Hálózatok csatlakoztatása az Azure Monitorhoz az Azure Private Linkkel

  • Cikk

Az Azure Private Link használatával biztonságosan csatlakoztathatja az Azure Platform mint szolgáltatás (PaaS) erőforrásait a virtuális hálózathoz privát végpontok használatával. Az Azure Monitor a különböző összekapcsolt szolgáltatások csillagképe, amelyek együttműködve figyelik a számítási feladatokat. Az Azure Monitor privát kapcsolattal csatlakoztat egy privát végpontot azure Monitor-erőforrások egy készletéhez, hogy meghatározza a monitorozási hálózat határait. Ezt a készletet Azure Monitor Private Link Scope -nak (AMPLS) nevezzük.

Megjegyzés:

Az Azure Monitor privát hivatkozásai másképpen vannak strukturálva, mint a magánhálózati hivatkozások más, esetleg használt szolgáltatásokhoz. Ahelyett, hogy több privát kapcsolatot hoz létre, egy-egy erőforráshoz, amelyhez a virtuális hálózat csatlakozik, az Azure Monitor egyetlen privát kapcsolati kapcsolatot használ a virtuális hálózatról egy AMPLS-hez. Az AMPLS azoknak az Azure Monitor-erőforrásoknak a készlete, amelyekhez egy virtuális hálózat privát kapcsolaton keresztül csatlakozik.

Előnyök

A Privát hivatkozással a következőt teheti:

  • Csatlakozás privát módon az Azure Monitorba anélkül, hogy nyilvános hálózati hozzáférést nyitná meg.
  • Győződjön meg arról, hogy a monitorozási adatok csak engedélyezett magánhálózatokon keresztül érhetők el.
  • A privát végponton keresztül csatlakozó konkrét Azure Monitor-erőforrások definiálásával megakadályozhatja a magánhálózatok adatkiszivárgását.
  • Biztonságosan csatlakoztassa a helyszíni magánhálózatot az Azure Monitorhoz az Azure ExpressRoute és a Private Link használatával.
  • Tartsa az összes forgalmat az Azure gerinchálózatán belül.

További információ: A Private Link főbb előnyei.

A működés módja: Fő alapelvek

Az Azure Monitor privát hivatkozásai privát végpontokat kötnek össze a Log Analytics-munkaterületek és az Alkalmazás Elemzések-erőforrásokból álló Azure Monitor-erőforrások készletével. Ezt a készletet Azure Monitor Private Link-hatókörnek nevezzük.

Diagram that shows basic resource topology.

An AMPLS:

  • Privát IP-címeket használ: A virtuális hálózat privát végpontja lehetővé teszi az Azure Monitor-végpontok elérését privát IP-címeken keresztül a hálózat készletéből a végpontok nyilvános IP-címeinek használata helyett. Ezért továbbra is használhatja az Azure Monitor-erőforrásokat anélkül, hogy megnyitná a virtuális hálózatot a kimenő forgalom felé.
  • Az Azure gerinchálózatán fut: A privát végpont és az Azure Monitor-erőforrások közötti forgalom az Azure gerinchálózatán halad át, és nem a nyilvános hálózatokra lesz irányítva.
  • Szabályozza, hogy mely Azure Monitor-erőforrások érhetők el: Konfigurálja az AMPLS-t az előnyben részesített hozzáférési módra. Engedélyezheti a forgalmat csak a Private Link-erőforrásokra, illetve a Private Link és a nem privát kapcsolatú erőforrásokra (az AMPLS-ből kifelé irányuló erőforrásokra).
  • Szabályozza az Azure Monitor-erőforrásokhoz való hálózati hozzáférést: Konfigurálja az egyes munkaterületeket vagy összetevőket a nyilvános hálózatok forgalmának elfogadására vagy letiltására. A betöltési és lekérdezési kérelmekhez különböző beállításokat alkalmazhat.

Privát kapcsolat beállításakor a DNS-zónák leképezik az Azure Monitor-végpontokat a privát IP-címekre, hogy forgalmat küldjenek a privát kapcsolaton keresztül. Az Azure Monitor erőforrás-specifikus végpontokat és megosztott globális/regionális végpontokat is használ az AMPLS munkaterületeinek és összetevőinek eléréséhez.

Figyelmeztetés:

Mivel az Azure Monitor bizonyos megosztott végpontokat használ (vagyis nem erőforrásspecifikus végpontokat), a privát kapcsolat beállítása még egyetlen erőforráshoz is megváltoztatja a DNS-konfigurációt, amely az összes erőforrás felé irányuló forgalmat befolyásolja. Más szóval az összes munkaterületre vagy összetevőre mutató forgalmat egyetlen privát kapcsolat beállítása befolyásolja.

A megosztott végpontok használata azt is jelenti, hogy egyetlen AMPLS-t kell használnia az azonos DNS-t használó összes hálózathoz. Több AMPLS-erőforrás létrehozása esetén az Azure Monitor DNS-zónái felülbírálják egymást, és megszakítják a meglévő környezeteket. További információ: Plan by network topology.

Megosztott globális és regionális végpontok

Ha a Private Linket egyetlen erőforráshoz is konfigurálja, a rendszer a következő végpontokra irányuló forgalmat a lefoglalt privát IP-címeken keresztül küldi el:

  • Minden alkalmazás-Elemzések végpont: A betöltési végpontok, az élő metrikák, a Profiler és az Application Elemzések végpontok hibakeresője globálisak.
  • A lekérdezési végpont: Az Application Elemzések és a Log Analytics-erőforrásokra irányuló lekérdezéseket kezelő végpont globális.

Fontos

A privát kapcsolat létrehozása nem csak az AMPLS-ben lévő erőforrásokra , hanem az összes monitorozási erőforrásra is hatással van. Ez gyakorlatilag azt eredményezi, hogy az alkalmazás Elemzések összetevőinek összes lekérdezési kérése és betöltése privát IP-címeken megy keresztül. Ez nem jelenti azt, hogy a privát kapcsolat érvényesítése minden ilyen kérésre érvényes.

Az AMPLS-hez nem adott erőforrások csak akkor érhetők el, ha az AMPLS hozzáférési módja nyitott, és a célerőforrás fogadja a nyilvános hálózatokról érkező forgalmat. A privát IP-cím használatakor a privát kapcsolat érvényesítése nem vonatkozik az AMPLS-ben nem szereplő erőforrásokra. További információkért tekintse meg a Private Link hozzáférési módokat.

A felügyelt Prometheus privát kapcsolati beállításai és az adatok Azure Monitor-munkaterületre való betöltése a hivatkozott erőforrás adatgyűjtési végpontjaiban van konfigurálva. Gépház Az Azure Monitor-munkaterület privát kapcsolaton keresztüli lekérdezéséhez közvetlenül az Azure Monitor-munkaterületen történik, és nem az AMPLS-en keresztül kezeli.

Erőforrás-specifikus végpontok

A Log Analytics-végpontok munkaterület-specifikusak, kivéve a korábban tárgyalt lekérdezési végpontot. Ennek eredményeképpen, ha egy adott Log Analytics-munkaterületet ad hozzá az AMPLS-hez, betöltési kéréseket küld erre a munkaterületre a privát hivatkozáson keresztül. A más munkaterületekre való betöltés továbbra is a nyilvános végpontokat fogja használni.

Az adatgyűjtési végpontok erőforrás-specifikusak is. Ezekkel egyedileg konfigurálhatja a betöltési beállításokat a vendég operációs rendszer telemetriai adatainak a gépekről (vagy gépek készletéből) történő gyűjtéséhez az új Azure Monitor-ügynök és adatgyűjtési szabályok használatakor. Az adatgyűjtési végpont beállítása egy gépcsoporthoz nem befolyásolja a vendég telemetriai adatok betöltését más, az új ügynököt használó gépekről.

Fontos

2021. december 1-től a privát végpontok DNS-konfigurációja az Endpoint Compression mechanizmust fogja használni, amely egyetlen privát IP-címet foglal le az ugyanabban a régióban található összes munkaterülethez. Javítja a támogatott skálázást (ampLS-enként legfeljebb 300 munkaterületet és 1000 összetevőt), és csökkenti a hálózat IP-készletéből vett IP-címek teljes számát.

Ahogy az Azure Monitor privát kapcsolatai a DNS-ére támaszkodnak, csak egyetlen AMPLS-erőforrást kell létrehozni az azonos DNS-t használó összes hálózathoz. Ennek eredményeképpen az egyetlen globális vagy regionális DNS-t használó szervezetek egyetlen privát kapcsolattal kezelik az összes Azure Monitor-erőforrás forgalmát az összes globális vagy regionális hálózaton.

A 2021 szeptembere előtt létrehozott privát hivatkozások esetében ez a következőt jelenti:

  • A naplóbetöltés csak az AMPLS-ben lévő erőforrások esetében működik. Az összes többi erőforrásba való betöltés megtagadva (az azonos DNS-t használó összes hálózatban), előfizetéstől vagy bérlőtől függetlenül.
  • A lekérdezések nyitottabb viselkedéssel rendelkeznek, amely lehetővé teszi, hogy a lekérdezési kérelmek még az AMPLS-ben nem szereplő erőforrásokat is elérjék. A cél itt az volt, hogy elkerüljük a nem az AMPLS-ben lévő erőforrásokra vonatkozó ügyfél-lekérdezések feltörését, és lehetővé tenni az erőforrás-központú lekérdezések számára a teljes eredményhalmaz visszaadását.

Ez a viselkedés bizonyos ügyfelek számára túl korlátozónak bizonyult, mert nem az AMPLS-ben lévő erőforrások betöltését szakítja meg. Mások számára azonban túl megengedő volt, mert lehetővé teszi az erőforrások lekérdezését nem az AMPLS-ben.

2021 szeptemberétől a privát kapcsolatok új kötelező AMPLS-beállításokkal rendelkeznek, amelyek kifejezetten meghatározzák, hogyan befolyásolják a hálózati forgalmat. Új AMPLS-erőforrás létrehozásakor külön kell kiválasztania a betöltéshez és a lekérdezésekhez használni kívánt hozzáférési módokat:

Bár a Log Analytics-lekérdezési kérelmekre hatással van az AMPLS hozzáférési mód beállítása, a Log Analytics betöltési kérései erőforrás-specifikus végpontokat használnak, és nem az AMPLS hozzáférési mód vezérli. Annak érdekében, hogy a Log Analytics betöltési kérelmei ne férhessenek hozzá a munkaterületekhez az AMPLS-ből, állítsa be a hálózati tűzfalat úgy, hogy az AMPLS hozzáférési módtól függetlenül blokkolja a nyilvános végpontok felé irányuló forgalmat.

Megjegyzés:

Ha a Log Analyticset privát kapcsolattal konfigurálta a hálózati biztonsági csoport szabályainak kezdeti beállításával a kimenő forgalom ServiceTag:AzureMonitorengedélyezéséhez, a csatlakoztatott virtuális gépek nyilvános végponton keresztül küldik el a naplókat. Később, ha úgy módosítja a szabályokat, hogy azzal megtagadja a kimenő forgalmat ServiceTag:AzureMonitor, a csatlakoztatott virtuális gépek addig küldik a naplókat, amíg újra nem indítja a virtuális gépeket, vagy nem vágja le a munkameneteket. Annak érdekében, hogy a kívánt konfiguráció azonnal érvénybe lépjen, indítsa újra a csatlakoztatott virtuális gépeket.

Következő lépések