Privát végpontok használata felügyelt Prometheus- és Azure Monitor-munkaterülethez
Használjon privát végpontokat a felügyelt Prometheushoz és az Azure Monitor-munkaterülethez, hogy a virtuális hálózaton (VNet) lévő ügyfelek biztonságosan lekérdezhessenek adatokat egy Private Link keresztül. A privát végpont egy külön IP-címet használ az Azure Monitor-munkaterület erőforrásának virtuális hálózati címterén belül. A virtuális hálózaton lévő ügyfelek és a munkaterületi erőforrás közötti hálózati forgalom áthalad a virtuális hálózaton és egy privát kapcsolaton a Microsoft gerinchálózatán, így kiküszöböli a nyilvános internetről való kitettséget.
Megjegyzés
Ha az Azure Managed Grafanát használja az adatok lekérdezéséhez, konfiguráljon egy felügyelt privát végpontot , hogy a felügyelt Grafana és az Azure Monitor-munkaterület közötti lekérdezések az interneten keresztüli használat nélkül használják a Microsoft gerinchálózatát.
A privát végpontok munkaterülethez való használata lehetővé teszi a következőket:
- A munkaterület biztonságossá tételéhez konfigurálja a nyilvános hozzáférési hálózati beállítást úgy, hogy a munkaterület nyilvános lekérdezési végpontján lévő összes kapcsolatot letiltsa.
- Növelje a virtuális hálózat biztonságát azáltal, hogy lehetővé teszi az adatok kiszivárgásának letiltását a virtuális hálózatról.
- Biztonságosan csatlakozhat olyan helyszíni hálózatokról származó munkaterületekhez, amelyek VPN vagy ExpressRoutes használatával csatlakoznak a virtuális hálózathoz privát társviszony-létesítéssel.
Fogalmi áttekintés
A privát végpont egy speciális hálózati adapter a Virtual Network (VNet) egy Azure-szolgáltatásához. Amikor privát végpontot hoz létre a munkaterülethez, az biztonságos kapcsolatot biztosít a virtuális hálózaton lévő ügyfelek és a munkaterület között. A privát végponthoz egy IP-cím van hozzárendelve a virtuális hálózat IP-címtartományából. A privát végpont és a munkaterület közötti kapcsolat biztonságos privát kapcsolatot használ.
A virtuális hálózatban lévő alkalmazások zökkenőmentesen csatlakozhatnak a munkaterülethez a privát végponton keresztül ugyanazokkal a kapcsolati sztringekkel és engedélyezési mechanizmusokkal, amelyeket egyébként használnának.
A privát végpontok szolgáltatásvégpontokat használó alhálózatokban hozhatók létre. Az alhálózatban lévő ügyfelek ezután privát végpont használatával csatlakozhatnak egy munkaterülethez, miközben szolgáltatásvégpontok használatával más szolgáltatásokhoz is hozzáférhetnek.
Amikor privát végpontot hoz létre egy munkaterülethez a virtuális hálózaton, a rendszer jóváhagyásra vonatkozó hozzájárulási kérelmet küld a munkaterületfiók tulajdonosának. Ha a privát végpont létrehozását kérő felhasználó egyben a munkaterület tulajdonosa is, a rendszer automatikusan jóváhagyja ezt a hozzájárulási kérést.
Az Azure Monitor-munkaterület tulajdonosai a hozzájárulási kérelmeket és a privát végpontokat a munkaterület Hálózat lapjának "Privát hozzáférés" lapján kezelhetik a Azure Portal.
Tipp
Ha csak a privát végponton keresztül szeretné korlátozni a munkaterülethez való hozzáférést, válassza a "Nyilvános hozzáférés letiltása és privát hozzáférés használata" lehetőséget a munkaterület Hálózat lapjának "Nyilvános hozzáférés" lapján a Azure Portal.
Privát végpont létrehozása
Ha privát végpontot szeretne létrehozni a Azure Portal, a PowerShell vagy az Azure CLI használatával, tekintse meg az alábbi cikkeket. A cikkek egy Azure-webalkalmazást használnak célszolgáltatásként, de a privát kapcsolat létrehozásának lépései megegyeznek az Azure Monitor-munkaterületek esetében.
Privát végpont létrehozásakor válassza ki az ErőforrástípustMicrosoft.Monitor/accounts , és adja meg azt az Azure Monitor-munkaterületet, amelyhez csatlakozik. Válassza ki prometheusMetrics a Cél alerőforrást.
Csatlakozás privát végponthoz
A privát végpontot használó virtuális hálózaton lévő ügyfeleknek ugyanazt a lekérdezési végpontot kell használniuk az Azure Monitor-munkaterülethez, mint a nyilvános végponthoz csatlakozó ügyfeleknek. A DNS-feloldás segítségével automatikusan átirányítjuk a virtuális hálózatról a munkaterületre irányuló kapcsolatokat egy privát kapcsolaton keresztül.
Alapértelmezés szerint létrehozunk egy privát DNS-zónát a virtuális hálózathoz csatolva a privát végpontokhoz szükséges frissítésekkel. Ha azonban saját DNS-kiszolgálót használ, előfordulhat, hogy további módosításokat kell végeznie a DNS-konfiguráción. Az alábbi DNS-módosításokról szóló szakasz a privát végpontokhoz szükséges frissítéseket ismerteti.
PRIVÁT végpontok DNS-változásai
Megjegyzés
A PRIVÁT végpontok DNS-beállításainak konfigurálásával kapcsolatos részletekért lásd: Azure Privát végpont DNS-konfigurációja.
Privát végpont létrehozásakor a munkaterület DNS CNAME erőforrásrekordja egy altartományban lévő aliasra frissül az előtaggal privatelink. Alapértelmezés szerint az altartománynak privatelink megfelelő privát DNS-zónát is létrehozunk a privát végpontok DNS A erőforrásrekordjaival.
Ha a lekérdezési végpont URL-címét a virtuális hálózaton kívülről oldja fel a privát végponttal, az a munkaterület nyilvános végpontjára lesz feloldva. A privát végpontot üzemeltető virtuális hálózatról feloldva a lekérdezési végpont URL-címe a privát végpont IP-címére lesz feloldva.
Az alábbi példában az USA keleti régiójában található helyet használjuk k8s02-workspace . Az erőforrásnév nem garantáltan egyedi, ezért a név után néhány karaktert fel kell venni, hogy egyedivé tegyük az URL-címet; például: k8s02-workspace-<key>. Ez az egyedi lekérdezési végpont az Azure Monitor-munkaterület Áttekintés oldalán jelenik meg.
Az Azure Monitor-munkaterület DNS-erőforrásrekordjai, ha a feloldás a privát végpontot üzemeltető virtuális hálózaton kívülről történik, a következők:
| Név | Típus | Érték |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
CNAME | <AMW regionális szolgáltatás nyilvános végpontja> |
| <AMW regionális szolgáltatás nyilvános végpontja> | A | <AMW regionális szolgáltatás nyilvános IP-címe> |
Ahogy korábban említettük, a munkaterület Hálózat lapjának "Nyilvános hozzáférés" lapján megtagadhatja vagy szabályozhatja a virtuális hálózaton kívüli ügyfelek hozzáférését a nyilvános végponton keresztül.
A "k8s02-workspace" DNS-erőforrásrekordjai, amikor a privát végpontot üzemeltető virtuális hálózaton lévő ügyfél feloldja, a következők:
| Név | Típus | Érték |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
A | <Privát végpont IP-címe> |
Ez a megközelítés lehetővé teszi a munkaterülethez való hozzáférést ugyanazzal a lekérdezési végponttal a privát végpontokat üzemeltető virtuális hálózaton lévő ügyfelek, valamint a virtuális hálózaton kívüli ügyfelek számára.
Ha egyéni DNS-kiszolgálót használ a hálózaton, az ügyfeleknek képesnek kell lenniük feloldani a munkaterület lekérdezési végpontjának teljes tartománynevét a privát végpont IP-címére. Konfigurálja úgy a DNS-kiszolgálót, hogy delegálja a privát kapcsolat altartományát a virtuális hálózat privát DNS-zónájához, vagy konfigurálja az A rekordokat k8s02-workspace a privát végpont IP-címével.
Tipp
Egyéni vagy helyszíni DNS-kiszolgáló használatakor konfigurálja a DNS-kiszolgálót úgy, hogy az altartományban feloldja a privatelink munkaterület lekérdezési végpontjának nevét a privát végpont IP-címére. Ehhez delegálja az privatelink altartományt a virtuális hálózat privát DNS-zónájához, vagy konfigurálja a DNS-zónát a DNS-kiszolgálón, és adja hozzá a DNS A-rekordokat.
Az Azure Monitor-munkaterület privát végpontjaihoz ajánlott DNS-zónanevek a következők:
| Erőforrás | Célzott alerőforrás | Zónanév |
|---|---|---|
| Azure Monitor-munkaterület | prometheusMetrics | privatelink.<region>.prometheus.monitor.azure.com |
A saját DNS-kiszolgáló privát végpontok támogatására való konfigurálásáról az alábbi cikkekben talál további információt:
Díjszabás
A díjszabás részleteiért lásd: Azure Private Link díjszabás.
Ismert problémák
Tartsa szem előtt az Azure Monitor-munkaterület privát végpontjaival kapcsolatos alábbi ismert problémákat.
Munkaterület lekérdezési hozzáférési korlátozásai a privát végpontokkal rendelkező virtuális hálózatokban lévő ügyfelek számára
A meglévő privát végpontokkal rendelkező virtuális hálózatokban lévő ügyfelek korlátozásokkal szembesülnek a privát végpontokkal rendelkező egyéb Azure Monitor-munkaterületek elérésekor. Tegyük fel például, hogy az N1 virtuális hálózat privát végponttal rendelkezik az A1 munkaterülethez. Ha az A2 munkaterület egy privát végponttal rendelkezik egy VNet N2-ben, akkor az N1 virtuális hálózat ügyfeleinek is le kell kérdeznie a munkaterület adatait az A2 fiókban egy privát végpont használatával. Ha az A2 munkaterületen nincsenek privát végpontok konfigurálva, akkor az N1 virtuális hálózat ügyfelei privát végpont nélkül is lekérdezhetik az adatokat a munkaterületről.
Ez a korlátozás az A2 munkaterület privát végpontjának létrehozásakor végrehajtott DNS-módosítások eredménye.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: