Configuración de private link para Azure Monitor

En este artículo se proporcionan detalles paso a paso para crear y configurar un Azure Monitor Private Link Scope (AMPLS) mediante varios métodos.

La configuración de una instancia de Azure Private Link requiere los pasos siguientes. Cada uno de estos pasos se detalla en las secciones siguientes.

1. Crear un ámbito de Azure Monitor Private Link (AMPLS).
2. Conecta los recursos de Azure Monitor al AMPLS.
3. Conecte AMPLS a un punto de conexión privado.

Crear ámbito de Azure Monitor Private Link (AMPLS)

Azure portal

En el menú Monitor del portal de Azure, seleccione Private Link Scopes y, a continuación, Create.

Pestaña Aspectos básicos

En la tabla siguiente se describen las propiedades que debe establecer al crear el AMPLS. Seleccione Siguiente: Revisar y crear su AMPLS.

Propiedad	Description
Subscription	Seleccione la suscripción Azure que se va a usar.
Grupo de recursos	Seleccione un grupo de recursos existente o cree uno nuevo.
Nombre	Escriba un nombre para AMPLS. El nombre debe ser único dentro del grupo de recursos seleccionado.
Modo de acceso de consulta Modo de acceso de ingesta	Seleccione el modo de acceso para AMPLS. Open para permitir consultas desde redes públicas no conectadas a través de un Private Link Scope, o PrivateOnly para permitir consultas solo desde redes privadas conectadas. Puede cambiar esta configuración más adelante para el propio AMPLS o para distintos puntos de conexión privados conectados a él.

CLI

Usa az resource create para crear una nueva AMPLS. En el ejemplo siguiente se crea un nuevo AMPLS denominado my-scope con el modo de acceso de consulta establecido en Open y los modos de acceso de ingesta establecidos en PrivateOnly.

az resource create \
    --resource-group "my-resource-group"
    --name "my-scope"
    -location global
    --api-version "2021-07-01-preview" 
    --resource-type Microsoft.Insights/privateLinkScopes 
    --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"PrivateOnly\"}}"

PowerShell

Usa New-Resource para crear una nueva AMPLS. En el ejemplo siguiente se crea un nuevo AMPLS denominado my-scope con el modo de acceso de consulta establecido en Open y los modos de acceso de ingesta establecidos en PrivateOnly.

$scope = New-AzResource `
    -Location Global `
    -ResourceGroupName my-resource-group `
    -ResourceType Microsoft.Insights/privateLinkScopes `
    -ResourceName my-scope -ApiVersion 2021-07-01-preview `
    -Properties @{ accessModeSettings = @{ queryAccessMode = 'Open'; ingestionAccessMode = 'PrivateOnly' }} `
    -Force

Conecte los recursos a AMPLS

Una vez creado el AMPLS, puede agregarle Azure Monitor recursos. Estos recursos estarán disponibles para todos los recursos de la red virtual conectada. Consulte AMPLS para obtener una descripción de los recursos que se pueden agregar a un AMPLS.

Azure portal

En el menú de AMPLS, seleccione Azure Monitor Resources y, a continuación, Agregar. Seleccione el componente y seleccione Aplicar para agregarlo al ámbito. Solo están disponibles los recursos de Azure Monitor, incluidos los espacios de trabajo de Log Analytics y los puntos de conexión de recopilación de datos (DCE).

Nota:

La eliminación de los recursos de Azure Monitor requiere que primero se desconecten de los objetos AMPLS a los que están conectados. No es posible eliminar recursos conectados a un objeto AMPLS.

CLI

Use az monitor private-link-scope scoped-resource create para agregar un recurso a AMPLS. En el ejemplo siguiente se agrega un área de trabajo de Log Analytics a AMPLS.

az monitor private-link-scope scoped-resource create \
  --resource-group my-resource-group \
  --scope-name my-ampls \
  --name law-association \
  --linked-resource /subscriptions/71b36fb6-4fe4-4664-9a7b-245dc62f2930/resourcegroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace

PowerShell

Use New-AzInsightsPrivateLinkScopedResource para agregar un recurso a AMPLS. En el ejemplo siguiente se agrega un área de trabajo de Log Analytics a AMPLS.

New-AzInsightsPrivateLinkScopedResource `
    -ResourceGroupName "my-resource-group" `
    -ScopeName "my-scope" `
    -Name "my-workspace-association" `
    -LinkedResourceId "/subscriptions/71b36fb6-4fe4-4664-9a7b-245dc62f2930/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace"

Conectar AMPLS a un punto de conexión privado

Se necesita un punto de conexión privado para conectar AMPLS a la red virtual. Un punto de conexión privado es una interfaz de red especial para un servicio Azure en la red virtual. Al punto de conexión privado se le asigna una dirección IP del intervalo de direcciones IP de la red virtual. Una vez creado este punto de conexión privado, se podrá acceder a los recursos conectados a AMPLS desde la red virtual a través del punto de conexión privado.

Azure portal

Nota:

Para obtener más información sobre los puntos de conexión privados, consulte Crear un punto de conexión privado mediante Azure portal.

Desde el menú de AMPLS, seleccione Conexiones de punto de conexión privado y, a continuación, Punto de conexión privado. También puede aprobar las conexiones que se iniciaron en Private Link Center aquí seleccionándolas y seleccionando Approve.

Pestaña Aspectos básicos

La pestaña Aspectos básicos tiene información general para el punto de conexión privado, incluido un nombre único para él.

Propiedad	Description
Subscription	Seleccione la suscripción que se va a usar para el punto de conexión.
Grupo de recursos	Seleccione un recurso existente para el grupo de puntos de conexión o cree uno nuevo.
Nombre	Escriba un nombre para el punto de conexión privado. El nombre debe ser único dentro del grupo de recursos seleccionado.
Nombre de la interfaz de red	Escriba un nombre para la interfaz de red creada para el punto de conexión privado.
Región	Seleccione la región en la que se debe crear el punto de conexión privado. La región debe ser la misma que la red virtual a la que se conecte.

Pestaña Recurso

Tiene la opción de seleccionar el recurso en los cuadros de texto o seleccionar Conectar a un recurso de Azure por identificador de recurso o alias. y pegue el identificador de recurso de AMPLS.

Propiedad	Description
Suscripción que contiene tus AMPLS.
Tipo de recurso	Microsoft.insights/privateLinkScopes
Resource	Nombre de su AMPLS
Recurso secundario de destino	azuremonitor

pestaña de Red Virtual

La pestaña Virtual Network permite seleccionar la red virtual y la subred a las que conectar el punto de conexión privado.

Propiedad	Description
Red de área virtual Subnet	La red virtual y la subred, junto con los recursos que se conectarán a tus recursos de Azure Monitor.
Directiva de red para los puntos de conexión privados	Seleccione Editar si desea aplicar grupos de seguridad de red o tablas de rutas a la subred que contiene el punto de conexión privado. Consulte Administración de directivas de red para puntos de conexión privados para obtener más información.
Configuración de IP privada	De forma predeterminada, se selecciona Asignar dinámicamente la dirección IP . Si desea asignar una dirección IP estática, seleccione Asignar dirección IP de forma estática y, a continuación, escriba un nombre y una IP privada.
Grupo de seguridad de aplicaciones	Opcionalmente, cree grupos de seguridad de aplicaciones para agrupar máquinas virtuales y definir directivas de seguridad de red basadas en esos grupos.

Pestaña DNS

La pestaña DNS permite seleccionar si se crea automáticamente una zona DNS privada para el punto de conexión privado. Esta zona DNS privada tendrá los registros DNS necesarios para enrutar el tráfico de la red virtual a Azure Monitor a través del vínculo privado.

Propiedad	Description
Integración con una zona DNS privada	Seleccione Sí para crear automáticamente una nueva zona DNS privada. Las zonas DNS reales pueden diferir de la siguiente captura de pantalla.

Si prefiere administrar los registros DNS manualmente, primero termine de configurar el vínculo privado. Incluya este punto de conexión privado y la configuración de AMPLS, y luego configure su DNS según las instrucciones de Configuración de DNS de Azure para el punto de conexión privado. Asegúrese de no crear registros vacíos como preparación para la configuración de vínculo privado. Los registros DNS que cree pueden invalidar la configuración existente y afectar a la conectividad con Azure Monitor.

Tanto si decide integrar con la zona DNS privada como si utiliza sus propios servidores DNS personalizados, debe configurar reenviadores condicionales para los reenviadores de zona DNS pública mencionados en Configuración DNS de Azure para el punto de conexión privado. Los reenviadores condicionales deben reenviar las consultas DNS a Azure DNS.

CLI

Crear un punto de conexión privado mediante Azure CLI

PowerShell

Crear un punto de conexión privado mediante Azure PowerShell

Configuración del modo de acceso para el punto de conexión privado

Si desea que el vínculo privado use un modo de acceso diferente al predeterminado para AMPLS, configúrelo desde el menú Modos de acceso para AMPLS. En la sección Exclusiones , seleccione el punto de conexión privado y un modo de acceso para la ingesta y consulta.

Expandir la plantilla de ARM

La siguiente plantilla de ARM realiza lo siguiente:

• AMPLS llamado "my-scope", con los modos de acceso para consulta e ingesta configurados en Open.
• Un área de trabajo de Log Analytics denominada "my-workspace".
• Agrega un recurso con ámbito al "my-scope" AMPLS denominado "my-workspace-connection".

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2023-06-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2025-07-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2023-06-01-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Expandir plantilla para Bicep

La siguiente plantilla Bicep realiza lo siguiente:

• AMPLS llamado 'my-scope', con los modos de acceso para consulta e ingesta configurados en Open.
• Un área de trabajo de Log Analytics denominada 'my-workspace'.
• Agrega un recurso con ámbito al 'my-scope' AMPLS denominado 'my-workspace-connection'.

param private_link_scope_name string = 'my-scope'
param workspace_name string = 'my-workspace'

resource private_link_scope_name_resource 'microsoft.insights/privatelinkscopes@2023-06-01-preview' = {
    name: private_link_scope_name
    location: 'global'
    properties: {
        accessModeSettings: {
            queryAccessMode: 'Open'
            ingestionAccessMode: 'Open'
        }
    }
}

resource workspace_name_resource 'microsoft.operationalinsights/workspaces@2025-07-01' = {
    name: workspace_name
    location: 'westeurope'
    properties: {
        sku: {
            name: 'pergb2018'
        }
        publicNetworkAccessForIngestion: 'Enabled'
        publicNetworkAccessForQuery: 'Enabled'
    }
}

resource private_link_scope_name_workspace_name_connection 'microsoft.insights/privatelinkscopes/scopedresources@2023-06-01-preview' = {
    parent: private_link_scope_name_resource
    name: '${workspace_name}-connection'
    properties: {
        linkedResourceId: workspace_name_resource.id
    }
}

Revisar y validar la configuración AMPLS

Siga los pasos de esta sección para revisar y validar la configuración de vínculo privado.

Revisar la configuración de DNS del punto de conexión

El punto de conexión privado creado en este artículo debería tener las siguientes cinco zonas DNS configuradas:

• privatelink.monitor.azure.com
• privatelink.oms.opinsights.azure.com
• privatelink.ods.opinsights.azure.com
• privatelink.agentsvc.azure-automation.net
• privatelink.blob.core.windows.net

Cada una de estas zonas asigna puntos de conexión de Azure Monitor específicos a direcciones IP privadas del grupo de direcciones IP de la red virtual. Las direcciones IP que se muestran en las imágenes siguientes son solo ejemplos. En su lugar, la configuración debería mostrar direcciones IP privadas de su propia red.

Zona privatelink-monitor-azure-com

Esta zona cubre los puntos de conexión globales usados por Azure Monitor, lo que significa que los puntos de conexión atienden solicitudes global o regionalmente y no solicitudes específicas de recursos. Esta zona debe tener puntos de conexión asignados para lo siguiente:

• in.ai: punto de conexión de ingesta de Application Insights (una entrada global y una regional).
• api: punto de conexión de Application Insights y API de Log Analytics.
• live: punto de conexión de métricas en directo de Application Insights.
• profiler: punto de conexión de Profiler de Application Insights para .NET.
• snapshot: punto de conexión de instantánea de Application Insights.
• diagservices-query: Application Insights Profiler para .NET y Snapshot Debugger (se usan al acceder a los resultados del profiler o del depurador en Azure Portal).

Esta zona también abarca los puntos de conexión específicos del recurso para los siguientes DCE:

• <unique-dce-identifier>.<regionname>.handler.control: punto de conexión de configuración privado, parte de un recurso DCE.

• <unique-dce-identifier>.<regionname>.ingest: punto de conexión de ingesta privado, parte de un recurso DCE.

  

puntos de conexión de Log Analytics

Log Analytics usa las cuatro zonas DNS siguientes:

• privatelink-oms-opinsights-azure-com: Cubre el mapeo específico del área de trabajo a los puntos de conexión AMA. Deberías ver una entrada para cada espacio de trabajo vinculado al AMPLS conectado a este punto de conexión privado.
• privatelink-ods-opinsights-azure-com: cubre la asignación específica del área de trabajo a los puntos de conexión de ODS, que son puntos de conexión de ingesta de Log Analytics. Deberías ver una entrada para cada espacio de trabajo vinculado al AMPLS conectado a este punto de conexión privado.
• privatelink-agentsvc-azure-automation-net*: cubre la asignación específica del área de trabajo a los puntos de conexión de automatización del servicio del agente. Deberías ver una entrada para cada espacio de trabajo vinculado al AMPLS conectado a este punto de conexión privado.
• privatelink-blob-core-windows-net: configura la conectividad con la cuenta de almacenamiento de paquetes de soluciones de los agentes globales. A través de ella, los agentes pueden descargar paquetes de soluciones nuevos o actualizados, que también son conocidos como módulos de administración. Solo se requiere una entrada para controlar todos los agentes de Log Analytics, independientemente del número de áreas de trabajo que se usen. Esta entrada solo se agrega a las configuraciones de enlaces privados creadas en o después del 19 de abril de 2021 (o a partir de junio de 2021 en nubes soberanas de Azure).

En la captura de pantalla siguiente se muestran los puntos de conexión asignados para un AMPLS con dos áreas de trabajo en el Este de EE. UU. y una en el Oeste de Europa. Observe que las áreas de trabajo del Este de EE. UU. comparten las direcciones IP. El punto de conexión del área de trabajo del Oeste de Europa está asignado a una dirección IP diferente. El punto de conexión del blob está configurado, pero no aparece en esta imagen.

Validar la comunicación en AMPLS

• Para validar que las solicitudes ya se envían a través del punto de conexión privado, revíselas con su explorador o con una herramienta de seguimiento de red. Por ejemplo, al intentar consultar el área de trabajo o la aplicación, asegúrese de que la solicitud se envía a la dirección IP privada asignada al punto de conexión de la API. En este ejemplo, es 172.17.0.9.

Nota:

Algunos exploradores pueden usar otras configuraciones de DNS. Para obtener más información, consulte Configuración de DNS de explorador. Asegúrese de que se aplica la configuración de DNS.

• Para asegurarse de que las áreas de trabajo o los componentes no reciben solicitudes de redes públicas (no conectadas a través de AMPLS), establezca las marcas de consulta y ingesta pública del recurso en No , como se explica en Configuración del modo de acceso para el punto de conexión privado.

• Desde un cliente de la red protegida, use nslookup para cualquiera de los puntos de conexión enumerados en las zonas DNS. El servidor DNS debe resolverlo en las direcciones IP privadas asignadas en lugar de las direcciones IP públicas que se usan de manera predeterminada.

Pruebas de manera local

Para probar los vínculos privados localmente sin afectar a otros clientes de la red, asegúrese de no actualizar el DNS al crear el punto de conexión privado. En su lugar, edite el archivo de hosts en la máquina para que envíe solicitudes a los puntos de conexión de vínculo privado:

• Configure una instancia de vínculo privado, pero, al conectarla a un punto de conexión privado, elija la opción para no integrarla automáticamente con el DNS.
• Configure los puntos de conexión pertinentes en los archivos de hosts de las máquinas.

Configuración adicional

Tamaño de subred de la red

La subred IPv4 más pequeña admitida es /27 con definiciones de subred CIDR. Aunque las redes virtuales de Azure pueden ser tan pequeñas como /29, Azure reserva cinco direcciones IP. La configuración de Azure Monitor para el enlace privado requiere al menos 11 direcciones IP más, incluso si se conecta a un solo espacio de trabajo. Revise la configuración DNS del punto de conexión para obtener la lista de puntos de conexión de vínculo privado de Azure Monitor.

portal de Azure

Para usar experiencias del portal de Azure Monitor para Application Insights, Log Analytics y DCE, permita que el portal de Azure y las extensiones de Azure Monitor sean accesibles en las redes privadas. Agregue las etiquetas de servicioAzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstParty y AzureFrontdoor.Frontend al grupo de seguridad de red.

Acceso mediante programación

Para usar la API REST, el Azure CLI, o PowerShell con Azure Monitor en redes privadas, agregue las etiquetas serviceAzureActiveDirectory y AzureResourceManager al firewall.

Configuración de DNS del explorador

Si se conecta a los recursos de Azure Monitor a través de un vínculo privado, el tráfico a estos recursos debe pasar por el punto de conexión privado configurado en la red. Para habilitar el extremo privado, actualice la configuración de DNS tal como se describe en Conectarse a un punto de conexión privado. Algunos navegadores usan su propia configuración de DNS en lugar de las que tú configuraste. El explorador podría intentar conectarse a los puntos de conexión públicos de Azure Monitor y omitir completamente el vínculo privado. Compruebe que la configuración de su explorador no invalide ni guarde en caché la configuración de DNS anterior.

Configuración de acceso a la red local del explorador

Al acceder a los recursos Azure Monitor en el portal de Azure a través de un ámbito de Azure Monitor Private Link (AMPLS), es posible que el portal tenga que enviar solicitudes a direcciones IP privadas. Los exploradores basados en Chromium (incluidos Microsoft Edge y Google Chrome) pueden bloquear estas solicitudes a menos que el usuario o la organización permitan el acceso a la red local.

Si se bloquean estas solicitudes, algunas experiencias de Azure Monitor en el portal (por ejemplo, registros y vistas de investigación de Application Insights) pueden mostrar "No se puede conectar" o errores similares.

Permitir el acceso a la red local

1. Si ve un mensaje del explorador
   Cuando el explorador muestre un mensaje que solicita permiso para conectarse a la red local, seleccione Permitir. Normalmente, el explorador recuerda esta opción para el sitio.

2. Si no ve un mensaje de aviso (Microsoft Edge)
   En Edge, puede permitir el portal de Azure en permisos de sitio:
   Configuración>Privacidad, búsqueda y servicios>Permisos> de sitioTodos los permisos>Acceso a la red local.

3. Entornos administrados por la empresa
   Los administradores pueden incluir en la lista de permitidos Azure Portal mediante la directiva de Edge LocalNetworkAccessAllowedForUrls.

   Valor de ejemplo (Azure público): https://portal.azure.com

   Si usa una nube de Azure diferente, use la dirección URL del portal correspondiente.

Nota:

El ámbito de Private Link de Azure Monitor (AMPLS) resuelve los puntos de conexión de Azure Monitor en direcciones IP privadas para que las consultas de datos del portal permanezcan en la red privada. Los exploradores basados en Chromium tratan las solicitudes de un sitio web público (el portal de Azure) a direcciones de red privadas como una operación confidencial y pueden bloquearlas a menos que se permita el acceso a la red local. Al permitir este acceso, se restauran experiencias completas del portal, como los registros y las vistas de investigación de Application Insights, cuando necesitan llegar a puntos de conexión privados. Para obtener más información, consulte Nueva solicitud de permisos para el acceso a la red local.

Limitación de consultas: operador externaldata

• No se admite el operador externaldata a través de un vínculo privado, ya que lee los datos de las cuentas de almacenamiento, pero no garantiza que se tenga acceso al almacenamiento de forma privada.
• El proxy de Azure Data Explorer (proxy ADX) permite que las consultas de registro consulten a Azure Data Explorer. El proxy ADX no es compatible por medio de un vínculo privado, ya que no garantiza el acceso privado al recurso de destino.

Pasos siguientes

• Más información sobre el almacenamiento privado para registros personalizados y claves administradas por el cliente.
• Más información sobre los nuevos puntos de conexión de recopilación de datos.