A privát hivatkozás konfigurálása

Az Azure Private Link egy példányának konfigurálásához az alábbiakra van szükség:

• Azure Monitor Private Link Scope (AMPLS) létrehozása erőforrásokkal.
• Hozzon létre egy privát végpontot a hálózaton, és csatlakoztassa a hatókörhöz.
• Konfigurálja a szükséges hozzáférést az Azure Monitor-erőforrásokhoz.

Ez a cikk áttekinti, hogyan történik a konfiguráció az Azure Portalon. Egy példa Azure Resource Manager-sablont (ARM-sablont) kínál a folyamat automatizálásához.

Privát kapcsolat létrehozása az Azure Portalon keresztül

Ebben a szakaszban áttekintjük a privát kapcsolat Azure Portalon keresztüli beállításának lépésenkénti folyamatát. Ha a parancssor vagy egy ARM-sablon használatával szeretne privát hivatkozást létrehozni és kezelni, olvassa el az API-k és a parancssor használatát ismertető témakört.

Azure Monitor Private Link-hatókör létrehozása

1. Nyissa meg az Erőforrás létrehozása az Azure Portalon, és keressen rá az Azure Monitor privát kapcsolat hatókörére.

   

2. Select Create.

3. Válasszon ki egy előfizetést és egy erőforráscsoportot.

4. Adjon nevet az AMPLS-nek. Használjon érthető és egyértelmű nevet, például az AppServerProdTelem nevet.

5. Select Review + create.

   

6. Hagyja, hogy az ellenőrzés sikeres legyen, és válassza a Létrehozás lehetőséget.

Azure Monitor-erőforrások Csatlakozás

Csatlakozás Azure Monitor-erőforrásokat, például Log Analytics-munkaterületeket, alkalmazás-Elemzések-összetevőket és adatgyűjtési végpontokat) az Azure Monitor Privát kapcsolat hatókörébe (AMPLS).

1. Az AMPLS-ben válassza az Azure Monitor-erőforrásokat a bal oldali menüben. Select Add.

2. Adja hozzá a munkaterületet vagy összetevőt. A Hozzáadás gombra kattintva megnyílik egy párbeszédpanel, ahol kiválaszthatja az Azure Monitor-erőforrásokat. Az előfizetések és az erőforráscsoportok között tallózhat. Megadhatja a nevüket is, hogy leszűrjük őket. Jelölje ki a munkaterületet vagy összetevőt, majd az Alkalmaz gombra kattintva vegye fel őket a hatókörbe.

   

Megjegyzés:

Az Azure Monitor-erőforrások törléséhez először le kell választania őket minden olyan AMPLS-objektumról, amelyhez csatlakoznak. Az AMPLS-hez csatlakoztatott erőforrások nem törölhetők.

Csatlakozás privát végpontra

Most, hogy erőforrások csatlakoztak az AMPLS-hez, hozzon létre egy privát végpontot a hálózat csatlakoztatásához. Ezt a feladatot az Azure Portal Private Link Centerben vagy az AMPLS-ben is elvégezheti a példában leírtak szerint.

1. A hatókör-erőforrásban válassza a privát végpont kapcsolatait a bal oldali erőforrásmenüben. Válassza a Privát végpont lehetőséget a végpontlétrehozás folyamatának elindításához. A Private Link Centerben elindított kapcsolatokat is jóváhagyhatja, ha kijelöli őket, és kiválasztja a Jóváhagyás lehetőséget.

   

2. Az Alapszintű beállítások lapon válassza az Előfizetés és az Erőforrás csoportot

3. Adja meg a végpont nevét és a hálózati adapter nevét

4. Válassza ki azt a régiót, amelyben a privát végpontnak élnie kell. A régiónak meg kell egyeznie azzal a virtuális hálózattal, amelyhez csatlakoztatja.

5. Válassza a Tovább: Erőforrás lehetőséget.

   

6. Az Erőforrás lapon válassza ki azt az előfizetést, amely az Azure Monitor Privát kapcsolat hatóköre erőforrást tartalmazza.

7. Erőforrástípus esetén válassza a Microsoft.insights/privateLinkScopes lehetőséget.

8. Az Erőforrás legördülő listában válassza ki a korábban létrehozott privát kapcsolat hatókörét.

9. Válassza a Következő: Virtuális hálózat lehetőséget.

   

10. A Virtuális hálózat lapon válassza ki azt a virtuális hálózatot és alhálózatot, amelyhez csatlakozni szeretne az Azure Monitor-erőforrásokhoz.

11. A privát végpontok hálózati házirendje esetén válassza a szerkesztés lehetőséget, ha hálózati biztonsági csoportokat vagy útvonaltáblákat szeretne alkalmazni a privát végpontot tartalmazó alhálózatra.

    Az Alhálózati hálózati házirend szerkesztése területen jelölje be a Hálózati biztonsági csoportok és útvonaltáblák melletti jelölőnégyzeteket, majd válassza a Mentés lehetőséget. További információt a privát végpontok hálózati házirendjeinek kezelése című témakörben talál.

12. Privát IP-konfiguráció esetén alapértelmezés szerint a dinamikusan lefoglalt IP-cím van kiválasztva. Ha statikus IP-címet szeretne hozzárendelni, válassza az IP-cím statikus lefoglalása lehetőséget. Ezután adjon meg egy nevet és egy privát IP-címet.
    Lehetőség van alkalmazásbiztonsági csoport kiválasztására vagy létrehozására is. Alkalmazásbiztonsági csoportokkal csoportosíthatja a virtuális gépeket, és ezek alapján határozhatja meg a hálózati biztonsági szabályzatokat.

13. Válassza a Következő: DNS lehetőséget.

    

14. A DNS lapon válassza az Igen lehetőséget a privát DNS-zónával való integrációhoz, és hagyja, hogy automatikusan hozzon létre egy új privát DNS-zónát. A tényleges DNS-zónák eltérhetnek az alábbi képernyőképen láthatótól.

    Megjegyzés:

    Ha a Nem lehetőséget választja, és inkább manuálisan szeretné kezelni a DNS-rekordokat, először végezze el a privát kapcsolat beállítását. Adja meg ezt a privát végpontot és az AMPLS-konfigurációt. Ezután konfigurálja a DNS-t az Azure privát végpont DNS-konfigurációjának utasításai szerint. Ügyeljen arra, hogy ne hozzon létre üres rekordokat a privát kapcsolat beállításának előkészítéseként. A létrehozott DNS-rekordok felülbírálhatják a meglévő beállításokat, és hatással lehetnek az Azure Monitorral való kapcsolatra.

15. Válassza a Tovább: Címkék lehetőséget, majd a Véleményezés + létrehozás lehetőséget.

    

16. A Véleményezés + létrehozás lapon, miután az ellenőrzés megfelelt, válassza a Létrehozás lehetőséget.

Most létrehozott egy új privát végpontot, amely ehhez az AMPLS-hez csatlakozik.

Az erőforrásokhoz való hozzáférés konfigurálása

Eddig a hálózat konfigurációjáról volt szó. Érdemes azonban megfontolnia, hogyan szeretné konfigurálni a hálózati hozzáférést a figyelt erőforrásokhoz, például a Log Analytics-munkaterületekhez, az alkalmazás-Elemzések-összetevőkhöz és az adatgyűjtési végpontokhoz.

Nyissa meg az Azure Portalt. Az erőforrás menüjében keresse meg a hálózatelkülönítést a bal oldalon. Ez a lap azt szabályozza, hogy mely hálózatok érhetik el az erőforrást egy privát kapcsolaton keresztül, és hogy más hálózatok is elérhetik-e.

Csatlakozás Azure Monitor privát kapcsolat hatókörei

Itt áttekintheti és konfigurálhatja az erőforrás AMPLS-kapcsolatait. az AMPLS-hez való Csatlakozás lehetővé teszi, hogy az egyes AMPLS-ekhez csatlakoztatott virtuális hálózatról érkező forgalom elérje az erőforrást. Ugyanaz a hatása, mint az Azure Monitor-erőforrások Csatlakozás szakaszban található hatókörből való csatlakoztatásának.

Új kapcsolat hozzáadásához válassza a Hozzáadás és az AMPLS lehetőséget. A csatlakozáshoz válassza az Alkalmaz elemet. Az erőforrás öt AMPLS-objektumhoz tud csatlakozni, ahogy az a Consider AMPLS-korlátokban is szerepel.

Virtuális hálózatok hozzáférési konfigurációja: Hozzáférés kezelése privát kapcsolat hatókörén kívülről

A lap alsó részén található beállítások a nyilvános hálózatok hozzáférését szabályozzák, vagyis a felsorolt hatókörökhöz nem csatlakozó hálózatok.

Ha nem privát kapcsolati hatókörön keresztül nem csatlakoztatott nyilvános hálózatokból a Nem értékre állítja be az adatbetöltés elfogadását, a csatlakoztatott hatókörön kívüli ügyfelek, például gépek vagy SDK-k nem tölthetnek fel adatokat, és nem küldhetnek naplókat az erőforrásnak.

Ha nem privát kapcsolati hatókörön keresztül nem csatlakoztatott nyilvános hálózatok lekérdezéseinek elfogadása nem értékre állítja be a lekérdezéseket, az olyan ügyfelek, mint a csatlakoztatott hatókörön kívüli gépek vagy SDK-k nem tudnak adatokat lekérdezni az erőforrásban.

Ezek az adatok tartalmazzák a naplókhoz, metrikákhoz és az élő metrikák streamjeihez való hozzáférést. Emellett olyan felülre épülő szolgáltatásokat is tartalmaz, mint a munkafüzetek, irányítópultok, lekérdezési API-alapú ügyfélélmények és az Azure Portalon elérhető elemzések. Az Azure Portalon kívül futó szolgáltatásoknak és a Log Analytics-adatok lekérdezésének is a privát társított virtuális hálózaton belül kell futnia.

API-k és parancssor használata

A korábban ismertetett folyamatot ARM-sablonok, REST és parancssori felületek használatával automatizálhatja.

Privát kapcsolat hatóköreinek létrehozása és kezelése

A Private Link-hatókörök létrehozásához és kezeléséhez használja a REST API-t vagy az Azure CLI-t (az monitor private-link-scope).

AMPLS létrehozása nyílt hozzáférési módokkal: példa parancssori felületre

A következő CLI-parancs létrehoz egy új, a lekérdezési és a betöltési hozzáférési módokkal rendelkező AMPLS-erőforrást"my-scope"Open.

az resource create -g "my-resource-group" --name "my-scope" --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

AMPLS létrehozása vegyes hozzáférési módokkal: PowerShell-példa

A következő PowerShell-szkript létrehoz egy új AMPLS-erőforrást, amelynek a "my-scope"lekérdezési hozzáférési módja be van állítva Open , de a betöltési hozzáférési módok a következőre PrivateOnlyvan állítva. Ez a beállítás azt jelenti, hogy csak az AMPLS-ben lévő erőforrások betöltését engedélyezi.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

AMPLS: ARM-sablon létrehozása

A következő ARM-sablont hozza létre:

• Egy AMPLS névvel "my-scope", amelynek lekérdezési és betöltési hozzáférési módjai a következőre Openvan állítva: .
• Egy Log Analytics-munkaterület neve "my-workspace".
• És hozzáad egy hatókörrel rendelkező erőforrást a "my-scope" nevesített "my-workspace-connection"AMPLS-hez.

Megjegyzés:

Győződjön meg arról, hogy új API-verziót (2021-07-01-preview vagy újabb verzió) használ az AMPLS-objektum létrehozásához (írja be a következőt microsoft.insights/privatelinkscopes ). A múltban dokumentált ARM-sablon egy régi API-verziót használt, amely egy AMPLS-készletet eredményez a következővel QueryAccessMode="Open" : és IngestionAccessMode="PrivateOnly".

{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

AMPLS hozzáférési módok beállítása: Példa PowerShell-példa

A hozzáférési mód jelzőinek az AMPLS-en való beállításához használja a következő PowerShell-szkriptet. Az alábbi szkript a jelölőket a következőre Openállítja: . A Csak privát mód használatához használja az értéket "PrivateOnly".

Az AMPLS hozzáférési mód frissítésének érvénybe lépése körülbelül 10 percet vesz igénybe.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group-name"
$scopeName = "my-scope"

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

Erőforrás-hozzáférési jelzők beállítása

A munkaterület vagy az összetevő hozzáférési jelzőinek kezeléséhez használja a jelölőket [--ingestion-access {Disabled, Enabled}] és [--query-access {Disabled, Enabled}]az az monitor log-analytics munkaterületet vagy az az monitor app-insights összetevőt.

A privát hivatkozás beállításának áttekintése és ellenőrzése

A privát hivatkozás beállításának áttekintéséhez és ellenőrzéséhez kövesse az ebben a szakaszban leírt lépéseket.

A végpont DNS-beállításainak áttekintése

A létrehozott privát végpontnak mostantól öt DNS-zónát kell konfigurálnia:

• privatelink.monitor.azure.com
• privatelink.oms.opinsights.azure.com
• privatelink.ods.opinsights.azure.com
• privatelink.agentsvc.azure.automation.net
• privatelink.blob.core.windows.net

Ezen zónák mindegyike adott Azure Monitor-végpontokat képez le magánhálózati IP-címekre a virtuális hálózat IP-címkészletéből. Az alábbi képeken látható IP-címek csak példák. A konfigurációnak ehelyett a saját hálózatából származó privát IP-címeket kell megjelenítenie.

Fontos

A 2021. december 1-étől létrehozott AMPLS és privát végponterőforrások végponttömörítés nevű mechanizmust használnak. Most az erőforrás-specifikus végpontok, például az OMS, az ODS és az AgentSVC végpontok ugyanazt az IP-címet használják régiónként és DNS-zónánként. Ez a mechanizmus azt jelenti, hogy kevesebb IP-címet vesz fel a virtuális hálózat IP-készletéből, és sokkal több erőforrást lehet hozzáadni az AMPLS-hez.

Privatelink-monitor-azure-com

Ez a zóna az Azure Monitor által használt globális végpontokat fedi le, ami azt jelenti, hogy a végpontok globálisan/regionálisan, nem pedig erőforrás-specifikus kéréseket szolgálnak ki. Ennek a zónának a következő végpontokra kell megfeleltetnie:

• in.ai: Alkalmazás Elemzések betöltési végpont (globális és regionális bejegyzés egyaránt).
• api: Alkalmazás Elemzések és Log Analytics API-végpont.
• live: Az alkalmazás Elemzések élő metrikák végpontja.
• profilkészítő: Alkalmazás Elemzések profiler végpontja.
• pillanatkép: Alkalmazás Elemzések pillanatképvégpont.
• diagservices-query: Application Elemzések Profiler és Snapshot Debugger (a profiler/hibakereső eredmények elérésekor használatos az Azure Portalon).

Ez a zóna az adatgyűjtési végpontok (DCE-k ) erőforrás-specifikus végpontjait is lefedi:

• <unique-dce-identifier>.<regionname>.handler.control: Privát konfigurációs végpont, egy DCE-erőforrás része.
• <unique-dce-identifier>.<regionname>.ingest: Privát betöltési végpont, egy DCE-erőforrás része.

Log Analytics-végpontok

Fontos

A 2021. december 1-től létrehozott AMPLS-k és privát végpontok végponttömörítés nevű mechanizmust használnak. Most minden erőforrás-specifikus végpont, például az OMS, az ODS és az AgentSVC egyetlen IP-címet használ régiónként és DNS-zónánként az adott régió összes munkaterületéhez. Ez a mechanizmus azt jelenti, hogy kevesebb IP-címet vesz fel a virtuális hálózat IP-készletéből, és sokkal több erőforrást lehet hozzáadni az AMPLS-hez.

A Log Analytics négy DNS-zónát használ:

• privatelink-oms-opinsights-azure-com: Az OMS-végpontokhoz való munkaterület-specifikus leképezést ismerteti. Minden egyes munkaterülethez látnia kell egy bejegyzést, amely a privát végponthoz csatlakoztatott AMPLS-hez van csatolva.
• privatelink-ods-opinsights-azure-com: Az ODS-végpontok munkaterület-specifikus leképezését ismerteti, amelyek a Log Analytics betöltési végpontjai. Minden egyes munkaterülethez látnia kell egy bejegyzést, amely a privát végponthoz csatlakoztatott AMPLS-hez van csatolva.
• privatelink-agentsvc-azure-automation-net: Az ügynökszolgáltatás automatizálási végpontjaihoz való munkaterület-specifikus leképezést ismerteti. Minden egyes munkaterülethez látnia kell egy bejegyzést, amely a privát végponthoz csatlakoztatott AMPLS-hez van csatolva.
• privatelink-blob-core-windows-net: Konfigurálja a globális ügynökök megoldáscsomag-tárfiókjának kapcsolatát. Ezen keresztül az ügynökök letölthetik az új vagy frissített megoldáscsomagokat, amelyeket felügyeleti csomagoknak is neveznek. Az összes Log Analytics-ügynök kezeléséhez csak egy bejegyzés szükséges, függetlenül attól, hogy hány munkaterület van használatban. Ez a bejegyzés csak a 2021. április 19-én vagy azt követően (vagy 2021 júniusától az Azure szuverén felhőkben) létrehozott privát kapcsolati beállításokhoz lesz hozzáadva.

Az alábbi képernyőképen egy AMPLS-hez hozzárendelt végpontok láthatók, amelyek az USA keleti régiójában és egy nyugat-európai munkaterületen találhatóak. Figyelje meg, hogy az USA keleti munkaterületei megosztják az IP-címeket. A nyugat-európai munkaterület végpontja egy másik IP-címre van leképezve. A blobvégpont nem jelenik meg a képen, de konfigurálva van.

Ellenőrizze, hogy privát kapcsolaton keresztül kommunikál-e

Győződjön meg arról, hogy a privát kapcsolat rendben van:

• Annak ellenőrzéséhez, hogy a kérések most már a privát végponton keresztül érkeznek-e, áttekintheti őket egy hálózatkövetési eszközzel vagy akár a böngészővel. Amikor például megkísérli lekérdezni a munkaterületet vagy az alkalmazást, győződjön meg arról, hogy a kérés az API-végpontra leképezett privát IP-címre lesz elküldve. Ebben a példában ez a 172.17.0.9.

  Megjegyzés:

  Egyes böngészők más DNS-beállításokat is használhatnak. További információ: Böngésző DNS-beállításai. Győződjön meg arról, hogy a DNS-beállítások érvényesek.

• Ha meg szeretné győződni arról, hogy a munkaterületek vagy összetevők nem fogadják a nyilvános hálózatoktól érkező kéréseket (nem AMPLS-kapcsolaton keresztül), állítsa az erőforrás nyilvános betöltési és lekérdezési jelzőit Nem értékre az erőforrásokhoz való hozzáférés konfigurálása című cikkben leírtak szerint.

• A védett hálózaton lévő ügyféltől használja nslookup a DNS-zónákban felsorolt végpontok bármelyikét. Ezt a DNS-kiszolgálónak az alapértelmezés szerint használt nyilvános IP-címek helyett a leképezett privát IP-címekre kell feloldania.

Következő lépések

• Ismerje meg az egyéni naplók és az ügyfél által felügyelt kulcsok privát tárolását .
• További információ az Azure Automation Private Link szolgáltatásáról.
• Ismerje meg az új adatgyűjtési végpontokat.