يونيو 2021 على السحب السيادية ل Azure).

تظهر لقطة الشاشة التالية نقاط النهاية المعينة ل AMPLS مع مساحات عمل في شرق الولايات المتحدة ومساحة عمل واحدة في غرب أوروبا. لاحظ أن مساحات عمل شرق الولايات المتحدة تشترك في عناوين IP. يتم تعيين نقطة نهاية مساحة عمل غرب أوروبا إلى عنوان IP مختلف. لا تظهر نقطة نهاية الكائن الثنائي كبير الحجم في هذه الصورة ولكن تم تكوينها.

لقطة شاشة تعرض نقاط النهاية المضغوطة للارتباط الخاص.

تأكد من أن الرابط الخاص بك في ترتيب عمل جيد:

  • للتحقق من أن طلباتك يتم إرسالها الآن من خلال نقطة النهاية الخاصة، يمكنك مراجعتها باستخدام أداة تتبع الشبكة أو حتى المستعرض الخاص بك. على سبيل المثال، عند محاولة الاستعلام عن مساحة العمل أو التطبيق، تأكد من إرسال الطلب إلى IP الخاص المعين إلى نقطة نهاية واجهة برمجة التطبيقات. في هذا المثال، هو 172.17.0.9.

    إشعار

    قد تستخدم بعض المستعرضات إعدادات DNS أخرى. لمزيد من المعلومات، راجع إعدادات DNS للمستعرض. احرص على التأكد من تطبيق إعدادات DNS.

  • للتأكد من أن مساحات العمل أو المكونات لا تتلقى طلبات من الشبكات العامة (غير متصلة من خلال AMPLS)، قم بتعيين علامات الاستيعاب والاستعلام العامة للمورد إلى لا كما هو موضح في تكوين الوصول إلى مواردك.

  • من خلال عميل موجود على شبكة الاتصال المحمية، استخدم nslookup أي من نقاط النهاية المدرجة في مناطق DNS. يجب أن يتم حلها باستخدام خادم DNS إلى IPs الخاصة المعينة بدلاً من IPs العامة المستخدمة بشكل افتراضي.

الخطوات التالية