استخدام الارتباط الخاص لـ Azure لتوصيل الشبكات إلى Azure Monitor

  • مقالة

باستخدام Azure Private Link، يمكنك ربط النظام الأساسي لـAzure بشكل آمن كموارد خدمة (PaaS) بالشبكة الظاهرية باستخدام نقاط النهاية الخاصة. Azure Monitor هو مجموعة من الخدمات المترابطة المختلفة التي تعمل معاً لمراقبة أعباء العمل الخاصة بك. يربط ارتباط Azure Monitor الخاص نقطة نهاية خاصة بمجموعة من موارد Azure Monitor لتحديد حدود شبكة المراقبة الخاصة بك. تسمى هذه المجموعة نطاق الارتباط الخاص لمراقبة Azure (AMPLS).

إشعار

يتم تنظيم الارتباطات الخاصة ل Azure Monitor بشكل مختلف عن الارتباطات الخاصة إلى الخدمات الأخرى التي قد تستخدمها. بدلا من إنشاء ارتباطات خاصة متعددة، واحد لكل مورد تتصل به الشبكة الظاهرية، يستخدم Azure Monitor اتصال ارتباط خاص واحد، من الشبكة الظاهرية إلى AMPLS. AMPLS هي مجموعة من جميع موارد Azure Monitor التي تتصل بها شبكة ظاهرية من خلال ارتباط خاص.

المزايا

مع رابط خاص يمكنك:

  • الاتصال بشكل خاص إلى Azure Monitor دون فتح أي وصول إلى الشبكة العامة.
  • تأكد من الوصول إلى بيانات المراقبة الخاصة بك فقط من خلال الشبكات الخاصة المعتمدة.
  • منع تسرب البيانات من الشبكات الخاصة بك عن طريق تعريف موارد Azure Monitor المحددة التي تتصل من خلال نقطة النهاية الخاصة بك.
  • قم بتوصيل شبكتك المحلية الخاصة بأمان ب Azure Monitor باستخدام Azure ExpressRoute و Private Link.
  • احتفظ بجميع نسبة استخدام الشبكة داخل شبكة Azure الأساسية.

لمزيد من المعلومات، راجع الفوائد الرئيسية للارتباط الخاص.

كيف يعمل: المبادئ الرئيسية

يربط ارتباط Azure Monitor الخاص نقطة نهاية خاصة بمجموعة من موارد Azure Monitor التي تتكون من مساحات عمل Log Analytics وموارد Application Insights. تسمى هذه المجموعة نطاق ارتباط خاص ل Azure Monitor.

Diagram that shows basic resource topology.

An AMPLS:

  • استخدام عناوين IP الخاصة: تسمح نقطة النهاية الخاصة على شبكتك الظاهرية بالوصول إلى نقاط نهاية Azure Monitor من خلال عناوين IP خاصة من تجمع الشبكة، بدلا من استخدام عناوين IP العامة لنقاط النهاية هذه. لهذا السبب، يمكنك الاستمرار في استخدام موارد Azure Monitor دون فتح شبكتك الظاهرية لحركة المرور الصادرة غير المطلوبة.
  • يعمل على العمود الفقري ل Azure: ستنتقل نسبة استخدام الشبكة من نقطة النهاية الخاصة إلى موارد Azure Monitor الخاصة بك عبر العمود الفقري ل Azure ولن يتم توجيهها إلى الشبكات العامة.
  • التحكم في موارد Azure Monitor التي يمكن الوصول إليها: قم بتكوين AMPLS إلى وضع الوصول المفضل لديك. يمكنك إما السماح بنسبة استخدام الشبكة إلى موارد الارتباط الخاص فقط أو إلى كل من الارتباط الخاص والموارد غير الخاصة بالارتباط (الموارد من AMPLS).
  • التحكم في الوصول إلى الشبكة إلى موارد Azure Monitor: قم بتكوين كل مساحة من مساحات العمل أو المكونات لقبول حركة المرور أو حظرها من الشبكات العامة. يمكنك تطبيق إعدادات مختلفة لطلبات الاستيعاب والاستعلام.

عند إعداد اتصال ارتباط خاص، تعين مناطق DNS نقاط نهاية Azure Monitor إلى عناوين IP خاصة لإرسال نسبة استخدام الشبكة من خلال الارتباط الخاص. يستخدم Azure Monitor كلا من نقاط النهاية الخاصة بالموارد ونقاط النهاية العمومية/الإقليمية المشتركة للوصول إلى مساحات العمل والمكونات في AMPLS.

التحذير

نظرا لأن Azure Monitor يستخدم بعض نقاط النهاية المشتركة (بمعنى نقاط النهاية غير الخاصة بالموارد)، فإن إعداد ارتباط خاص حتى لمورد واحد يغير تكوين DNS الذي يؤثر على نسبة استخدام الشبكة إلى جميع الموارد. بمعنى آخر، تتأثر حركة المرور إلى جميع مساحات العمل أو المكونات بإعداد ارتباط خاص واحد.

كذلك، يقصد باستخدام نقاط النهاية المشتركة أنه ينبغي لك استخدام AMPLS واحد في جميع الشبكات التي تشترك في نفس نظام DNS. سيؤدي إنشاء موارد AMPLS متعددة إلى تجاوز مناطق Azure Monitor DNS لبعضها البعض وكسر البيئات الموجودة. لمعرفة المزيد، راجع التخطيط حسب تخطيط الشبكة.

نقاط النهاية العمومية والإقليمية المشتركة

عند تكوين Private Link حتى لمورد واحد، سيتم إرسال نسبة استخدام الشبكة إلى نقاط النهاية التالية من خلال عناوين IP الخاصة المخصصة:

  • جميع نقاط نهاية Application Insights: نقاط النهاية التي تتعامل مع الاستيعاب والمقاييس المباشرة وملف التعريف ومصحح الأخطاء إلى نقاط نهاية Application Insights عمومية.
  • نقطة نهاية الاستعلام: نقطة النهاية التي تتعامل مع الاستعلامات لكل من Application Insights وموارد Log Analytics عالمية.

هام

يؤثر إنشاء ارتباط خاص على حركة المرور إلى جميع موارد المراقبة، وليس فقط الموارد في AMPLS. بشكل فعال، سيؤدي ذلك إلى انتقال جميع طلبات الاستعلام واستيعاب مكونات Application Insights من خلال عناوين IP الخاصة. هذا لا يعني أن التحقق من صحة الارتباط الخاص ينطبق على جميع هذه الطلبات.

لا يمكن الوصول إلى الموارد التي لم تتم إضافتها إلى AMPLS إلا إذا كان وضع الوصول إلى AMPLS مفتوحا ويقبل المورد الهدف نسبة استخدام الشبكة من الشبكات العامة. عند استخدام IP الخاص، لا تنطبق عمليات التحقق من صحة الارتباط الخاص على الموارد غير الموجودة في AMPLS. لمعرفة المزيد، راجع أوضاع الوصول إلى Private Link.

يتم تكوين إعدادات الارتباط الخاص ل Prometheus المدارة واستيعاب البيانات في مساحة عمل Azure Monitor على نقاط نهاية تجميع البيانات للمورد المشار إليه. يتم إجراء الإعدادات للاستعلام عن مساحة عمل Azure Monitor عبر Private Link مباشرة على مساحة عمل Azure Monitor ولا تتم معالجتها عبر AMPLS.

نقاط النهاية الخاصة بالموارد

نقاط نهاية Log Analytics محددة لمساحة العمل، باستثناء نقطة نهاية الاستعلام التي تمت مناقشتها سابقا. ونتيجة لذلك، ستؤدي إضافة مساحة عمل Log Analytics معينة إلى AMPLS إلى إرسال طلبات الاستيعاب إلى مساحة العمل هذه عبر الارتباط الخاص. سيستمر الاستيعاب إلى مساحات العمل الأخرى في استخدام نقاط النهاية العامة.

نقاط نهاية جمع البيانات هي أيضا خاصة بالموارد. يمكنك استخدامها لتكوين إعدادات الاستيعاب بشكل فريد لجمع بيانات القياس عن بعد لنظام التشغيل الضيف من أجهزتك (أو مجموعة من الأجهزة) عند استخدام عامل Azure Monitor الجديد وقواعد جمع البيانات. لا يؤثر تكوين نقطة نهاية تجميع البيانات لمجموعة من الأجهزة على استيعاب بيانات تتبع الاستخدام للضيف من الأجهزة الأخرى التي تستخدم العامل الجديد.

هام

بدءا من 1 ديسمبر 2021، سيستخدم تكوين DNS لنقاط النهاية الخاصة آلية ضغط نقطة النهاية، والتي تخصص عنوان IP خاصا واحدا لجميع مساحات العمل في نفس المنطقة. فهو يحسن المقياس المدعوم (حتى 300 مساحة عمل و1000 مكون لكل AMPLS) ويقلل من العدد الإجمالي لعناوين IP المأخوذة من تجمع IP للشبكة.

كما تمت مناقشته في ارتباطات Azure Monitor الخاصة تعتمد على DNS الخاص بك، يجب إنشاء مورد AMPLS واحد فقط لجميع الشبكات التي تشترك في نفس DNS. ونتيجة لذلك، لدى المؤسسات التي تستخدم DNS عالمية أو إقليمية واحدة ارتباطا خاصا واحدا لإدارة نسبة استخدام الشبكة إلى جميع موارد Azure Monitor، عبر جميع الشبكات العالمية أو الإقليمية.

بالنسبة للارتباطات الخاصة التي تم إنشاؤها قبل سبتمبر 2021، يعني ذلك:

  • يعمل استيعاب السجل فقط للموارد في AMPLS. تم رفض استيعاب جميع الموارد الأخرى (عبر جميع الشبكات التي تشترك في نفس DNS)، بغض النظر عن الاشتراك أو المستأجر.
  • الاستعلامات لها سلوك أكثر انفتاحا يسمح لطلبات الاستعلام بالوصول حتى إلى الموارد غير الموجودة في AMPLS. كانت النية هنا هي تجنب تقسيم استعلامات العملاء إلى موارد غير موجودة في AMPLS والسماح للاستعلامات التي تركز على الموارد بإرجاع مجموعة النتائج الكاملة.

ثبت أن هذا السلوك مقيد جدا لبعض العملاء لأنه يكسر الاستيعاب للموارد غير الموجودة في AMPLS. ولكنه كان متساهلا جدا مع الآخرين لأنه يسمح بالاستعلام عن الموارد غير الموجودة في AMPLS.

بدءا من سبتمبر 2021، تحتوي الارتباطات الخاصة على إعدادات AMPLS إلزامية جديدة تحدد بوضوح كيفية تأثيرها على حركة مرور الشبكة. عند إنشاء مورد AMPLS جديد، يطلب منك الآن تحديد أوضاع الوصول التي تريدها للاستيعاب والاستعلامات بشكل منفصل:

على الرغم من أن طلبات استعلام Log Analytics تتأثر بإعداد وضع الوصول إلى AMPLS، فإن طلبات استيعاب Log Analytics تستخدم نقاط نهاية خاصة بالموارد ولا يتم التحكم فيها بواسطة وضع الوصول إلى AMPLS. لضمان عدم تمكن طلبات استيعاب Log Analytics من الوصول إلى مساحات العمل خارج AMPLS، قم بتعيين جدار حماية الشبكة لمنع حركة المرور إلى نقاط النهاية العامة، بغض النظر عن أوضاع الوصول إلى AMPLS.

إشعار

إذا قمت بتكوين Log Analytics باستخدام Private Link عن طريق تعيين قواعد مجموعة أمان الشبكة في البداية للسماح بنسبة استخدام الشبكة الصادرة بواسطة ServiceTag:AzureMonitor، ترسل الأجهزة الظاهرية المتصلة السجلات من خلال نقطة نهاية عامة. لاحقا، إذا قمت بتغيير القواعد لرفض نسبة استخدام الشبكة الصادرة بواسطة ServiceTag:AzureMonitor، تستمر الأجهزة الظاهرية المتصلة في إرسال السجلات حتى تقوم بإعادة تشغيل الأجهزة الظاهرية أو قطع الجلسات. للتأكد من أن التكوين المطلوب يدخل حيز التنفيذ الفوري، أعد تشغيل الأجهزة الظاهرية المتصلة.

الخطوات التالية