Nastavení privátního přístupu

V této příručce se dozvíte, jak zakázat veřejný přístup k pracovnímu prostoru Azure Managed Grafana a nastavit privátní koncové body. Nastavení privátních koncových bodů ve službě Azure Managed Grafana zvyšuje zabezpečení omezením příchozího provozu pouze na konkrétní síť.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
• Existující instance Azure Managed Grafana na úrovni Standard. Vytvořte ho, pokud jste to ještě neudělali.

Zakázání veřejného přístupu k pracovnímu prostoru

Při vytváření pracovního prostoru Azure Grafana je ve výchozím nastavení povolený veřejný přístup. Zakázáním veřejného přístupu zabráníte veškerému provozu v přístupu k prostředku, pokud neprojdete privátním koncovým bodem.

Poznámka:

Pokud je povolený privátní přístup, nebudou grafy ping používající funkci Připnout na Grafana fungovat, protože Azure Portal nemá přístup k pracovnímu prostoru Azure Managed Grafana na privátní IP adrese.

Azure Portal

1. Na webu Azure Portal přejděte do pracovního prostoru Azure Managed Grafana.

2. V nabídce vlevo v části Nastavení vyberte Sítě.

3. V části Veřejný přístup zakažte veřejný přístup k pracovnímu prostoru Azure Managed Grafana a povolte přístup pouze prostřednictvím privátních koncových bodů. Pokud jste už měli zakázaný veřejný přístup a místo toho chcete povolit veřejný přístup k pracovnímu prostoru Azure Managed Grafana, vyberte Možnost Povoleno.

4. Zvolte Uložit.

   

Azure CLI

V rozhraní příkazového řádku spusťte příkaz az grafana update a nahraďte zástupné symboly <grafana-workspace> a <resource-group> vlastními informacemi:

az grafana update --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled

Vytvoření privátního koncového bodu

Jakmile zakážete veřejný přístup, nastavte privátní koncový bod pomocí služby Azure Private Link. Privátní koncové body umožňují přístup k pracovnímu prostoru Azure Managed Grafana pomocí privátní IP adresy z virtuální sítě.

Azure Portal

1. V části Sítě vyberte kartu Privátní přístup a pak přidejte , abyste mohli začít nastavovat nový privátní koncový bod.

   

2. Na kartě Základy vyplňte následující informace:

   Parametr	Popis	Příklad
   Předplatné	Vyberte předplatné služby Azure. Váš privátní koncový bod musí být ve stejném předplatném jako vaše virtuální síť. Později v tomto průvodci postupy vyberete virtuální síť.	MyAzureSubscription
   Skupina prostředků	Vyberte skupinu prostředků nebo vytvořte novou.	MyResourceGroup
   Název	Zadejte název nového privátního koncového bodu pro váš pracovní prostor Azure Managed Grafana.	MyPrivateEndpoint
   Název síťového rozhraní	Toto pole se dokončí automaticky. Volitelně můžete upravit název síťového rozhraní.	MyPrivateEndpoint-nic
   Oblast	Vyberte oblast. Váš privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť.	(USA) USA – středozápad

   

3. Vyberte Další: Zdroj >. Private Link nabízí možnosti vytvoření privátních koncových bodů pro různé typy prostředků Azure. Aktuální pracovní prostor Grafana spravovaný službou Azure se automaticky vyplní do pole Prostředek .

   1. Typ prostředku Microsoft.Dashboard/grafana a grafana cílového dílčího prostředku označují, že vytváříte koncový bod pro pracovní prostor Azure Managed Grafana.

   2. Název pracovního prostoru je uvedený v části Prostředek.

      

4. Vyberte Další: Virtuální síť >.

   1. Vyberte existující virtuální síť , do které chcete nasadit privátní koncový bod. Pokud nemáte virtuální síť, vytvořte virtuální síť.

   2. Ze seznamu vyberte podsíť.

   3. Zásady sítě pro privátní koncové body jsou ve výchozím nastavení zakázané. Volitelně můžete vybrat upravit a přidat skupinu zabezpečení sítě nebo zásady směrovací tabulky. Tato změna by ovlivnila všechny privátní koncové body přidružené k vybrané podsíti.

   4. V části Konfigurace privátní IP adresy vyberte možnost dynamického přidělování IP adres. Další informace najdete v části Privátní IP adresy.

   5. Volitelně můžete vybrat nebo vytvořit skupinu zabezpečení aplikace. Skupiny zabezpečení aplikací umožňují seskupit virtuální počítače a definovat zásady zabezpečení sítě na základě těchto skupin.

      

5. Vyberte Další: DNS > a nakonfigurujte záznam DNS. Pokud nechcete provádět změny výchozího nastavení, můžete přejít vpřed na další kartu.

   1. Pokud chcete integrovat privátní zónu DNS, vyberte ano, pokud chcete privátní koncový bod integrovat s privátní zónou DNS. Můžete také použít vlastní servery DNS nebo vytvořit záznamy DNS pomocí souborů hostitelů na virtuálních počítačích.

   2. Předplatné a skupina prostředků pro vaši privátní zónu DNS jsou předem vybrány. Volitelně je můžete změnit.

   Další informace o konfiguraci DNS najdete v tématu Překlad názvů prostředků ve virtuálních sítích Azure a konfiguraci DNS pro privátní koncové body. Hodnoty privátních zón DNS privátního koncového bodu Azure pro Azure Managed Grafana jsou uvedené v zóně DNS služeb Azure.

   

6. Vyberte Další: Značky > a volitelně vytvořte značky. Značky jsou dvojice název-hodnota, které umožňují kategorizovat prostředky a zobrazovat souhrnnou fakturaci. Stačí k tomu u několika prostředků a skupin prostředků použít stejnou značku.

7. Vyberte Další: Kontrola a vytvoření > a kontrola informací o pracovním prostoru Azure Managed Grafana, privátním koncovém bodu, virtuální síti a DNS. Můžete také vybrat možnost Stáhnout šablonu pro automatizaci a později znovu použít data JSON z tohoto formuláře.

8. Vyberte Vytvořit.

Po dokončení nasazení se zobrazí oznámení o vytvoření koncového bodu. Pokud se automaticky schválí, můžete začít přistupovat k vašemu pracovnímu prostoru soukromě. Jinak budete muset počkat na schválení.

Azure CLI

1. K nastavení privátního koncového bodu potřebujete virtuální síť. Pokud ho ještě nemáte, vytvořte virtuální síť pomocí příkazu az network vnet create. Zástupné texty <vnet>, , <subnet><resource-group>a nahraďte <vnet-location> názvem nové virtuální sítě, skupiny prostředků a názvu a umístění virtuální sítě.

   az network vnet create --name <vnet> --resource-group <resource-group> --subnet-name <subnet> --location <vnet-location>
   

   Zástupný symbol	Popis	Příklad
   <vnet>	Zadejte název nové virtuální sítě. Virtuální síť umožňuje prostředkům Azure vzájemně komunikovat soukromě a s internetem.	MyVNet
   <resource-group>	Zadejte název existující skupiny prostředků pro vaši virtuální síť.	MyResourceGroup
   <subnet>	Zadejte název nové podsítě. Podsíť je síť uvnitř sítě. Tady je přiřazená privátní IP adresa.	MySubnet
   <vnet-location>	Zadejte oblast Azure. Vaše virtuální síť musí být ve stejné oblasti jako váš privátní koncový bod.	centralus

2. Spuštěním příkazu az grafana show načtěte vlastnosti pracovního prostoru Azure Managed Grafana, pro který chcete nastavit privátní přístup. Zástupný symbol <grafana-workspace> nahraďte názvem vašeho pracovního prostoru.

   az grafana show --name <grafana-workspace>
   

   Tento příkaz vygeneruje výstup s informacemi o vašem pracovním prostoru Azure Managed Grafana. Poznamenejte si id hodnotu. Například: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana.

3. Spuštěním příkazu az network private-endpoint create vytvořte privátní koncový bod pro váš pracovní prostor Azure Managed Grafana. Zástupné texty <resource-group>, , <private-endpoint>, <private-connection-resource-id><vnet>, <connection-name>a <location> nahraďte vlastními informacemi.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint> --vnet-name <vnet> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id grafana
   

   Zástupný symbol	Popis	Příklad
   <resource-group>	Zadejte název existující skupiny prostředků pro váš privátní koncový bod.	MyResourceGroup
   <private-endpoint>	Zadejte název nového privátního koncového bodu.	MyPrivateEndpoint
   <vnet>	Zadejte název existující virtuální sítě.	Myvnet
   <private-connection-resource-id>	Zadejte ID prostředku privátního připojení pracovního prostoru Azure Managed Grafana. Toto je ID, které jste uložili z výstupu předchozího kroku.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana
   <connection-name>	Zadejte název připojení.	MyConnection
   <location>	Zadejte oblast Azure. Váš privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť.	centralus

Správa připojení private link

Azure Portal

Pokud chcete získat přístup k privátním koncovým bodům propojeným s vaším pracovním prostorem, přejděte do privátního přístupu k síti>ve vašem pracovním prostoru Spravovaném grafana Azure.

1. Zkontrolujte stav připojení privátního propojení. Když vytvoříte privátní koncový bod, musí být připojení schváleno. Pokud prostředek, pro který vytváříte privátní koncový bod, je ve vašem adresáři a máte dostatečná oprávnění, žádost o připojení se automaticky schválí. Jinak musíte počkat, až vlastník tohoto prostředku schválí vaši žádost o připojení. Další informace o modelech schválení připojení najdete v tématu Správa privátních koncových bodů Azure.

2. Pokud chcete připojení schválit, odmítnout nebo odebrat ručně, zaškrtněte políčko vedle koncového bodu, který chcete upravit, a v horní nabídce vyberte položku akce.

3. Výběrem názvu privátního koncového bodu otevřete prostředek privátního koncového bodu a získejte přístup k dalším informacím nebo upravte privátní koncový bod.

   

Azure CLI

Kontrola podrobností o připojení privátního koncového bodu

Spuštěním příkazu az network private-endpoint-connection list zkontrolujte všechna připojení privátního koncového bodu propojená s pracovním prostorem Azure Managed Grafana a zkontrolujte jejich stav připojení. Nahraďte zástupné symboly <resource-group> a <grafana-workspace> názvem skupiny prostředků a pracovního prostoru Azure Managed Grafana.

az network private-endpoint-connection list --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Pokud chcete získat podrobnosti o konkrétním privátním koncovém bodu, použijte příkaz az network private-endpoint-connection show . Nahraďte zástupné texty <resource-group> a <grafana-workspace> názvem skupiny prostředků a názvem pracovního prostoru Azure Managed Grafana.

az network private-endpoint-connection show --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Získání schválení připojení

Když vytvoříte privátní koncový bod, musí být připojení schváleno. Pokud prostředek, pro který vytváříte privátní koncový bod, je ve vašem adresáři a máte dostatečná oprávnění, žádost o připojení se automaticky schválí. Jinak musíte počkat, až vlastník tohoto prostředku schválí vaši žádost o připojení.

Pokud chcete schválit připojení privátního koncového bodu, použijte příkaz az network private-endpoint-connection approve . Nahraďte zástupné texty <resource-group><private-endpoint>a <grafana-workspace> názvem skupiny prostředků, názvem privátního koncového bodu a názvem prostředku Azure Managed Grafana.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.Dashboard/grafana --resource-name <grafana-workspace>

Další informace o modelech schválení připojení najdete v tématu Správa privátních koncových bodů Azure.

Odstranění připojení privátního koncového bodu

Pokud chcete odstranit připojení privátního koncového bodu, použijte příkaz az network private-endpoint-connection delete . Nahraďte zástupné texty <resource-group> a <private-endpoint> názvem skupiny prostředků a názvem privátního koncového bodu.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Další příkazy rozhraní příkazového řádku najdete v příkazu az network private-endpoint-connection.

Pokud máte problémy s privátním koncovým bodem, projděte si následující příručku: Řešení potíží s připojením privátního koncového bodu Azure.

Další kroky

V tomto návodu jste zjistili, jak nastavit privátní přístup od uživatelů k pracovnímu prostoru Grafana spravované službou Azure. Informace o tom, jak nakonfigurovat privátní přístup mezi spravovaným pracovním prostorem Grafana a zdrojem dat, najdete v tématu Připojení k privátnímu zdroji dat.