Az Azure Private Link beállításának megtervezése
Az Azure Private Link-példány beállítása előtt fontolja meg a hálózati topológiát és a DNS-útválasztási topológiát.
Ahogyan azt az Azure Private Link használata a hálózatok Azure Monitorhoz való csatlakoztatásához ismerteti, a privát kapcsolat beállítása hatással van az összes Azure Monitor-erőforrás forgalmára. Ez különösen igaz az Application Insights-erőforrásokra. Nem csak a privát végponthoz csatlakoztatott hálózatot, hanem az azonos DNS-t használó összes többi hálózatot is érinti.
A legegyszerűbb és legbiztonságosabb megközelítés:
- Egyetlen privát kapcsolati kapcsolat létrehozása egyetlen privát végponttal és egyetlen Azure Monitor Private Link-hatókörrel (AMPLS). Ha a hálózatok társviszonyban vannak, hozza létre a privát kapcsolati kapcsolatot a megosztott (vagy központi) virtuális hálózaton.
- Adja hozzá az összes Azure Monitor-erőforrást, például az Application Insights-összetevőket, a Log Analytics-munkaterületeket és az adatgyűjtési végpontokat az AMPLS-hez.
- A hálózati kimenő forgalom lehető legnagyobb mértékű letiltása.
Ha nem tudja hozzáadni az összes Azure Monitor-erőforrást az AMPLS-hez, akkor is alkalmazhatja a privát hivatkozást néhány erőforrásra, ahogyan azt a Privát kapcsolatok a hálózatokra való alkalmazásának szabályozása című témakör ismerteti. Ezt a megközelítést nem javasoljuk, mert nem akadályozza meg az adatkiszivárgást.
Tervezés hálózati topológia szerint
Fontolja meg a hálózati topológiát a tervezési folyamatban.
Vezérelv: A DNS-felülbírálások elkerülése egyetlen AMPLS használatával
Egyes hálózatok több virtuális hálózatból vagy más csatlakoztatott hálózatból állnak. Ha ezek a hálózatok ugyanazt a DNS-t használják, egy privát kapcsolat beállítása bármelyiken frissítené a DNS-t, és hatással lenne az összes hálózat forgalmára.
Az alábbi ábrán a 10.0.1.x virtuális hálózat csatlakozik az AMPLS1-hez, amely olyan DNS-bejegyzéseket hoz létre, amelyek az Azure Monitor-végpontokat a 10.0.1.x tartomány ip-címeihez rendelik. Később a 10.0.2.x virtuális hálózat csatlakozik az AMPLS2-hez, amely felülbírálja ugyanazokat a DNS-bejegyzéseket azáltal, hogy a 10.0.2.x tartományból leképezi ugyanazokat a globális/regionális végpontokat IP-címekre. Mivel ezek a virtuális hálózatok nincsenek társviszonyban, az első virtuális hálózat nem éri el ezeket a végpontokat.
Az ütközés elkerülése érdekében DNS-enként csak egyetlen AMPLS-objektumot hozzon létre.
Küllős hálózatok
A küllős hálózatoknak egyetlen privát kapcsolati kapcsolatot kell használniuk a központi (fő) hálózaton, és nem minden küllős virtuális hálózaton.
Feljegyzés
Érdemes lehet külön privát kapcsolatokat létrehozni a küllős virtuális hálózatokhoz, például engedélyezni, hogy az egyes virtuális hálózatok korlátozott számú monitorozási erőforráshoz férhessenek hozzá. Ilyen esetekben minden virtuális hálózathoz létrehozhat egy dedikált privát végpontot és AMPLS-t. A DNS-felülbírálások elkerülése érdekében azt is ellenőriznie kell, hogy nem ugyanazokkal a DNS-zónákkal rendelkeznek-e.
Társhálózatok
A hálózati társviszony-létesítést különböző topológiákban használják, a küllőn és a küllőn kívül. Az ilyen hálózatok megoszthatják egymás IP-címét, és nagy valószínűséggel ugyanazt a DNS-t használhatják. Ilyen esetekben hozzon létre egyetlen privát kapcsolatot egy olyan hálózaton, amely elérhető a többi hálózat számára. Ne hozzon létre több privát végpontot és AMPLS-objektumot, mert végső soron csak a DNS utolsó halmaza érvényes.
Izolált hálózatok
Ha a hálózatok nincsenek társviszonyban, a privát kapcsolatok használatához külön kell különítenie a DNS-üket is. Ezt követően hozzon létre egy külön privát végpontot minden hálózathoz, és egy külön AMPLS-objektumot. Az AMPLS-objektumok ugyanahhoz a munkaterülethez/összetevőhöz vagy más-máshoz kapcsolhatók.
Helyi tesztelés: A gép gazdagépfájljának szerkesztése a DNS helyett
Ha helyileg szeretné tesztelni a privát kapcsolatokat anélkül, hogy a hálózat többi ügyfelet érintené, ne frissítse a DNS-t a privát végpont létrehozásakor. Ehelyett szerkessze a gép gazdagépfájlját, hogy kéréseket küldjön a privát kapcsolat végpontjainak:
- Állítson be egy privát hivatkozást, de amikor privát végponthoz csatlakozik, válassza ki , hogy ne integráljon automatikusan a DNS-sel (5b. lépés).
- Konfigurálja a megfelelő végpontokat a gépek gazdagépfájljaiban. A megfeleltetést igénylő Azure Monitor-végpontok áttekintéséhez tekintse át a végpont DNS-beállításait.
Éles környezetekhez nem javasoljuk ezt a megközelítést.
A privát kapcsolatok hálózatra való alkalmazásának szabályozása
A privát kapcsolat hozzáférési módokkal szabályozhatja, hogy a privát kapcsolatok hogyan befolyásolják a hálózati forgalmat. Ezek a beállítások az AMPLS-objektumra (az összes csatlakoztatott hálózatra hatással) vagy a hozzá csatlakoztatott meghatározott hálózatokra vonatkozhatnak.
A megfelelő hozzáférési mód kiválasztása kritikus fontosságú a folyamatos, zavartalan hálózati forgalom biztosításához. Az alábbi módok mindegyike beállítható a betöltéshez és a lekérdezésekhez, külön:
- Csak privát: Lehetővé teszi, hogy a virtuális hálózat csak a privát kapcsolat erőforrásait (az AMPLS-ben lévő erőforrásokat) érje el. Ez a legbiztonságosabb munkamód. Megakadályozza az adatkiszivárgást azáltal, hogy blokkolja az AMPLS-ből az Azure Monitor-erőforrásokba történő forgalmat.
- Megnyitás: Lehetővé teszi, hogy a virtuális hálózat privát kapcsolatú erőforrásokat és erőforrásokat is elérjen az AMPLS-ben nem (ha a nyilvános hálózatokról érkező forgalmat fogadják). A Nyílt hozzáférés mód nem akadályozza meg az adatok kiszivárgását, de továbbra is a privát hivatkozások egyéb előnyeit kínálja. A privát kapcsolati erőforrások felé érkező forgalom privát végpontokon keresztül lesz elküldve, érvényesítve és továbbítva a Microsoft gerinchálózatán keresztül. A Nyitott mód hasznos lehet vegyes munkamód esetén (egyes erőforrások nyilvános és mások privát kapcsolaton keresztüli elérése) vagy fokozatos előkészítési folyamat során. A hozzáférési módok külön vannak beállítva a betöltéshez és a lekérdezésekhez. Beállíthatja például a csak privát módot a betöltéshez, a lekérdezések megnyitási módját.
A hozzáférési mód kiválasztásakor körültekintően járjon el. A Csak magánhálózati hozzáférési mód használata letiltja az AMPLS-ben nem szereplő erőforrások forgalmát az azonos DNS-t használó összes hálózatban, függetlenül az előfizetéstől vagy a bérlőtől. Ez alól kivételt képeznek a Log Analytics betöltési kérelmei, amelyek magyarázata. Ha nem tudja hozzáadni az összes Azure Monitor-erőforrást az AMPLS-hez, először adja hozzá a kiválasztott erőforrásokat, és alkalmazza a Nyílt hozzáférési módot. A maximális biztonság érdekében csak akkor váltson a Csak privát módra, ha hozzáadta az összes Azure Monitor-erőforrást az AMPLS-hez.
A konfiguráció részleteiről és példáiról az API-k és a parancssor használata című témakörben olvashat.
Feljegyzés
A Log Analytics-betöltés erőforrás-specifikus végpontokat használ. Ezért nem tartja be az AMPLS hozzáférési módokat. Annak biztosítása érdekében, hogy a Log Analytics betöltési kérései nem férnek hozzá a munkaterületekhez az AMPLS-ből, állítsa be a hálózati tűzfalat úgy, hogy az AMPLS hozzáférési módtól függetlenül blokkolja a nyilvános végpontok felé irányuló forgalmat.
Hozzáférési módok beállítása adott hálózatokhoz
Az AMPLS-erőforráson beállított hozzáférési módok minden hálózatra hatással vannak, de ezeket a beállításokat felülbírálhatja bizonyos hálózatok esetében.
Az alábbi ábrán a VNet1 a Megnyitás, a VNet2 pedig a Csak privát módot használja. A VNet1 kérései privát kapcsolaton keresztül elérhetik az 1. és a 2. munkaterületet. A kérések csak akkor érhetik el a 3. összetevőt, ha a nyilvános hálózatokról érkező forgalmat fogadja el. A VNet2-kérelmek nem érik el a 3. összetevőt.
AZ AMPLS korlátainak figyelembe vévee
Az AMPLS-objektumra a következő korlátozások vonatkoznak:
- Egy virtuális hálózat csak egy AMPLS-objektumhoz tud csatlakozni. Ez azt jelenti, hogy az AMPLS-objektumnak hozzáférést kell biztosítania az összes Azure Monitor-erőforráshoz, amelyhez a virtuális hálózatnak hozzáféréssel kell rendelkeznie.
- Az AMPLS-objektumok legfeljebb 300 Log Analytics-munkaterülethez és 1000 Application Insights-összetevőhöz csatlakozhatnak.
- Egy Azure Monitor-erőforrás (munkaterület vagy Application Insights-összetevő vagy adatgyűjtési végpont) legfeljebb öt AMPLS-hez csatlakozhat.
- Az AMPLS-objektumok legfeljebb 10 privát végponthoz csatlakozhatnak.
Feljegyzés
A 2021. december 1. előtt létrehozott AMPLS-erőforrások csak 50 erőforrást támogatnak.
Az alábbi ábrán:
- Minden virtuális hálózat csak egy AMPLS-objektumhoz csatlakozik.
- Az AMPLS A két munkaterülethez és egy Application Insights-összetevőhöz csatlakozik a lehetséges 300 Log Analytics-munkaterület közül kettővel, valamint a lehetséges 1000 Application Insights-összetevő egyikével.
- A 2. munkaterület az öt lehetséges AMPLS-kapcsolat közül kettővel csatlakozik az AMPLS A-hez és az AMPLS B-hez.
- Az AMPLS B két virtuális hálózat (VNet2 és VNet3) privát végpontjaihoz csatlakozik a 10 lehetséges privát végpontkapcsolat közül kettő használatával.
Az erőforrásokhoz való hálózati hozzáférés szabályozása
A Log Analytics-munkaterületek vagy az Application Insights-összetevők a következőre állíthatók be:
- Nyilvános hálózatokból (az erőforrás AMPLS-hez nem csatlakozó hálózatokból) történő betöltés elfogadása vagy letiltása.
- Nyilvános hálózatokról (az erőforrás AMPLS-hez nem csatlakozó hálózatokról) érkező lekérdezések elfogadása vagy letiltása.
Ez a részletesség lehetővé teszi a hozzáférés beállítását az igényeinek megfelelően, munkaterületenként. Előfordulhat például, hogy csak privát kapcsolattal rendelkező hálózatokon keresztül fogadja el a betöltést (ami konkrét virtuális hálózatokat jelent), de mégis úgy dönt, hogy az összes hálózatból, nyilvános és privát hálózatból fogad lekérdezéseket.
A nyilvános hálózatokról érkező lekérdezések blokkolása azt jelenti, hogy az olyan ügyfelek, mint a csatlakoztatott AMPLS-en kívüli gépek és SDK-k, nem tudnak adatokat lekérdezni az erőforrásban. Az adatok közé tartoznak a naplók, a metrikák és az élő metrikák streamje. A nyilvános hálózatok lekérdezéseinek letiltása hatással van a lekérdezéseket futtató összes felületre, például munkafüzetekre, irányítópultokra, az Azure Portalon található megállapításokra, valamint az Azure Portalon kívülről futtatott lekérdezésekre.
Feljegyzés
Vannak bizonyos kivételek, amelyekben ezek a beállítások nem érvényesek. A részleteket a következő szakaszban találja.
Az adatgyűjtési végpontok beállíthatók úgy, hogy elfogadják vagy letiltják a nyilvános hálózatok (az erőforrás AMPLS-hez nem csatlakozó hálózatok) hozzáférését.
A konfigurációs információkért lásd: Erőforrás-hozzáférési jelzők beállítása.
Kivételek
Jegyezze fel a következő kivételeket.
Diagnosztikai naplók
A munkaterületre diagnosztikai beállításokon keresztül feltöltött naplók és metrikák biztonságos privát Microsoft-csatornán haladnak át, és ezek a beállítások nem vezérlik őket.
Egyéni metrikák vagy Azure Monitor-vendégmetrikák
Az Azure Monitor-ügynökön keresztül gyűjtött és feltöltött egyéni metrikákat (előzetes verzió) nem az adatgyűjtési végpontok vezérlik. Nem konfigurálhatók privát hivatkozásokon keresztül.
Azure Resource Manager
A korábban ismertetett hozzáférés korlátozása az erőforrás adataira vonatkozik. A konfigurációs módosításokat, például a hozzáférési beállítások be- vagy kikapcsolását azonban az Azure Resource Manager felügyeli. A beállítások szabályozásához korlátozza az erőforrásokhoz való hozzáférést a megfelelő szerepkörök, engedélyek, hálózati vezérlők és naplózás használatával. További információ: Azure Monitor szerepkörök, engedélyek és biztonság.
Feljegyzés
A Resource Manager API-val küldött lekérdezések nem használhatják az Azure Monitor privát hivatkozásait. Ezek a lekérdezések csak akkor haladhatnak át, ha a célerőforrás nyilvános hálózatokról engedélyezi a lekérdezéseket (a Hálózatelkülönítés panelen vagy a parancssori felület használatával).
A következő szolgáltatásokról ismert, hogy lekérdezéseket futtatnak a Resource Manager API-val:
- Logika Alkalmazás-összekötő
- Az Update Management megoldás
- Változáskövetési megoldás
- Virtuálisgép-elemzések
- Container Insights
- Log Analytics-munkaterület összefoglalása (elavult) panel (amely a megoldások irányítópultját jeleníti meg)
Az Application Insights szempontjai
- Hozzá kell adnia a figyelt számítási feladatokat futtató erőforrásokat egy privát hivatkozáshoz. Lásd például a Privát végpontok használata az Azure Web Apphoz című témakört.
- A nem portálhasználati élményeknek a felügyelt számítási feladatokat tartalmazó, privát társított virtuális hálózaton is futniuk kell.
- A Profiler és a Hibakereső privát hivatkozásainak támogatásához saját tárfiókot kell megadnia.
Feljegyzés
A munkaterület-alapú Application Insights teljes körű védelméhez zárolnia kell az Application Insights-erőforráshoz és a mögöttes Log Analytics-munkaterülethez való hozzáférést.
A Log Analytics szempontjai
Vegye figyelembe az alábbi Log Analytics-szempontokat.
Log Analytics-megoldáscsomagok letöltése
A Log Analytics-ügynököknek egy globális tárfiókhoz kell hozzáférnie a megoldáscsomagok letöltéséhez. A 2021. április 19-én vagy azt követően (vagy 2021 júniusától az Azure szuverén felhőkben) létrehozott privát kapcsolat beállításai elérhetik az ügynökök megoldáscsomag-tárolóját a privát kapcsolaton keresztül. Ez a képesség egy, a következőhöz blob.core.windows.net
létrehozott DNS-zónán keresztül érhető el.
Ha a privát kapcsolat beállítása 2021. április 19. előtt lett létrehozva, az nem éri el a megoldáscsomagok tárolóját egy privát kapcsolaton keresztül. Ennek kezeléséhez a következőkre van lehetőség:
Hozza létre újra az AMPLS-t és a hozzá csatlakoztatott privát végpontot.
Engedélyezze az ügynökök számára, hogy a tárfiókot a nyilvános végponton keresztül érjék el a tűzfal engedélyezési listájához a következő szabályok hozzáadásával:
Felhőkörnyezet Ügynök erőforrása Portok Irány Nyilvános Azure scadvisorcontent.blob.core.windows.net 443 Kimenő Azure Government usbn1oicore.blob.core.usgovcloudapi.net 443 Kimenő A 21Vianet által üzemeltetett Microsoft Azure mceast2oicore.blob.core.chinacloudapi.cn 443 Kimenő
Egyéni naplók és IIS-naplók gyűjtése privát hivatkozáson keresztül
A tárfiókok az egyéni naplók betöltési folyamatában használatosak. Alapértelmezés szerint a szolgáltatás által felügyelt tárfiókokat használja a rendszer. Az egyéni naplók privát hivatkozásokon való betöltéséhez saját tárfiókokat kell használnia, és azokat a Log Analytics-munkaterületekhez kell társítania.
A saját tárfiók csatlakoztatásáról további információt az Ügyfél által birtokolt tárfiókok naplóbetöltéshez, valamint a Privát kapcsolatok és a Tárfiókok összekapcsolása a Log Analytics-munkaterülethez való használatával című témakörben talál.
Automation
Ha Olyan Log Analytics-megoldásokat használ, amelyek azure Automation-fiókot igényelnek (például Frissítéskezelés, Változáskövetés vagy Leltár), akkor az Automation-fiókhoz is létre kell hoznia egy privát hivatkozást. További információ: Hálózatok biztonságos csatlakoztatása az Azure Automationhez az Azure Private Link használatával.
Feljegyzés
Egyes termékek és az Azure Portal a Resource Manageren keresztül kérdezik le az adatokat. Ebben az esetben nem fognak tudni adatokat lekérdezni privát kapcsolaton keresztül, kivéve, ha a privát kapcsolat beállításai a Resource Managerre is vonatkoznak. A korlátozás leküzdése érdekében úgy konfigurálhatja az erőforrásokat, hogy fogadjanak lekérdezéseket a nyilvános hálózatokról az erőforrásokhoz való hálózati hozzáférés szabályozása című cikkben leírtak szerint. (A betöltés a privát kapcsolati hálózatokra korlátozódhat.) A következő termékeket és szolgáltatásokat azonosítottuk a Munkaterületek lekérdezéséhez a Resource Manageren keresztül:
- Logika Alkalmazás-összekötő
- Az Update Management megoldás
- Változáskövetési megoldás
- A munkaterület összegzése (elavult) panel a portálon (amely a megoldások irányítópultját jeleníti meg)
- Virtuálisgép-elemzések
- Container Insights
Felügyelt Prometheus-szempontok
- A Private Link betöltési beállításai az AMPLS és az adatgyűjtési végpontok (DCE-k) beállításaival készülnek, amelyek a Prometheus-metrikák tárolásához használt Azure Monitor-munkaterületre hivatkoznak.
- A Private Link lekérdezési beállításai közvetlenül a Prometheus-metrikák tárolására használt Azure Monitor-munkaterületen érhetők el, és az AMPLS-en keresztül nem kezelhetők.
Követelmények
Vegye figyelembe a következő követelményeket.
Hálózati alhálózat mérete
A legkisebb támogatott IPv4-alhálózat a /27 (CIDR-alhálózat-definíciók használatával). Bár az Azure-beli virtuális hálózatok akár /29 is lehetnek, az Azure öt IP-címet foglal le. Az Azure Monitor privát kapcsolat beállításához legalább 11 további IP-cím szükséges, még akkor is, ha egyetlen munkaterülethez csatlakozik. Tekintse át a végpont DNS-beállításait az Azure Monitor privát kapcsolati végpontjainak listájához.
Ügynökök
A Windows- és Linux-ügynökök legújabb verzióit kell használni a Log Analytics-munkaterületek biztonságos betöltésének támogatásához. A régebbi verziók nem tudnak monitorozási adatokat feltölteni privát hálózaton keresztül.
Azure Monitor Windows-ügynökök
Az Azure Monitor Windows-ügynök 1.1.1.0-s vagy újabb verziója (adatgyűjtési végpontok használatával).
Azure Monitor Linux-ügynökök
Az Azure Monitor Linux-ügynök 1.10.5.0-s vagy újabb verziója (adatgyűjtési végpontok használatával).
Log Analytics Windows-ügynök (elavult)
Használja a Log Analytics-ügynök 10.20.18038.0-s vagy újabb verzióját.
Log Analytics Linux-ügynök (elavult)
Használja az ügynök 1.12.25-ös vagy újabb verzióját. Ha nem, futtassa a következő parancsokat a virtuális gépen:
$ sudo /opt/microsoft/omsagent/bin/omsadmin.sh -X
$ sudo /opt/microsoft/omsagent/bin/omsadmin.sh -w <workspace id> -s <workspace key>
Azure Portal
Az Azure Monitor Portál olyan szolgáltatásainak, mint az Application Insights, a Log Analytics és az adatgyűjtési végpontok használatához engedélyeznie kell, hogy az Azure Portal és az Azure Monitor bővítmények elérhetők legyenek a magánhálózatokon. Adja hozzá az AzureActiveDirectory, az AzureResourceManager, az AzureFrontDoor.FirstParty és az AzureFrontdoor.Frontend szolgáltatáscímkéket a hálózati biztonsági csoporthoz.
Szoftveres hozzáférés
Ha privát hálózatokon szeretné használni a REST API-t, az Azure CLI-t vagy a PowerShellt az Azure Monitorral, adja hozzá az AzureActiveDirectory és az AzureResourceManager szolgáltatáscímkéket a tűzfalhoz.
Application Insights SDK-letöltések tartalomkézbesítési hálózatról
Csomagolja be a JavaScript-kódot a szkriptbe, hogy a böngésző ne kíséreljen meg kódot letölteni CDN-ről. Példa a GitHubon.
Böngésző DNS-beállításai
Ha privát kapcsolaton keresztül csatlakozik az Azure Monitor-erőforrásokhoz, ezeknek az erőforrásoknak a forgalmának a hálózaton konfigurált privát végponton kell áthaladnia. A privát végpont engedélyezéséhez frissítse a DNS-beállításokat a Csatlakozás privát végponthoz című témakörben leírtak szerint. Egyes böngészők saját DNS-beállításokat használnak a beállítottak helyett. Előfordulhat, hogy a böngésző megpróbál csatlakozni az Azure Monitor nyilvános végpontjaihoz, és teljesen megkerüli a privát kapcsolatot. Győződjön meg arról, hogy a böngésző beállításai nem bírálják felül vagy gyorsítótárazzák a régi DNS-beállításokat.
Lekérdezési korlátozás: externaldata operátor
- Az
externaldata
operátor nem támogatott privát hivatkozáson keresztül, mert adatokat olvas be a tárfiókokból, de nem garantálja, hogy a tárterület privát módon érhető el. - Az Azure Data Explorer-proxy (ADX-proxy) lehetővé teszi, hogy a napló lekérdezései lekérdezik az Azure Data Explorert. Az ADX-proxy nem támogatott privát kapcsolaton keresztül, mert nem garantálja, hogy a megcélzott erőforrás privát módon érhető el.
Következő lépések
- Megtudhatja, hogyan konfigurálhatja a privát hivatkozást.
- Ismerje meg az egyéni naplók és az ügyfél által felügyelt kulcsok privát tárolását .
- További információ a Private Link for Automation szolgáltatásról.