Privát kapcsolat konfigurálása az Azure Monitorhoz

Ez a cikk lépésről lépésre ismerteti az Azure Monitor Private Link Scope (AMPLS) azure portalon történő létrehozásának és konfigurálásának részleteit. A cikkben az AMPLS parancssori felülettel, PowerShell-lel és ARM-sablonokkal való használatához használható alternatív módszerek is szerepelnek.

Az Azure Private Link egy példányának konfigurálásához a következő lépések szükségesek. Ezeket a lépéseket az alábbi szakaszok ismertetik.

• Azure Monitor Private Link Scope (AMPLS) létrehozása.
• Erőforrások csatlakoztatása az AMPLS-hez.
• Csatlakoztassa az AMPLS-t egy privát végponthoz.
• Konfigurálja az AMPLS-erőforrásokhoz való hozzáférést.

Ez a cikk áttekinti, hogyan történik a konfiguráció az Azure Portalon. Egy példa Azure Resource Manager-sablont (ARM-sablont) kínál a folyamat automatizálásához.

Azure Monitor Private Link Scope (AMPLS) létrehozása

1. Az Azure Portal Monitor menüjében válassza a Privát kapcsolat hatókörei, majd a Létrehozás lehetőséget.

   

2. Válasszon ki egy előfizetést és erőforráscsoportot, és adjon az AMPLS-nek egy olyan értelmes nevet, mint az AppServerProdTelem.

3. Válassza az Áttekintés + létrehozás lehetőséget.

   

4. Hagyja, hogy az ellenőrzés sikeres legyen, és válassza a Létrehozás lehetőséget.

Erőforrások csatlakoztatása az AMPLS-hez

1. Az AMPLS menüjében válassza az Azure Monitor-erőforrások , majd a Hozzáadás lehetőséget.

2. Jelölje ki az összetevőt, és válassza az Alkalmaz elemet, ha hozzá szeretné adni a hatókörhöz. Csak az Azure Monitor-erőforrások, köztük a Log Analytics-munkaterületek, az Application Insights-összetevők és az adatgyűjtési végpontok (DCE-k) érhetők el.

   

Megjegyzés

Az Azure Monitor-erőforrások törléséhez először le kell választania őket minden olyan AMPLS-objektumról, amelyhez csatlakoznak. Az AMPLS-hez csatlakoztatott erőforrások nem törölhetők.

AMPLS csatlakoztatása privát végponthoz

Miután az erőforrások csatlakoznak az AMPLS-hez, létrehozhat egy privát végpontot a hálózat csatlakoztatásához.

1. Az AMPLS menüjében válassza a Privát végpont kapcsolatok , majd a Privát végpont lehetőséget. A Private Link Centerben elindított kapcsolatokat is jóváhagyhatja, ha kijelöli őket, és kiválasztja a Jóváhagyás lehetőséget.

   

2. Alapvető beállítások lap

   1. válassza ki az Előfizetés és erőforrás csoportot, majd adja meg a végpont nevét és a hálózati adapter nevét.
   2. Válassza ki azt a régiót, amelyben létre kell hozni a privát végpontot. A régiónak meg kell egyeznie azzal a virtuális hálózattal, amelyhez csatlakoztatja.

   

3. Erőforrás lap

   1. Válassza ki az Azure Monitor Private Link Scope-erőforrást tartalmazó előfizetést .
   2. Erőforrástípus esetén válassza a Microsoft.insights/privateLinkScopes lehetőséget.
   3. Az Erőforrás legördülő listában válassza ki a létrehozott privát kapcsolat hatókörét.

   

4. Virtuális hálózat fül

   1. Válassza ki azt a virtuális hálózatot és alhálózatot , amelyhez csatlakozni szeretne az Azure Monitor-erőforrásokhoz.
   2. A privát végpontok hálózati házirendje esetén válassza a szerkesztés lehetőséget, ha hálózati biztonsági csoportokat vagy útválasztási táblákat szeretne alkalmazni a privát végpontot tartalmazó alhálózatra. További részletekért tekintse meg a privát végpontok hálózati házirendjeinek kezelése című témakört.
   3. Privát IP-konfiguráció esetén alapértelmezés szerint a dinamikusan lefoglalt IP-cím van kiválasztva. Ha statikus IP-címet szeretne hozzárendelni, válassza az IP-cím statikus lefoglalása lehetőséget, majd adjon meg egy nevet és egy privát IP-címet.
   4. Igény szerint válasszon vagy hozzon létre egy alkalmazásbiztonsági csoportot. Alkalmazásbiztonsági csoportokkal csoportosíthatja a virtuális gépeket, és ezek alapján határozhatja meg a hálózati biztonsági szabályzatokat.

   

5. DNS fül

   1. Válassza az Igen lehetőséget a privát DNS-zónával való integrációhoz, amely automatikusan létrehoz egy új privát DNS-zónát. A tényleges DNS-zónák eltérhetnek az alábbi képernyőképen láthatótól.

   Megjegyzés

   Ha a Nem lehetőséget választja, és inkább manuálisan szeretné kezelni a DNS-rekordokat, először végezze el a privát kapcsolat beállítását. Adja meg ezt a privát végpontot és az AMPLS-konfigurációt, majd konfigurálja a DNS-t az Azure privát végpont DNS-konfigurációjának utasításai szerint. Ügyeljen arra, hogy ne hozzon létre üres rekordokat a privát kapcsolat beállításának előkészítéseként. A létrehozott DNS-rekordok felülbírálhatják a meglévő beállításokat, és hatással lehetnek az Azure Monitorral való kapcsolatra.

   Függetlenül attól, hogy az Igen vagy a Nem lehetőséget választja, és saját egyéni DNS-kiszolgálókat használ, feltételes továbbítókat kell beállítania az Azure privát végpont DNS-konfigurációjában említett nyilvános DNS-zónatovábbítókhoz. A feltételes továbbítóknak továbbítaniuk kell a DNS-lekérdezéseket az Azure DNS-nek.

   

6. Felülvizsgálás és létrehozás lap

   1. Miután az ellenőrzés sikeres volt, válassza a Létrehozás lehetőséget.

AMPLS-erőforrásokhoz való hozzáférés konfigurálása

Az AMPLS menüjében válassza a Hálózatelkülönítés lehetőséget annak szabályozásához, hogy mely hálózatok érhetik el az erőforrást egy privát kapcsolaton keresztül, és hogy más hálózatok elérhetik-e vagy sem.

Csatlakoztatott AMPLS

Ezen a képernyőn áttekintheti és konfigurálhatja az erőforrás AMPLS-hez való kapcsolatait. Az AMPLS-hez való csatlakozás lehetővé teszi, hogy a csatlakoztatott virtuális hálózatról érkező forgalom elérje az erőforrást. Ugyanazt a hatást éri el, mintha az Azure Monitor-erőforrások összekapcsolása című dokumentumban leírt hatókörből kapcsolná össze.

Új kapcsolat hozzáadásához válassza a Hozzáadás és az AMPLS lehetőséget. Az erőforrás öt AMPLS-objektumhoz tud csatlakozni az AMPLS-korlátokban leírtak szerint.

Virtuális hálózatok hozzáférésének konfigurációja

Ezek a beállítások a felsorolt hatókörökhöz nem csatlakozó nyilvános hálózatok hozzáférését szabályozzák. Ez magában foglalja a naplókhoz, a metrikákhoz és az élő metrikák streamjeihez való hozzáférést. Emellett olyan, ezen adatokra épülő szolgáltatásokat is tartalmaz, mint a munkafüzetek, irányítópultok, lekérdezési API-alapú ügyfélélmények és az Azure Portalon elérhető elemzések. Az Azure Portalon kívül futó szolgáltatásoknak és a Log Analytics-adatok lekérdezésének is a privát társított virtuális hálózaton belül kell futnia.

• Ha nem privát kapcsolati hatókörön keresztül nem csatlakoztatott nyilvános hálózatokból a Nem értékre állítja be az adatbetöltés elfogadását, a csatlakoztatott hatókörön kívüli ügyfelek, például gépek vagy SDK-k nem tölthetnek fel adatokat, és nem küldhetnek naplókat az erőforrásnak.
• Ha a Nem privát kapcsolati hatókörön keresztül csatlakoztatott nyilvános hálózatok lekérdezéseinek elfogadása beállítást Nem értékre állítja be, akkor az olyan ügyfelek, mint a hatókörön kívüli gépek vagy SDK-k, nem tudnak adatokat lekérdezni az erőforrásból.

AZ AMPLS használata parancssori felülettel

AMPLS létrehozása nyílt hozzáférési módokkal

A következő CLI-parancs létrehoz egy új AMPLS-erőforrást "my-scope", mind a lekérdezési, mind a beviteli hozzáférési módokkal Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Erőforrás-hozzáférési jelzők beállítása

A munkaterület vagy az összetevő hozzáférési jelzőinek kezeléséhez használja a jelzőket [--ingestion-access {Disabled, Enabled}] és [--query-access {Disabled, Enabled}] az az az monitor log-analytics munkaterületen vagy az az monitor app-insights összetevőn.

AZ AMPLS használata a PowerShell használatával

AMPLS létrehozása

A következő PowerShell-szkript létrehoz egy új AMPLS-erőforrást, amelynek "my-scope" lekérdezési hozzáférési módja be van állítva Open, de a betöltési hozzáférési módok PrivateOnly-re vannak állítva. Ez a beállítás azt jelenti, hogy csak az AMPLS-ben lévő erőforrások betöltését engedélyezi.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

AMPLS hozzáférési módok beállítása

A következő PowerShell-kód használatával állítsa be a hozzáférési mód jelzőit az AMPLS-en a létrehozás után.

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

ARM-sablonok

AMPLS létrehozása

A következő ARM-sablon a következőket hajtja végre:

• AMPLS néven "my-scope", amelynél a lekérdezési és betöltési hozzáférési módokat Open értékre állították.
• Egy Log Analytics-munkaterület neve "my-workspace".
• Hatókörrel rendelkező erőforrást ad hozzá a "my-scope" névvel ellátott "my-workspace-connection"AMPLS-hez.

{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

AMPLS-konfiguráció áttekintése és ellenőrzése

A privát hivatkozás beállításának áttekintéséhez és ellenőrzéséhez kövesse az ebben a szakaszban leírt lépéseket.

A végpont DNS-beállításainak áttekintése

A cikkben létrehozott privát végpontnak a következő öt DNS-zónát kell konfigurálnia:

• privatelink.monitor.azure.com
• privatelink.oms.opinsights.azure.com
• privatelink.ods.opinsights.azure.com
• privatelink.agentsvc.azure-automation.net
• privatelink.blob.core.windows.net

Ezen zónák mindegyike adott Azure Monitor-végpontokat képez le magánhálózati IP-címekre a virtuális hálózat IP-címkészletéből. Az alábbi képeken látható IP-címek csak példák. A konfigurációnak ehelyett a saját hálózatából származó privát IP-címeket kell megjelenítenie.

privatelink-monitor-azure-com

Ez a zóna az Azure Monitor által használt globális végpontokat fedi le, ami azt jelenti, hogy a végpontok globálisan/regionálisan, nem pedig erőforrás-specifikus kéréseket szolgálnak ki. Ennek a zónának a következő végpontokra kell leképezve lennie:

• in.ai: Application Insights adatbeviteli végpont (mind globális, mind regionális bejegyzés).
• api: Application Insights és Log Analytics API-végpont.
• live: Application Insights élő metrikák végpontja.
• Profiler: Application Insights Profiler a .NET végponthoz.
• pillanatkép: Application Insights pillanatképvégpont.
• diagservices-query: Application Insights Profiler for .NET és Snapshot Debugger (a profiler/hibakereső eredmények elérésekor használatos az Azure Portalon).

Ez a zóna a következő DCE-k erőforrás-specifikus végpontjait is lefedi:

• <unique-dce-identifier>.<regionname>.handler.control: Privát konfigurációs végpont, egy DCE-erőforrás része.

• <unique-dce-identifier>.<regionname>.ingest: Privát betöltési végpont, egy DCE-erőforrás része.

  

Log Analytics-végpontok

A Log Analytics a következő négy DNS-zónát használja:

• privatelink-oms-opinsights-azure-com: Az OMS-végpontokhoz való munkaterület-specifikus leképezést ismerteti. Minden egyes munkaterülethez látnia kell egy bejegyzést, amely a privát végponthoz csatlakoztatott AMPLS-hez van csatolva.
• privatelink-ods-opinsights-azure-com: A Log Analytics betöltési végpontjait tartalmazó ODS-végpontokhoz való munkaterület-specifikus leképezést ismerteti. Minden egyes munkaterülethez látnia kell egy bejegyzést, amely a privát végponthoz csatlakoztatott AMPLS-hez van csatolva.
• privatelink-agentsvc-azure-automation-net*: Az ügynökszolgáltatás automatizálási végpontjaihoz való munkaterület-specifikus leképezést ismerteti. Minden egyes munkaterülethez látnia kell egy bejegyzést, amely a privát végponthoz csatlakoztatott AMPLS-hez van csatolva.
• privatelink-blob-core-windows-net: Konfigurálja a globális ügynökök megoldáscsomag-tárfiókjának kapcsolatát. Ezen keresztül az ügynökök letölthetik az új vagy frissített megoldáscsomagokat, amelyeket felügyeleti csomagoknak is neveznek. Az összes Log Analytics-ügynök kezeléséhez csak egy bejegyzés szükséges, függetlenül attól, hogy hány munkaterület van használatban. Ez a bejegyzés csak a 2021. április 19-én vagy azt követően (vagy 2021 júniusától az Azure szuverén felhőkben) létrehozott privát kapcsolati beállításokhoz lesz hozzáadva.

Az alábbi képernyőképen egy AMPLS-hez hozzárendelt végpontok láthatók, amelyek az USA keleti régiójában és egy nyugat-európai munkaterületen találhatóak. Figyelje meg, hogy az USA keleti munkaterületei megosztják az IP-címeket. A nyugat-európai munkaterület végpontja egy másik IP-címre van leképezve. A blobvégpont konfigurálva van, bár nem jelenik meg a képen.

Kommunikáció ellenőrzése AMPLS-en keresztül

• Annak ellenőrzéséhez, hogy a kéréseket most már a privát végponton keresztül küldi-e el, tekintse át őket a böngészővel vagy egy hálózatkövetési eszközzel. Amikor például megkísérli lekérdezni a munkaterületet vagy az alkalmazást, győződjön meg arról, hogy a kérés az API-végpontra leképezett privát IP-címre lesz elküldve. Ebben a példában ez a 172.17.0.9.

  Megjegyzés

  Egyes böngészők más DNS-beállításokat is használhatnak. További információ: Böngésző DNS-beállításai. Győződjön meg arról, hogy a DNS-beállítások érvényesek.

• Ha meg szeretné győződni arról, hogy a munkaterületek vagy összetevők nem fogadják a nyilvános hálózatoktól érkező kéréseket (nem AMPLS-kapcsolaton keresztül), állítsa az erőforrás nyilvános betöltési és lekérdezési jelzőit Nem értékre az erőforrásokhoz való hozzáférés konfigurálása című cikkben leírtak szerint.

• A védett hálózatán lévő kliensről használja a DNS-zónáiban felsorolt végpontok bármelyikét nslookup-rel. Ezt a DNS-kiszolgálónak az alapértelmezés szerint használt nyilvános IP-címek helyett a leképezett privát IP-címekre kell feloldania.

Helyi tesztelés

Ha helyileg szeretné tesztelni a privát kapcsolatokat anélkül, hogy a hálózat többi ügyfelet érintené, ne frissítse a DNS-t a privát végpont létrehozásakor. Ehelyett szerkessze a hosts fájlt, hogy kéréseket küldjön a privátlink-végpontokra:

• Állítson be egy privát hivatkozást, de amikor privát végponthoz csatlakozik, válassza ki, hogy nem szeretné automatikusan integrálni a DNS-t.
• Állítsa be a megfelelő végpontokat a gépek hosts fájljaiban.

További konfiguráció

Hálózati alhálózat mérete

A legkisebb támogatott IPv4-alhálózat a /27 CIDR-alhálózat-definíciók használatával. Bár az Azure-beli virtuális hálózatok akár /29 is lehetnek, az Azure öt IP-címet foglal le. Az Azure Monitor privát kapcsolat beállítása legalább 11 további IP-címet igényel, még akkor is, ha egyetlen munkaterülethez csatlakozik. Tekintse át a végpont DNS-beállításait az Azure Monitor privát kapcsolati végpontjainak listájához.

Azure Portal

Az Azure Monitor portálfelületek Application Insightshoz, Log Analyticshez és DCES-hez való használatához engedélyezze, hogy az Azure Portal és az Azure Monitor-bővítmények elérhetők legyenek a magánhálózatokon. Adja hozzá az AzureActiveDirectory, az AzureResourceManager, az AzureFrontDoor.FirstParty és az AzureFrontdoor.Frontendszolgáltatáscímkéket a hálózati biztonsági csoporthoz.

Szoftveres hozzáférés

Ha privát hálózatokon szeretné használni a REST API-t, az Azure CLI-t vagy a PowerShellt az Azure Monitorral, adja hozzá az AzureActiveDirectory és az AzureResourceManager szolgáltatáscímkéketa tűzfalhoz.

Böngésző DNS-beállításai

Ha privát kapcsolaton keresztül csatlakozik az Azure Monitor-erőforrásokhoz, ezeknek az erőforrásoknak a forgalmának a hálózaton konfigurált privát végponton kell áthaladnia. A privát végpont engedélyezéséhez frissítse a DNS-beállításokat a Csatlakozás privát végponthoz című cikkben leírtak szerint. Egyes böngészők saját DNS-beállításokat használnak a beállítottak helyett. Előfordulhat, hogy a böngésző megpróbál csatlakozni az Azure Monitor nyilvános végpontjaihoz, és teljesen megkerüli a privát kapcsolatot. Győződjön meg arról, hogy a böngésző beállításai nem bírálják felül vagy gyorsítótárazzák a régi DNS-beállításokat.

Lekérdezési korlátozás: externaldata operátor

• A külsőadat-operátor nem támogatott privát kapcsolaton keresztül, mert adatokat olvas be a tárfiókokból, de nem garantálja, hogy a tárterület privát módon érhető el.
• Az Azure Data Explorer proxy (ADX proxy) lehetővé teszi, hogy a naplólekérdezések az Azure Data Explorert lekérdezhessék. Az ADX-proxy nem támogatott privát kapcsolaton keresztül, mert nem garantálja, hogy a megcélzott erőforrás privát módon érhető el.

Következő lépések

• Ismerje meg az egyéni naplók és az ügyfél által felügyelt kulcsok privát tárolását .
• Ismerje meg az új adatgyűjtési végpontokat.

A Private Link-hatókörök létrehozásához és kezeléséhez használja a REST API-t vagy az Azure CLI-t (az monitor private-link-scope).