Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Private Link lehetővé teszi az Azure-adatplatform szolgáltatásként (PaaS)-erőforrások biztonságos csatlakoztatását a virtuális hálózathoz (VNethez) privát végpontok használatával. Ez a cikk azt ismerteti, hogyan használhat privát kapcsolatot az Azure Monitor-erőforrásokkal.
Előnyök
Az Azure Monitor ugyanazokat az előnyöket használja ki a privát kapcsolatból, mint más szolgáltatások, a Private Link fő előnyeiben leírtak szerint.
- Privát kapcsolatot létesíthet az Azure Monitor-erőforrásokhoz, beleértve a Log Analytics-munkaterületeket és az Azure Monitor-munkaterületeket anélkül, hogy nyilvános hálózati hozzáférést engedélyezn. Győződjön meg arról, hogy a monitorozási adatok csak engedélyezett magánhálózatokon keresztül érhetők el.
- A privát végponton keresztül csatlakozó konkrét Azure Monitor-erőforrások definiálásával megakadályozhatja a magánhálózatok adatkiszivárgását.
- Biztonságosan csatlakozhat az Azure Monitorhoz olyan helyszíni hálózatokról, amelyek VPN vagy ExpressRoutes használatával csatlakoznak a virtuális hálózathoz privát társviszony-létesítéssel.
- Tartsa meg az összes monitorozási forgalmat az Azure gerinchálózatán belül.
Alapfogalmak
Az Azure Monitor privát hivatkozásai a többi szolgáltatás privát hivatkozásaitól eltérően vannak strukturálva. Ahelyett, hogy minden erőforráshoz privát kapcsolatot hozna létre, amelyhez a VNet csatlakozik, az Azure Monitor egyetlen privát kapcsolatot használ a virtuális hálózat privát végpontja és az Azure Monitor Privát Kapcsolati Hatóköre (AMPLS) között. Az AMPLS olyan Azure Monitor-erőforrások készlete, amelyek meghatározzák a monitorozási hálózat határait.
A privát végpont egy külön IP-címet használ a virtuális hálózat címterében, amely lehetővé teszi az AMPLS-erőforrások privát elérését a virtuális hálózatról nyilvános IP-címek használata nélkül. A virtuális hálózat ügyfeleitől az Azure Monitor-erőforrások felé irányuló forgalom az Azure gerinchálózatán halad át, így kiküszöböli a nyilvános internetnek való kitettséget. A virtuális hálózaton lévő alkalmazások zökkenőmentesen csatlakozhatnak az AMPLS-erőforrásokhoz a privát végponton keresztül ugyanazokkal a kapcsolati sztringekkel és engedélyezési mechanizmusokkal, amelyeket egyébként használnának.
Megosztott globális és regionális végpontok
AMPLS létrehozásakor a DNS-zónák leképezik az Azure Monitor-végpontokat a privát IP-címekre, hogy forgalmat küldjenek a privát kapcsolaton keresztül. Egyes Azure Monitor-erőforrások erőforrás-specifikus végpontokat használnak, míg mások megosztott végpontokat. Az erőforrások erőforrás-specifikus végpontot is használhatnak egy függvényhez, de megosztott végpontokat egy másik függvényhez. Meg kell értenie, hogy mi a különbség az egyes Azure Monitor-erőforrások között, és hogy az egyes Azure Monitor-erőforrások hogyan használják őket a privát kapcsolat és az AMPLS-ben található erőforrások megfelelő konfigurálásához.
Erőforrás-specifikus végpontok
Az erőforrás-specifikus végpontok egyediek egy adott erőforráshoz, és egyenként kell konfigurálni. Erőforrás-specifikus végpont hozzáadása az AMPLS-hez csak az adott erőforráshoz való privát kapcsolati hozzáférést teszi lehetővé.
- Log Analytics-munkaterület adatbevitele
- Adatgyűjtési végpontok
Megosztott végpontok
A megosztott végpontok több, azonos típusú erőforrás között vannak megosztva. Ha egyetlen erőforrást ad hozzá az AMPLS-hez megosztott végpontokat használ, az megváltoztatja a MEGOSZTOTT végpontokat használó összes erőforrás forgalmát befolyásoló DNS-konfigurációt.
- Log Analytics-munkaterület lekérdezései
- Application Insights-betöltés
A Log Analytics-munkaterületek például megosztott végpontokat használnak a naplólekérdezésekhez. Amikor egyetlen Log Analytics-munkaterületet ad hozzá egy AMPLS-hez, a virtuális hálózat DNS-e frissül, hogy privát kapcsolaton keresztül hozzáférjen a megosztott végponthoz. Mivel minden Log Analytics-munkaterület osztozik ezen a végponton, a virtuális hálózat összes Log Analytics-munkaterületére érkező lekérdezések a privát IP-címeket fogják használni.
Egyetlen AMPLS-t kell használnia az azonos DNS-t használó összes hálózathoz. Több AMPLS-erőforrás létrehozása esetén az Azure Monitor DNS-zónái felülbírálják egymást, és megszakítják a meglévő környezeteket. További részletekért és példákért tekintse meg a Plan by network topology (Terv hálózati topológia szerint ) című témakört.
AMPLS-erőforrások
Az alábbi táblázatban szereplő erőforrások hozzáadhatók egy AMPLS-hez.
| Resource | Description |
|---|---|
| Log Analytics-munkaterületek | A naplóadatok és lekérdezések KQL használatával történő betöltésének támogatása. Adja hozzá a Log Analytics-munkaterületeket az AMPLS-hez a betöltés és a lekérdezések engedélyezéséhez. A betöltés erőforrás-specifikus végpontot használ, míg a lekérdezések megosztott végpontot használnak. |
| Adatgyűjtési végpontok (DCE) | Azure-erőforrások, amelyek az Azure Monitorban végzett adatgyűjtéshez, konfiguráláshoz és betöltéshez kapcsolódó végpontok egyedi készletét határozzák meg. A DCE-k erőforrás-specifikus feldolgozást használnak. A DCE konfigurálása egy ügyfélcsoporthoz nem befolyásolja más ügyfelek telemetriai adatainak betöltését ugyanabban a virtuális hálózatban. Adja hozzá a DCE-eket az AMPLS-hez a következők támogatásához: – Azure Monitor-munkaterületek adatbetöltése. - Szerezze be az Azure Monitor-ügynököt (AMA) használó ügyfelek konfigurációit, mint például a virtuális gépek és Kubernetes-fürtök esetében. |
| Alkalmazáselemzések | Adatok betöltése figyelt alkalmazásokból, beleértve az élő metrikákat, a .NET Profilert és a hibakeresőt. Az Application Insights betöltését kezelő végpontok globálisak. |
Megjegyzés:
Azure Monitor-munkaterületek
Az Azure Monitor-munkaterületek támogatják a metrikaadatok és lekérdezések PromQL használatával való betöltését. Bár az Azure Monitor-munkaterületek privát kapcsolattal érhetők el, nem lesznek hozzáadva az AMPLS-hez. Az Azure Monitor-munkaterület létrehozásakor a rendszer automatikusan létrehoz egy DCE-t. Ezt a DCE-t hozzá kell adni az AMPLS-hez a munkaterület adatbetöltésének támogatásához. A lekérdezések támogatásához létre kell hozni egy felügyelt privát végpontot a munkaterülethez, és hozzá kell adni az AMPLS-hez.
Hozzáférési módok
Az AMPLS hozzáférési módjai lehetővé teszik annak szabályozását, hogy a privát kapcsolatok hogyan befolyásolják a hálózati forgalmat. Minden AMPLS külön hozzáférési móddal rendelkezik a betöltéshez és a lekérdezésekhez, és különböző hozzáférési módokat választhat az egyes, ugyanahhoz az AMPLS-hez csatlakoztatott virtuális hálózatokhoz. Az alábbi táblázat az egyes hozzáférési módokat ismerteti. Az Azure Monitor privát kapcsolati konfigurációjának megtervezése a környezet megfelelő hozzáférési módjának kiválasztásával kapcsolatos részletekért.
| Hozzáférési mód | Description |
|---|---|
| Nyitott | Lehetővé teszi, hogy a csatlakoztatott virtuális hálózat elérhesse mind a privát link erőforrásokat, mind azokat az erőforrásokat, amelyek nem az AMPLS-ben találhatók. A privát kapcsolatú erőforrások felé érkező forgalom ellenőrzése és küldése privát végpontokon keresztül történik, de az adatkiszivárgás nem akadályozható meg, mert a forgalom az AMPLS-en kívüli erőforrásokat is elérheti. Ez a mód lehetővé teszi a fokozatos előkészítési folyamatot, amely egyes erőforrásokhoz való privát kapcsolati hozzáférést és másokhoz való nyilvános hozzáférést kombinál. |
| Csak privát | Lehetővé teszi, hogy a csatlakoztatott virtuális hálózat csak a privát kapcsolat erőforrásait érje el az AMPLS-ben. Ez a legbiztonságosabb lehetőség, és megakadályozza az adatszivárgást azáltal, hogy blokkolja az AMPLS-ből az Azure Monitor-erőforrásokba történő forgalmat. Csak akkor válassza ki, ha az összes Azure Monitor-erőforrás hozzá lett adva az AMPLS-hez. A többi erőforrás felé történő forgalom blokkolva lesz a hálózatok, előfizetések és bérlők között. |
Pricing
A díjszabás részleteiért tekintse meg az Azure Private Link díjszabását.
Következő lépések
- Az Azure Private Link beállításának megtervezése.
- Megtudhatja, hogyan konfigurálhatja a privát hivatkozást.
- Ismerje meg az egyéni naplók és az ügyfél által felügyelt kulcsok privát tárolását .