Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Private Link permite vincular de forma segura los recursos de la plataforma de datos como servicio (PaaS) de Azure a la red virtual (VNet) mediante puntos de conexión privados. En este artículo se describe cómo usar private link con recursos de Azure Monitor.
Ventajas
Azure Monitor comparte las mismas ventajas de private link que otros servicios, como se describe en Ventajas clave de Private Link.
- Conéctese de forma privada a los recursos de Azure Monitor, incluidas las áreas de trabajo de Log Analytics y las áreas de trabajo de Azure Monitor, sin permitir el acceso a la red pública. Asegurarse de que solo se accede a los datos de supervisión a través de redes privadas autorizadas.
- Impedir la filtración de datos de las redes privadas mediante la definición de recursos de Azure Monitor específicos que se conectan a través del punto de conexión privado.
- Conéctese de forma segura a Azure Monitor desde redes locales que se conecten a la red virtual mediante VPN o ExpressRoutes con emparejamiento privado.
- Mantenga todo el tráfico de supervisión dentro de la red troncal de Azure.
Conceptos básicos
Los vínculos privados para Azure Monitor se estructuran de forma diferente a los vínculos privados para otros servicios. En lugar de crear un vínculo privado para cada recurso al que se conecta la red virtual, Azure Monitor usa una única conexión de vínculo privado mediante un punto de conexión privado desde la red virtual hacia un ámbito de Azure Monitor Private Link (AMPLS). AMPLS es un conjunto de recursos de Azure Monitor que definen los límites de la red de supervisión.
El punto de conexión privado usa una dirección IP independiente dentro del espacio de direcciones de la red virtual, lo que permite acceder a los recursos de AMPLS de forma privada desde la red virtual sin usar direcciones IP públicas. El tráfico de los clientes de la red virtual a los recursos de Azure Monitor atraviesa la red troncal de Azure, lo que elimina la exposición a la red pública de Internet. Las aplicaciones de la red virtual pueden conectarse a los recursos de AMPLS a través del punto de conexión privado sin problemas, mediante las mismas cadenas de conexión y mecanismos de autorización que usarían de lo contrario.
Puntos de conexión globales y regionales compartidos
Al crear un AMPLS, las zonas DNS asignan puntos de conexión de Azure Monitor a direcciones IP privadas para enviar tráfico a través del vínculo privado. Algunos recursos de Azure Monitor usan puntos de conexión específicos de recursos, mientras que otros usan puntos de conexión compartidos. Un recurso también puede usar un punto de conexión específico del recurso para una función, pero puntos de conexión compartidos para otra función. Debe comprender la diferencia entre cada uno y cómo cada recurso de Azure Monitor los usa para configurar correctamente el vínculo privado y los recursos de AMPLS.
Puntos de conexión específicos del recurso
Los puntos de conexión específicos del recurso son únicos para un recurso específico y deben configurarse individualmente. Agregar un punto de conexión específico del recurso al AMPLS solo permite el acceso de vínculo privado a ese recurso en particular.
- Ingesta del área de trabajo de Log Analytics
- Puntos de conexión de recopilación de datos
Puntos de conexión compartidos
Los puntos de conexión compartidos se comparten entre varios recursos del mismo tipo. Al agregar un único recurso a AMPLS que utiliza puntos de conexión compartidos, se cambiará la configuración de DNS, lo cual afecta al tráfico de todos los recursos que utilizan puntos de conexión compartidos.
- Consultas del área de trabajo de Log Analytics
- Ingesta de datos en Application Insights
Por ejemplo, las áreas de trabajo de Log Analytics usan puntos de conexión compartidos para las consultas de registro. Al agregar un único área de trabajo de Log Analytics a ampLS, el DNS de esa red virtual se actualiza para acceder a ese punto de conexión compartido a través de un vínculo privado. Dado que todas las áreas de trabajo de Log Analytics comparten ese punto de conexión, las consultas a todas las áreas de trabajo de Log Analytics de esa red virtual usarán las direcciones IP privadas.
Debe usar un único AMPLS para todas las redes que comparten el mismo DNS. La creación de varios recursos de AMPLS hará que las zonas DNS de Azure Monitor se invaliden entre sí e interrumpan los entornos existentes. Consulte Planear por topología de red para obtener más detalles y ejemplos.
Recursos de AMPLS
Los recursos de la tabla siguiente se pueden agregar a un AMPLS.
| Resource | Description |
|---|---|
| Áreas de trabajo de Log Analytics | Compatibilidad con la ingesta de datos de registro y consultas mediante KQL. Agregue áreas de trabajo de Log Analytics a AMPLS para habilitar la ingesta y las consultas. La incorporación usa un endpoint específico del recurso mientras las consultas usan un endpoint compartido. |
| Puntos de conexión de recopilación de datos (DCE) | Recursos de Azure que definen un conjunto único de puntos de conexión relacionados con la recopilación, configuración e ingesta de datos en Azure Monitor. Los DCE usan la ingesta específica del recurso. La configuración de un DCE para varios clientes no afecta al procesamiento de telemetría de otros clientes en la misma red virtual. Añadir DCE a AMPLS para soportar lo siguiente: - Ingesta de datos para áreas de trabajo de Azure Monitor. : recupere la configuración de los clientes que usan el agente de Azure Monitor (AMA), como máquinas virtuales y clústeres de Kubernetes. |
| Application Insights | Incorporación de datos de aplicaciones supervisadas, incluidas las métricas en tiempo real, el .NET Profiler y el depurador. Los puntos de conexión que gestionan la importación de datos de Application Insights son globales. |
Nota:
Áreas de trabajo de Azure Monitor
Las áreas de trabajo de Azure Monitor admiten la ingesta de datos y consultas de métricas mediante PromQL. Aunque se puede acceder a las áreas de trabajo de Azure Monitor con private link, no se agregan a AMPLS. Cuando se crea un área de trabajo de Azure Monitor, se crea automáticamente un DCE para él. Este DCE debe agregarse a AMPLS para admitir la ingesta de datos en el área de trabajo. Para admitir consultas, es necesario crear un punto de conexión privado administrado para el área de trabajo y agregarlo a AMPLS.
Modos de acceso
Los modos de acceso para AMPLS permiten controlar cómo afectan los vínculos privados al tráfico de red. Cada AMPLS tiene un modo de acceso independiente para la ingesta y las consultas, y puede elegir diferentes modos de acceso para cada red virtual conectada a la misma AMPLS. En la tabla siguiente se describe cada modo de acceso. Consulte Diseño de la configuración de private link de Azure Monitor para obtener más información sobre cómo elegir el modo de acceso adecuado para su entorno.
| Modo de acceso | Description |
|---|---|
| Abierto | Permite que la red virtual conectada llegue tanto a recursos de vínculo privado como a recursos que no estén en AMPLS. El tráfico a recursos de vínculo privado se valida y envía a través de puntos de conexión privados, pero no se puede evitar la filtración de datos porque el tráfico puede llegar a los recursos fuera de AMPLS. Este modo permite un proceso de incorporación gradual, combinando el acceso de vínculo privado a algunos recursos y acceso público a otros. |
| Exclusivamente privado | Permite que la red virtual conectada acceda únicamente a los recursos de vínculo privado en AMPLS. Esta es la opción más segura y evita la filtración de datos bloqueando el tráfico fuera de AMPLS a los recursos de Azure Monitor. Solo debe seleccionarlo después de que se hayan agregado todos los recursos de Azure Monitor a AMPLS. El tráfico a otros recursos se bloqueará en redes, suscripciones e inquilinos. |
Precios
Para más información sobre los precios, consulte Precios de Azure Private Link.
Pasos siguientes
- Diseño de la configuración de Azure Private Link.
- Aprenda a configurar su vínculo privado.
- Más información sobre el almacenamiento privado para registros personalizados y claves administradas por el cliente.