Použití Azure Private Linku k propojení sítí k Azure Monitoru

Pomocí služby Azure Private Link můžete bezpečně propojit prostředky Platformy Azure jako služby (PaaS) s virtuální sítí pomocí privátních koncových bodů. Azure Monitor je souhvězdí různých vzájemně propojených služeb, které spolupracují na monitorování úloh. Privátní propojení Azure Monitoru připojí privátní koncový bod k sadě prostředků služby Azure Monitor a definuje hranice vaší monitorovací sítě. Tato sada se nazývá obor služby Azure Monitor Private Link (AMPLS).

Poznámka:

Privátní propojení Azure Monitoru jsou strukturovaná jinak než privátní propojení s jinými službami, které můžete použít. Místo vytváření více privátních propojení používá Azure Monitor jedno připojení privátního propojení z virtuální sítě k ampLS pro každý prostředek, ke které se virtuální síť připojuje. AMPLS je sada všech prostředků služby Azure Monitor, ke kterým se virtuální síť připojuje prostřednictvím privátního propojení.

Výhody

Pomocí služby Private Link můžete:

  • Připojení soukromě do služby Azure Monitor bez otevření přístupu k veřejné síti.
  • Ujistěte se, že data monitorování jsou přístupná jenom prostřednictvím autorizovaných privátních sítí.
  • Zabraňte exfiltraci dat z privátních sítí definováním konkrétních prostředků služby Azure Monitor, které se připojují přes privátní koncový bod.
  • Zabezpečeně připojte privátní místní síť ke službě Azure Monitor pomocí Azure ExpressRoute a Private Linku.
  • Udržujte veškerý provoz v páteřní síti Azure.

Další informace najdete v tématu Klíčové výhody služby Private Link.

Jak to funguje: Hlavní principy

Privátní propojení Azure Monitoru propojuje privátní koncový bod se sadou prostředků služby Azure Monitor, které se skládají z pracovních prostorů služby Log Analytics a prostředků Přehledy aplikací. Tato sada se nazývá obor služby Private Link služby Azure Monitor.

Diagram that shows basic resource topology.

Ampls:

  • Používá privátní IP adresy: Privátní koncový bod ve vaší virtuální síti umožňuje přístup ke koncovým bodům služby Azure Monitor prostřednictvím privátních IP adres z fondu vaší sítě místo použití veřejných IP adres těchto koncových bodů. Z tohoto důvodu můžete dál používat prostředky služby Azure Monitor, aniž byste otevřeli virtuální síť k rušení odchozích přenosů.
  • Běží na páteřní síti Azure: Provoz z privátního koncového bodu do vašich prostředků služby Azure Monitor bude přecházet přes páteřní síť Azure a nebude směrován do veřejných sítí.
  • Ovládací prvky, ke kterým je možné získat přístup k prostředkům Služby Azure Monitor: Nakonfigurujte si ampLS do upřednostňovaného režimu přístupu. Přenosy můžete povolit pouze do prostředků služby Private Link, nebo do prostředků private Linku i jiných prostředků než private-Link (prostředky mimo ampLS).
  • Řídí síťový přístup k prostředkům služby Azure Monitor: Nakonfigurujte každý z vašich pracovních prostorů nebo komponent tak, aby přijímal nebo blokoval provoz z veřejných sítí. Pro příjem dat a požadavky na dotazy můžete použít různá nastavení.

Když nastavíte připojení privátního propojení, zóny DNS mapují koncové body služby Azure Monitor na privátní IP adresy pro odesílání provozu přes privátní propojení. Azure Monitor používá koncové body specifické pro prostředky i sdílené globální nebo regionální koncové body pro přístup k pracovním prostorům a komponentám ve službě AMPLS.

Upozorňující

Vzhledem k tomu, že Azure Monitor používá některé sdílené koncové body (tj. koncové body, které nejsou specifické pro prostředky), nastavení privátního propojení i pro jeden prostředek změní konfiguraci DNS, která ovlivňuje provoz do všech prostředků. Jinými slovy, provoz do všech pracovních prostorů nebo komponent je ovlivněn nastavením jediného privátního propojení.

Použití sdílených koncových bodů také znamená, že byste měli použít jednu ampls pro všechny sítě, které sdílejí stejný DNS. Vytvoření více prostředků AMPLS způsobí, že se zóny DNS služby Azure Monitor přepíší navzájem a přeruší stávající prostředí. Další informace najdete v tématu Plánování podle topologie sítě.

Sdílené globální a regionální koncové body

Když nakonfigurujete Službu Private Link i pro jeden prostředek, provoz do následujících koncových bodů se odešle prostřednictvím přidělených privátních IP adres:

  • Všechny koncové body Přehledy aplikací: Koncové body zpracovávající příjem dat, živé metriky, profiler a ladicí program do koncových bodů Přehledy aplikací jsou globální.
  • Koncový bod dotazu: Koncový bod, který zpracovává dotazy na prostředky služby Application Přehledy i Log Analytics, je globální.

Důležité

Vytvoření privátního propojení má vliv na provoz do všech monitorovacích prostředků, nejen prostředků ve vašich ampls. V podstatě to způsobí, že všechny požadavky na dotazy a příjem dat do aplikačních Přehledy komponent projdou privátními IP adresami. Neznamená to, že ověřování privátního propojení platí pro všechny tyto požadavky.

Prostředky, které nejsou přidány do seznamů AMPLS, lze dosáhnout pouze v případě, že je režim přístupu ampls otevřený a cílový prostředek přijímá provoz z veřejných sítí. Pokud používáte privátní IP adresu, ověřování privátního propojení se nevztahuje na prostředky, které nejsou ve službě AMPLS. Další informace najdete v tématu Režimy přístupu služby Private Link.

Nastavení služby Private Link pro spravovanou službu Prometheus a ingestování dat do pracovního prostoru služby Azure Monitor jsou nakonfigurovaná na koncových bodech shromažďování dat pro odkazovaný prostředek. Nastavení pro dotazování pracovního prostoru služby Azure Monitor přes Službu Private Link se provádí přímo v pracovním prostoru služby Azure Monitor a nezpracují se prostřednictvím ampls.

Koncové body specifické pro prostředky

Koncové body Log Analytics jsou specifické pro konkrétní pracovní prostor, s výjimkou koncového bodu dotazu, který jsme probírali dříve. V důsledku toho přidání konkrétního pracovního prostoru služby Log Analytics do ampls odešle žádosti o příjem dat do tohoto pracovního prostoru přes privátní propojení. Příjem dat do jiných pracovních prostorů bude dál používat veřejné koncové body.

Koncové body shromažďování dat jsou také specifické pro prostředky. Můžete je použít k jedinečné konfiguraci nastavení příjmu dat pro shromažďování telemetrických dat hostovaného operačního systému z vašich počítačů (nebo sady počítačů), když použijete nová pravidla pro shromažďování dat a agenta služby Azure Monitor. Konfigurace koncového bodu shromažďování dat pro sadu počítačů nemá vliv na příjem telemetrie hosta z jiných počítačů, které používají nového agenta.

Důležité

Od 1. prosince 2021 bude konfigurace DNS privátních koncových bodů používat mechanismus komprese koncových bodů, který přidělí jednu privátní IP adresu pro všechny pracovní prostory ve stejné oblasti. Vylepšuje podporované škálování (až 300 pracovních prostorů a 1 000 komponent na ampls) a snižuje celkový počet IP adres přijatých z fondu IP adres sítě.

Jak je popsáno v privátních propojeních azure Monitoru, závisí na vašem DNS, měl by se vytvořit jenom jeden prostředek ampls pro všechny sítě, které sdílejí stejný DNS. V důsledku toho mají organizace, které používají jeden globální nebo regionální DNS, jediné privátní propojení pro správu provozu do všech prostředků služby Azure Monitor napříč všemi globálními nebo regionálními sítěmi.

Pro privátní propojení vytvořená před zářím 2021 to znamená:

  • Příjem protokolů funguje jenom pro prostředky ve službě AMPLS. Příjem dat do všech ostatních prostředků se odepře (ve všech sítích, které sdílejí stejný DNS), bez ohledu na předplatné nebo tenanta.
  • Dotazy mají více otevřené chování, které umožňuje požadavkům dotazů dosáhnout dokonce i prostředků, které nejsou ve službě AMPLS. Záměrem bylo vyhnout se zásadním dotazům zákazníků na prostředky, které nejsou ve službě AMPLS, a umožnit, aby dotazy zaměřené na prostředky vrátily úplnou sadu výsledků.

Toto chování se ukázalo jako příliš omezující pro některé zákazníky, protože přeruší příjem dat na prostředky, které nejsou ve službě AMPLS. Ale pro ostatní to bylo příliš užitečné, protože umožňuje dotazování prostředků, které nejsou ve službě AMPLS.

Od září 2021 mají privátní propojení nová povinná nastavení ampls, která explicitně nastavují, jak by měly mít vliv na síťový provoz. Když vytváříte nový prostředek AMPLS, budete teď muset vybrat režimy přístupu, které chcete pro příjem dat a dotazy zvlášť:

  • Režim Pouze privátní: Povoluje provoz pouze do prostředků Služby Private Link.
  • Otevřený režim: Používá službu Private Link ke komunikaci s prostředky ve službě AMPLS, ale také umožňuje provoz pokračovat do jiných prostředků. Další informace najdete v tématu Řízení způsobu použití privátních propojení pro vaše sítě.

I když jsou požadavky na dotazy Log Analytics ovlivněné nastavením režimu přístupu AMPLS, žádosti o příjem dat log Analytics používají koncové body specifické pro prostředky a nejsou řízeny režimem přístupu AMPLS. Pokud chcete zajistit, aby žádosti o příjem dat log Analytics nemohly přistupovat k pracovním prostorům ze služby AMPLS, nastavte bránu firewall sítě tak, aby blokovala provoz do veřejných koncových bodů bez ohledu na režimy přístupu AMPLS.

Poznámka:

Pokud jste nakonfigurovali Log Analytics se službou Private Link tím, že původně nastavíte pravidla skupiny zabezpečení sítě tak, aby umožňovala odchozí provoz podle ServiceTag:AzureMonitor, připojené virtuální počítače odesílají protokoly přes veřejný koncový bod. Pokud později změníte pravidla tak, aby odepřela odchozí provoz ServiceTag:AzureMonitor, připojené virtuální počítače budou dál posílat protokoly, dokud virtuální počítače nerestartujete nebo relace vyjmete. Pokud chcete zajistit, aby se požadovaná konfigurace projevila okamžitě, restartujte připojené virtuální počítače.

Další kroky