Verwenden privater Endpunkte für Managed Prometheus und einen Azure Monitor-Arbeitsbereich
Verwenden Sie private Endpunkte für Managed Prometheus und Ihren Azure Monitor-Arbeitsbereich, um Clients in einem virtuellen Netzwerk (VNet) den sicheren Zugriff auf Daten über Private Link zu ermöglichen. Der private Endpunkt verwendet eine separate IP-Adresse im VNet-Adressraum Ihrer Azure Monitor-Arbeitsbereichsressource. Der Netzwerkdatenverkehr zwischen den Clients im VNet und der Arbeitsbereichsressource wird über das VNet und eine private Verbindung im Microsoft-Backbonenetzwerk geleitet, sodass keine Offenlegung im öffentlichen Internet erfolgt.
Hinweis
Wenn Sie Azure Managed Grafana zum Abfragen Ihrer Daten verwenden, konfigurieren Sie einen verwalteten privaten Endpunkt, damit die Abfragen von Managed Grafana in Ihren Azure Monitor-Arbeitsbereich das Microsoft-Backbonenetzwerk verwenden, ohne das Internet zu durchlaufen.
Private Endpunkte für Ihren Arbeitsbereich bieten folgende Möglichkeiten:
- Schützen Ihres Arbeitsbereichs, indem Sie die Netzwerkeinstellung für den öffentlichen Zugriff so konfigurieren, dass alle Verbindungen am öffentlichen Abfrageendpunkt für den Arbeitsbereich blockiert werden.
- das Erhöhen der Sicherheit für das VNET, indem Sie die Exfiltration von Daten aus dem VNET blockieren
- Herstellen von sicheren Verbindungen zu Arbeitsbereichen aus lokalen Netzwerken, die über ein VPN oder ExpressRoutes mit privatem Peering eine Verbindung mit dem VNet herstellen.
Konzeptionelle Übersicht
Ein privater Endpunkt ist eine spezielle Netzwerkschnittstelle für einen Azure-Dienst in Ihrem virtuellen Netzwerk (VNET). Wenn Sie einen privaten Endpunkt für Ihren Arbeitsbereich erstellen, wird eine sichere Verbindung zwischen Clients in Ihrem VNet und Ihrem Arbeitsbereich bereitgestellt. Dem privaten Endpunkt wird eine IP-Adresse aus dem IP-Adressbereich Ihres VNET zugewiesen. Für die Verbindung zwischen dem privaten Endpunkt und dem Arbeitsbereich wird eine sichere private Verbindung verwendet.
Anwendungen im VNet können eine nahtlose Verbindung mit dem Arbeitsbereich über den privaten Endpunkt herstellen, indem die gleichen Verbindungszeichenfolgen und Autorisierungsmechanismen wie üblich verwendet werden.
Private Endpunkte können in Subnetzen erstellt werden, die Dienstendpunkte verwenden. Clients im Subnetz können dann über einen privaten Endpunkt eine Verbindung mit einem Arbeitsbereich herstellen, während Dienstendpunkte für den Zugriff auf andere Dienste verwendet werden.
Wenn Sie einen privaten Endpunkt für einen Arbeitsbereich in Ihrem VNet erstellen, wird an den Besitzer des Arbeitsbereichskontos eine Einwilligungsanforderung zur Genehmigung gesendet. Wenn der Benutzer, der die Erstellung des privaten Endpunkts anfordert, auch ein Besitzer des Arbeitsbereichs ist, wird diese Einwilligungsanforderung automatisch genehmigt.
Besitzer von Azure Monitor-Arbeitsbereichen können Einwilligungsanforderungen und die privaten Endpunkte über die Registerkarte Privater Zugriff auf der Seite „Netzwerk“ für den Arbeitsbereich im Azure-Portal verwalten.
Tipp
Wenn Sie den Zugriff auf Ihren Arbeitsbereich über den privaten Endpunkt lediglich einschränken möchten, wählen Sie auf der Registerkarte Öffentlicher Zugriff auf der Seite „Netzwerk“ für den Arbeitsbereich im Azure-Portal die Option „Öffentlichen Zugriff deaktivieren und privaten Zugriff verwenden“ aus.
Erstellen eines privaten Endpunkts
Informationen zum Erstellen eines privaten Endpunkts im Azure-Portal, mit PowerShell oder über die Azure CLI finden Sie in den folgenden Artikeln. In den Artikeln dient eine Azure-Web-App als Zieldienst, die Schritte zum Erstellen einer privaten Verbindung sind jedoch die gleichen für einen Azure Monitor-Arbeitsbereich.
Wenn Sie einen privaten Endpunkt erstellen, treffen Sie die folgenden Auswahlmöglichkeiten aus den Dropdownlisten auf der Registerkarte „Basic“:
- Ressourcentyp – Wählen Sie
Microsoft.Monitor/accounts
aus. Geben Sie den Azure Monitor-Arbeitsbereich an, zu dem eine Verbindung hergestellt wird. - Untergeordnete Zielressource – Wählen Sie
prometheusMetrics
aus.
Erstellen Sie einen privaten Endpunkt anhand der folgenden Artikel.
Herstellen einer Verbindung mit einem privaten Endpunkt
Clients in einem VNet, die den privaten Endpunkt verwenden, sollten denselben Abfrageendpunkt für den Azure Monitor-Arbeitsbereich verwenden wie Clients, die eine Verbindung mit dem öffentlichen Endpunkt herstellen. Das automatische Weiterleiten der Verbindungen vom VNet zum Arbeitsbereich über eine private Verbindung basiert auf der DNS-Auflösung.
Wir erstellen standardmäßig eine private DNS-Zone, die an das VNet angefügt ist, mit den erforderlichen Updates für die privaten Endpunkte. Wenn Sie jedoch einen eigenen DNS-Server verwenden, müssen Sie möglicherweise zusätzliche Änderungen an Ihrer DNS-Konfiguration vornehmen. Im folgenden Abschnitt zu DNS-Änderungen werden die für private Endpunkte erforderlichen Updates beschrieben.
DNS-Änderungen für private Endpunkte
Hinweis
Details zum Konfigurieren Ihrer DNS-Einstellungen für private Endpunkte finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.
Wenn Sie einen privaten Endpunkt erstellen, wird der DNS-CNAME-Ressourceneintrag für den Arbeitsbereich auf einen Alias in einer Unterdomäne mit dem Präfix privatelink
aktualisiert. Standardmäßig erstellen wir außerdem eine private DNS-Zone, die der Unterdomäne privatelink
entspricht, mit den DNS-A-Ressourceneinträgen für die privaten Endpunkte.
Wenn Sie die Abfrageendpunkt-URL außerhalb des VNet mit dem privaten Endpunkt auflösen, erfolgt die Auflösung in den öffentlichen Endpunkt des Arbeitsbereichs. Bei Auflösung aus dem VNet, das den privaten Endpunkt hostet, wird die Abfrageendpunkt-URL in die IP-Adresse des privaten Endpunkts aufgelöst.
Für das folgende Beispiel wird k8s02-workspace
in der Region „USA, Osten“ verwendet. Es ist nicht garantiert, dass der Ressourcenname eindeutig ist. Daher müssen einige Zeichen hinter dem Namen hinzugefügt werden, um den URL-Pfad eindeutig zu machen, z. B. k8s02-workspace-<key>
. Dieser eindeutige Abfrageendpunkt wird auf der Übersichtsseite des Azure Monitor-Arbeitsbereichs angezeigt.
Die DNS-Ressourceneinträge für den Azure Monitor-Arbeitsbereich nach dem Auflösen außerhalb des VNet, das den privaten Endpunkt hostet, sind:
Name | type | Wert |
---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
CNAME | <Öffentlicher Endpunkt des regionalen AMW-Diensts> |
<Öffentlicher Endpunkt des regionalen AMW-Diensts> | A | <Öffentliche IP-Adresse des regionalen AMW-Diensts> |
Wie bereits erwähnt, können Sie den Zugriff für Clients außerhalb des VNet über den öffentlichen Endpunkt auf der Registerkarte Öffentlicher Zugriff der Seite „Netzwerk“ für den Arbeitsbereich verweigern oder steuern.
Die DNS-Ressourceneinträge für „k8s02-workspace“ lauten nach dem Auflösen durch einen Client im VNet, das den privaten Endpunkt hostet:
Name | type | Wert |
---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
Ein | <IP-Adresse des privaten Endpunkts> |
Diese Vorgehensweise ermöglicht den Zugriff auf den Arbeitsbereich mit demselben Abfrageendpunkt für Clients in dem VNet, das die privaten Endpunkte hostet, als auch Clients außerhalb des VNet.
Wenn Sie einen benutzerdefinierten DNS-Server in Ihrem Netzwerk verwenden, müssen Clients in der Lage sein, den FQDN für den Abfrageendpunkt des Arbeitsbereichs in die IP-Adresse des privaten Endpunkts aufzulösen. Sie sollten den DNS-Server so konfigurieren, dass die Unterdomäne der privaten Verbindung an die private DNS-Zone für das VNET delegiert wird, oder konfigurieren Sie die A-Einträge für k8s02-workspace
mit der IP-Adresse des privaten Endpunkts.
Tipp
Wenn Sie einen benutzerdefinierten oder lokalen DNS-Server verwenden, sollten Sie ihn so konfigurieren, dass der Name des Abfrageendpunkts für den Arbeitsbereich in der Unterdomäne privatelink
in die IP-Adresse des privaten Endpunkts aufgelöst wird. Hierzu können Sie die Unterdomäne privatelink
an die private DNS-Zone des VNet delegieren oder die DNS-Zone auf dem DNS-Server konfigurieren und die DNS-A-Einträge hinzufügen.
Die empfohlenen DNS-Zonennamen für private Endpunkte für einen Azure Monitor-Arbeitsbereich sind:
Resource | Zielunterressource | Zonenname |
---|---|---|
Azure Monitor-Arbeitsbereich | prometheusMetrics | privatelink.<region>.prometheus.monitor.azure.com |
Weitere Informationen zum Konfigurieren des eigenen DNS-Servers für die Unterstützung privater Endpunkte finden Sie in den folgenden Artikeln:
- Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken
- DNS-Konfiguration für private Endpunkte
Preise
Ausführliche Preisinformationen finden Sie unter Azure Private Link – Preise.
Bekannte Probleme
Beachten Sie die folgenden bekannten Probleme im Zusammenhang mit privaten Endpunkten für Azure Monitor-Arbeitsbereiche.
Einschränkungen beim Abfragezugriff auf den Arbeitsbereich für Clients in VNets mit privaten Endpunkten
Für Clients in VNets mit vorhandenen privaten Endpunkten gibt es Einschränkungen beim Zugriff auf andere Azure Monitor-Arbeitsbereiche mit privaten Endpunkten. Angenommen, ein VNet N1 verfügt beispielsweise über einen privaten Endpunkt für den Arbeitsbereich A1. Wenn nun der Arbeitsbereich A2 über einen privaten Endpunkt im VNet N2 verfügt, müssen Clients im VNet N1 auch Arbeitsbereichsdaten im Konto A2 über einen privaten Endpunkt abrufen. Wenn für den Arbeitsbereich A2 keine privaten Endpunkte konfiguriert sind, können Clients in VNet N1 Daten aus diesem Arbeitsbereich ohne privaten Endpunkt abfragen.
Diese Einschränkung entsteht durch DNS-Änderungen, die vorgenommen werden, wenn Arbeitsbereich A2 einen privaten Endpunkt erstellt.