Aktivieren der Netzwerkisolation für den Azure Monitor-Agent unter Verwendung von Private Link
Standardmäßig stellt der Azure Monitor-Agent eine Verbindung mit einem öffentlichen Endpunkt her, um sich mit Ihrer Azure Monitor-Umgebung zu verbinden. In diesem Artikel erfahren Sie, wie Sie die Netzwerkisolation für Ihre Agents mithilfe von Azure Private Linkaktivieren.
Voraussetzungen
- Eine Datensammlungsregel, um sowohl die vom Azure Monitor-Agent gesammelten Daten als auch das Ziel zu definieren, an das der Agent Daten sendet.
Verknüpfen Ihrer Datensammlungsendpunkte mit Ihrem Azure Monitor-Private Link-Bereich
Erstellen Sie einen Datensammlungsendpunkt für jede Ihrer Regionen, damit Agents damit eine Verbindung herstellen können, anstatt den öffentlichen Endpunkt zu verwenden. Ein Agent kann nur eine Verbindung mit einem Datensammlungsendpunkt in der gleichen Region herstellen. Wenn Sie über Agents in mehreren Regionen verfügen, muss in jeder der Regionen ein Datensammlungsendpunkt erstellt werden.
Konfigurieren Sie Ihre private Verbindung. Die private Verbindung wird verwendet, um Ihren Datensammlungsendpunkt mit einer Reihe von Azure Monitor-Ressourcen zu verbinden, die die Grenzen Ihres Überwachungsnetzwerks definieren. Diese Gruppe wird als Azure Monitor-Private Link-Bereich bezeichnet.
Fügen Sie die Datensammlungsendpunkte Ihrem Azure Monitor-Private Link-Bereich hinzu. Dadurch werden die Datensammlungsendpunkte Ihrer privaten DNS-Zone hinzugefügt (siehe Überprüfen und Validieren Ihres Private Link-Setups), und die Kommunikation über private Verbindungen wird ermöglicht. Sie können diesen Schritt über die AMPLS-Ressource oder über die Registerkarte Netzwerkisolation eines vorhandenen Datensammlungsendpunkts ausführen.
Wichtig
Andere Azure Monitor-Ressourcen wie die in Ihren Datensammlungsregeln konfigurierten Log Analytics-Arbeitsbereiche, an die Sie Daten senden möchten, müssen Teil derselben AMPLS-Ressource sein.
Stellen Sie für Ihre Datensammlungsendpunkte sicher, dass die Option Zugriff aus öffentlichen Netzwerken akzeptieren, die nicht über einen Private Link-Bereich verbunden sind auf der Registerkarte Netzwerkisolation Ihrer Endpunktressource im Azure-Portal auf Nein festgelegt ist. Mit dieser Einstellung wird sichergestellt, dass der öffentliche Internetzugriff deaktiviert ist und die Netzwerkkommunikation nur über private Verbindungen erfolgt.
Ordnen Sie die Datensammlungsendpunkte den Zielressourcen zu, indem Sie die Datensammlungsregel im Azure-Portal bearbeiten. Wählen Sie auf der Registerkarte Ressourcen die Option Datensammlungsendpunkte aktivieren aus. Wählen Sie einen Datensammlungsendpunkt für jeden virtuellen Computer aus. Weitere Informationen finden Sie unter Konfigurieren der Datensammlung für den Azure Monitor-Agent.
Nächste Schritte
- Weitere Informationen zu bewährten Methoden für die Überwachung virtueller Computer in Azure Monitor finden Sie hier.