Einrichten des privaten Zugriffs

In dieser Anleitung erfahren Sie, wie Sie den öffentlichen Zugriff auf Ihren Azure Managed Grafana-Arbeitsbereich deaktivieren und private Endpunkte einrichten. Die Einrichtung privater Endpunkte in Azure Managed Grafana erhöht die Sicherheit, indem der eingehende Datenverkehr nur auf ein bestimmtes Netzwerk beschränkt wird.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
• Eine vorhandene Azure Managed Grafana-Instanz in der Standardebene. Erstellen Sie eine, falls nicht schon geschehen.

Deaktivieren des öffentlichen Zugriffs auf einen Arbeitsbereich

Der öffentliche Zugriff ist standardmäßig aktiviert, wenn Sie einen Azure Grafana-Arbeitsbereich erstellen. Die Deaktivierung des öffentlichen Zugriffs verhindert den Zugriff des gesamten Datenverkehrs auf die Ressource, es sei denn, Sie gehen über einen privaten Endpunkt.

Hinweis

Wenn der private Zugriff aktiviert ist, funktioniert das Anheften von Diagrammen mit der Funktion An Grafana anheften nicht mehr, da das Azure-Portal nicht auf einen Azure Managed Grafana-Arbeitsbereich mit einer privaten IP-Adresse zugreifen kann.

Portal

1. Gehen Sie zu Ihrem Azure Managed Grafana-Arbeitsbereich im Azure-Portal.

2. Wählen Sie im Menü auf der linken Seite unter Einstellungen die Option Netzwerk aus.

3. Wählen Sie unter Öffentlicher Zugriff die Option Deaktiviert aus, um den öffentlichen Zugriff auf den Azure Managed Grafana-Arbeitsbereich zu deaktivieren und nur Zugriff über private Endpunkte zuzulassen. Wenn Sie den öffentlichen Zugriff bereits deaktiviert hatten und stattdessen den öffentlichen Zugriff auf Ihren Azure Managed Grafana-Arbeitsbereich aktivieren wollten, würden Sie Aktiviert auswählen.

4. Wählen Sie Speichern.

   

Azure-Befehlszeilenschnittstelle

Führen Sie in der CLI den Befehl az grafana update aus und ersetzen Sie die Platzhalter <grafana-workspace> und <resource-group> durch Ihre eigenen Informationen:

az grafana update --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled

Erstellen eines privaten Endpunkts

Nachdem Sie den öffentlichen Zugriff deaktiviert haben, richten Sie mit Azure Private Link einen privaten Endpunkt ein. Private Endpunkte ermöglichen den Zugriff auf Ihren Azure Managed Grafana-Arbeitsbereich mithilfe einer privaten IP-Adresse aus einem virtuellen Netzwerk.

Portal

1. Wählen Sie unter Netzwerk die Registerkarte Privater Zugriff und dann Hinzufügen aus, um einen neuen privaten Endpunkt einzurichten.

   

2. Füllen Sie die Registerkarte Grundlagen mit den folgenden Informationen aus:

   Parameter	BESCHREIBUNG	Beispiel
   Subscription	Wählen Sie ein Azure-Abonnement aus. Ihr privater Endpunkt muss im selben Abonnement wie Ihr virtuelles Netzwerk bereitgestellt werden. Sie wählen ein virtuelles Netzwerk später in dieser Anleitung aus.	MyAzureSubscription
   Resource group	Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue.	MyResourceGroup
   Name	Geben Sie einen Namen für den neuen privaten Endpunkt für Ihren Azure Managed Grafana-Arbeitsbereich ein.	MyPrivateEndpoint
   Name der Netzwerkschnittstelle	Dieses Feld wird automatisch ausgefüllt. Bearbeiten Sie optional den Namen der Netzwerkschnittstelle.	MyPrivateEndpoint-nic
   Region	Wählen Sie eine Region aus. Der private Endpunkt muss in derselben Region wie Ihr virtuelles Netzwerk bereitgestellt werden.	(USA) USA, Westen-Mitte

   

3. Wählen Sie Weiter: Ressource >> aus. Private Link bietet Optionen zum Erstellen privater Endpunkte für verschiedene Arten von Azure-Ressourcen. Der aktuelle Azure Managed Grafana-Arbeitsbereich wird automatisch in das Feld Ressource eingetragen.

   1. Der Ressourcentyp Microsoft.Dashboard/grafana und die Zielunterressource grafana zeigen an, dass Sie einen Endpunkt für einen Azure Managed Grafana-Arbeitsbereich erstellen.

   2. Der Name des Arbeitsbereichs wird unter Ressource aufgeführt.

      

4. Wählen Sie Weiter: Virtuelles Netzwerk> aus.

   1. Wählen Sie ein vorhandenes virtuelles Netzwerk aus, um den privaten Endpunkt bereitzustellen. Wenn Sie kein virtuelles Netzwerk besitzen, erstellen Sie ein virtuelles Netzwerk.

   2. Wählen Sie ein Subnetz aus der Liste aus.

   3. Die Netzwerkrichtlinie für private Endpunkte ist standardmäßig deaktiviert. Wählen Sie optional Bearbeiten aus, um eine Netzwerksicherheitsgruppe oder eine Routingtabellenrichtlinie hinzuzufügen. Diese Änderung wirkt sich auf alle privaten Endpunkte aus, die dem ausgewählten Subnetz zugeordnet sind.

   4. Wählen Sie unter Private IP-Konfiguration die Option aus, IP-Adressen dynamisch zuzuweisen. Weitere Informationen finden Sie unter Private IP-Adressen.

   5. Optional können Sie eine Anwendungssicherheitsgruppe auswählen oder erstellen. Mit Azure-Anwendungssicherheitsgruppen können Sie VMs gruppieren und basierend auf diesen Gruppen Netzwerksicherheitsrichtlinien definieren.

      

5. Wählen Sie Weiter: DNS> aus, um einen DNS-Eintrag zu konfigurieren. Wenn Sie keine Änderungen an den Standardeinstellungen vornehmen möchten, können Sie zur nächsten Registerkarte wechseln.

   1. Wählen Sie für In private DNS-Zone integrieren den Wert Ja aus, um Ihren privaten Endpunkt in eine private DNS-Zone zu integrieren. Sie können auch Ihre eigenen DNS-Server verwenden oder DNS-Einträge mithilfe der Hostdateien auf Ihren VMs erstellen.

   2. Eine Abonnement- und Ressourcengruppe für Ihre private DNS-Zone ist vorab ausgewählt. Sie können sie optional ändern.

   Weitere Informationen zur DNS-Konfiguration finden Sie in der Namenauflösung für Ressourcen in virtuellen Azure-Netzwerken und DNS-Konfigurationen für private Endpunkte. Die Werte für die private DNS-Zone von Azure Private Endpoint für Azure Managed Grafana sind unter Azure Services DNS-Zone aufgeführt.

   

6. Wählen Sie Weiter: Tags> aus und optional „Tags erstellen“. Tags sind Name/Wert-Paare, die Ihnen das Kategorisieren von Ressourcen und die Anzeige einer konsolidierten Abrechnung ermöglichen, indem Sie dasselbe Tag auf mehrere Ressourcen und Ressourcengruppen anwenden.

7. Wählen Sie Weiter: Überprüfen + Erstellen > aus, um Informationen zu Ihrem Azure Managed Grafana-Arbeitsbereich, privaten Endpunkt, virtuellem Netzwerk und DNS zu überprüfen. Sie können auch eine Vorlage für die Automatisierung herunterladen, um JSON-Daten später aus diesem Formular wiederzuverwenden.

8. Klicken Sie auf Erstellen.

Sobald die Bereitstellung abgeschlossen ist, erhalten Sie eine Benachrichtigung, dass Ihr Endpunkt erstellt wurde. Wenn diese automatisch genehmigt werden, können Sie auf Ihren Arbeitsbereich privat zugreifen. Andernfalls müssen Sie auf die Genehmigung warten.

Azure-Befehlszeilenschnittstelle

1. Um Ihren privaten Endpunkt einzurichten, benötigen Sie ein virtuelles Netzwerk. Erstellen Sie mit az network vnet create ein virtuelles Netzwerk. Ersetzen Sie die Platzhaltertexte <vnet>, <resource-group>, <subnet>, und <vnet-location> mit Namen für Ihr neues virtuelles Netzwerk, der Ressourcengruppe sowie dem Namen und dem Speicherort des VNet.

   az network vnet create --name <vnet> --resource-group <resource-group> --subnet-name <subnet> --location <vnet-location>
   

   Platzhalter	Beschreibung	Beispiel
   <vnet>	Geben Sie einen Namen für Ihr virtuelles Netzwerk ein. In einem virtuellen Netzwerk können Azure-Ressourcen wie virtuelle Computer privat miteinander und mit dem Internet kommunizieren.	MyVNet
   <resource-group>	Geben Sie den Namen einer vorhandenen Ressourcengruppe für Ihr virtuelles Netzwerk ein.	MyResourceGroup
   <subnet>	Geben Sie einen Namen für das neue Subnetz ein. Ein Subnetz ist ein Netzwerk innerhalb eines Netzwerks. Dies ist der Ort, an dem die private IP-Adresse zugewiesen ist.	MySubnet
   <vnet-location>	Geben Sie eine Azure-Region ein. Der private Endpunkt muss in derselben Region wie Ihr virtuelles Netzwerk bereitgestellt werden.	centralus

2. Führen Sie den Befehl az grafana show aus, um die Eigenschaften des Azure Managed Grafana-Arbeitsbereichs abzurufen, für die Sie privaten Zugriff einrichten möchten. Ersetzen Sie den Platzhalter <grafana-workspace> durch den Namen Ihres Arbeitsbereichs.

   az grafana show --name <grafana-workspace>
   

   Dieser Befehl generiert eine Ausgabe mit Informationen zu Ihrem Azure Managed Grafana-Arbeitsbereich. Notieren Sie sich den Wert von id. Zum Beispiel: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana.

3. Führen Sie den Befehl az network private-endpoint create aus, um einen privaten Endpunkt für Ihren Azure Managed Grafana-Arbeitsbereich zu erstellen. Ersetzen Sie den Platzhaltertext <resource-group>, <private-endpoint>, <vnet>, <private-connection-resource-id>, <connection-name> und <location> mit Ihren eigenen Informationen.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint> --vnet-name <vnet> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id grafana
   

   Platzhalter	Beschreibung	Beispiel
   <resource-group>	Geben Sie den Namen einer vorhandenen Ressourcengruppe für Ihren privaten Endpunkt ein.	MyResourceGroup
   <private-endpoint>	Geben Sie einen Namen für Ihren neuen privaten Endpunkt ein.	MyPrivateEndpoint
   <vnet>	Geben Sie den Namen eines vorhandenen VNET ein.	Myvnet
   <private-connection-resource-id>	Geben Sie die Ressourcen-ID der privaten Verbindung Ihres Azure Managed Grafana-Arbeitsbereichs ein. Dies ist die ID, die Sie aus der Ausgabe des vorherigen Schritts notiert haben.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana
   <connection-name>	Geben Sie einen Verbindungsnamen ein.	MyConnection
   <location>	Geben Sie eine Azure-Region ein. Der private Endpunkt muss in derselben Region wie Ihr virtuelles Netzwerk bereitgestellt werden.	centralus

Verwalten der Private Link-Verbindung

Portal

Gehen Sie in Ihrem Azure Managed Grafana-Arbeitsbereich zu Netzwerk>Privater Zugriff, um auf die privaten Endpunkte zuzugreifen, die mit Ihrem Arbeitsbereich verknüpft sind.

1. Überprüfen Sie den Verbindungsstatus Ihrer privaten Verbindung. Wenn Sie einen privaten Endpunkt erstellen, muss die Verbindung genehmigt werden. Wenn sich die Ressource, für die Sie einen privaten Endpunkt erstellen, in Ihrem Verzeichnis befindet und Sie über ausreichende Berechtigungen verfügen, können Sie die Verbindungsanforderung genehmigen. Andernfalls müssen Sie warten, bis der Besitzer dieser Ressource Ihre Verbindungsanforderung genehmigt. Weitere Informationen zu den Verbindungsgenehmigungsmodellen erhalten Sie unter Private Azure-Endpunkte verwalten.

2. Um eine Verbindung manuell zu genehmigen, abzulehnen oder zu entfernen, aktivieren Sie das Kontrollkästchen neben dem Endpunkt, den Sie bearbeiten möchten, und wählen Sie ein Aktionselement im oberen Menü aus.

3. Wählen Sie den Namen des privaten Endpunkts aus, um die private Endpunktressource zu öffnen und auf weitere Informationen zuzugreifen oder den privaten Endpunkt zu bearbeiten.

   

Azure-Befehlszeilenschnittstelle

Überprüfen aller Details von Verbindungen mit privaten Endpunkten

Führen Sie den Befehl az network private-endpoint-connection list aus, um alle privaten Endpunktverbindungen zu überprüfen, die mit Ihrem Azure Managed Grafana-Arbeitsbereich verknüpft sind, und überprüfen Sie den Verbindungsstatus. Ersetzen Sie die Platzhalter <resource-group> und <grafana-workspace> durch die Namen der Ressourcengruppe und des Azure Managed Grafana-Arbeitsbereichs.

az network private-endpoint-connection list --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Wenn Sie optional die Details eines bestimmten privaten Endpunkts abrufen möchten, verwenden Sie den Befehl az network private-endpoint-connection show. Ersetzen Sie die Platzhaltertexte <resource-group> und <grafana-workspace> mit den Namen der Ressourcengruppe und des Azure Managed Grafana-Arbeitsbereichs.

az network private-endpoint-connection show --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Methode zur Genehmigung der Verbindung

Wenn Sie einen privaten Endpunkt erstellen, muss die Verbindung genehmigt werden. Wenn sich die Ressource, für die Sie einen privaten Endpunkt erstellen, in Ihrem Verzeichnis befindet und Sie über ausreichende Berechtigungen verfügen, können Sie die Verbindungsanforderung genehmigen. Andernfalls müssen Sie warten, bis der Besitzer dieser Ressource Ihre Verbindungsanforderung genehmigt.

Verwenden Sie das Cmdlet az network private-endpoint-connection approve, um eine private Endpunktverbindung zu genehmigen. Ersetzen Sie die Platzhaltertexte <resource-group>, <private-endpoint> und <grafana-workspace> mit den Namen der Ressourcengruppe, des privaten Endpunkts und der Azure Managed Grafana-Ressource.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.Dashboard/grafana --resource-name <grafana-workspace>

Weitere Informationen zu den Verbindungsgenehmigungsmodellen erhalten Sie unter Private Azure-Endpunkte verwalten.

Löscht die Verbindung mit einem privatem Endpunkt

Verwenden Sie das Cmdlet az network private-endpoint-connection delete, um eine private Endpunktverbindung zu löschen. Ersetzen Sie die Platzhaltertexte <resource-group> und <private-endpoint> mit dem Namen der Ressourcengruppe und dem Namen des privaten Endpunkts.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Weitere CLI-Befehle erhalten Sie unter az network private-endpoint-connection

Wenn Probleme mit einem privaten Endpunkt auftreten, lesen Sie den folgenden Leitfaden: Behandeln von Verbindungsproblemen mit Azure Private Endpoint.

Nächste Schritte

In dieser Anleitung haben Sie erfahren, wie Sie für Ihre Benutzerinnen und Benutzer privaten Zugriff auf einen Azure Managed Grafana-Arbeitsbereich einrichten. Wie Sie den privaten Zugriff zwischen einem Managed Grafana-Arbeitsbereich und einer Datenquelle konfigurieren können, erfahren Sie unter Private Verbindung mit einer Datenquelle.