Az Azure Private Link beállításának megtervezése

  • Cikk

Az Azure Private Link-példány beállítása előtt fontolja meg a hálózati topológiát és a DNS-útválasztási topológiát.

Ahogyan azt az Azure Private Link használata a hálózatok Azure Monitorhoz való csatlakoztatásához ismerteti, a privát kapcsolat beállítása hatással van az összes Azure Monitor-erőforrás forgalmára. Ez különösen igaz az alkalmazás Elemzések erőforrásokra. Nem csak a privát végponthoz csatlakoztatott hálózatot, hanem az azonos DNS-t használó összes többi hálózatot is érinti.

A legegyszerűbb és legbiztonságosabb megközelítés:

  1. Egyetlen privát kapcsolati kapcsolat létrehozása egyetlen privát végponttal és egyetlen Azure Monitor Private Link-hatókörrel (AMPLS). Ha a hálózatok társviszonyban vannak, hozza létre a privát kapcsolati kapcsolatot a megosztott (vagy központi) virtuális hálózaton.
  2. Adja hozzá az összes Azure Monitor-erőforrást, például az Alkalmazás Elemzések-összetevőket, a Log Analytics-munkaterületeket és az adatgyűjtési végpontokat az AMPLS-hez.
  3. A hálózati kimenő forgalom lehető legnagyobb mértékű letiltása.

Ha nem tudja hozzáadni az összes Azure Monitor-erőforrást az AMPLS-hez, akkor is alkalmazhatja a privát hivatkozást néhány erőforrásra, ahogyan azt a Privát kapcsolatok a hálózatokra való alkalmazásának szabályozása című témakör ismerteti. Ezt a megközelítést nem javasoljuk, mert nem akadályozza meg az adatkiszivárgást.

Tervezés hálózati topológia szerint

Fontolja meg a hálózati topológiát a tervezési folyamatban.

Vezérelv: A DNS-felülbírálások elkerülése egyetlen AMPLS használatával

Egyes hálózatok több virtuális hálózatból vagy más csatlakoztatott hálózatból állnak. Ha ezek a hálózatok ugyanazt a DNS-t használják, egy privát kapcsolat beállítása bármelyiken frissítené a DNS-t, és hatással lenne az összes hálózat forgalmára.

Az alábbi ábrán a 10.0.1.x virtuális hálózat csatlakozik az AMPLS1-hez, amely olyan DNS-bejegyzéseket hoz létre, amelyek az Azure Monitor-végpontokat a 10.0.1.x tartomány ip-címeihez rendelik. Később a 10.0.2.x virtuális hálózat csatlakozik az AMPLS2-hez, amely felülbírálja ugyanazokat a DNS-bejegyzéseket azáltal, hogy a 10.0.2.x tartományból leképezi ugyanazokat a globális/regionális végpontokat IP-címekre. Mivel ezek a virtuális hálózatok nincsenek társviszonyban, az első virtuális hálózat nem éri el ezeket a végpontokat.

Az ütközés elkerülése érdekében DNS-enként csak egyetlen AMPLS-objektumot hozzon létre.

Diagram that shows DNS overrides in multiple virtual networks.

Küllős hálózatok

A küllős hálózatoknak egyetlen privát kapcsolati kapcsolatot kell használniuk a központi (fő) hálózaton, és nem minden küllős virtuális hálózaton.

Diagram that shows a hub-and-spoke single private link.

Megjegyzés:

Érdemes lehet külön privát kapcsolatokat létrehozni a küllős virtuális hálózatokhoz, például engedélyezni, hogy az egyes virtuális hálózatok korlátozott számú monitorozási erőforráshoz férhessenek hozzá. Ilyen esetekben minden virtuális hálózathoz létrehozhat egy dedikált privát végpontot és AMPLS-t. A DNS-felülbírálások elkerülése érdekében azt is ellenőriznie kell, hogy nem ugyanazokkal a DNS-zónákkal rendelkeznek-e.

Társhálózatok

A hálózati társviszony-létesítést különböző topológiákban használják, a küllőn és a küllőn kívül. Az ilyen hálózatok megoszthatják egymás IP-címét, és nagy valószínűséggel ugyanazt a DNS-t használhatják. Ilyen esetekben hozzon létre egyetlen privát kapcsolatot egy olyan hálózaton, amely elérhető a többi hálózat számára. Ne hozzon létre több privát végpontot és AMPLS-objektumot, mert végső soron csak a DNS utolsó halmaza érvényes.

Izolált hálózatok

Ha a hálózatok nincsenek társviszonyban, a privát kapcsolatok használatához külön kell különítenie a DNS-üket is. Ezt követően hozzon létre egy külön privát végpontot minden hálózathoz, és egy külön AMPLS-objektumot. Az AMPLS-objektumok ugyanahhoz a munkaterülethez/összetevőhöz vagy más-máshoz kapcsolhatók.

Helyi tesztelés: A gép gazdagépfájljának szerkesztése a DNS helyett

Ha helyileg szeretné tesztelni a privát kapcsolatokat anélkül, hogy a hálózat többi ügyfelet érintené, ne frissítse a DNS-t a privát végpont létrehozásakor. Ehelyett szerkessze a gép gazdagépfájlját, hogy kéréseket küldjön a privát kapcsolat végpontjainak:

  • Állítson be egy privát hivatkozást, de amikor privát végponthoz csatlakozik, válassza ki , hogy ne integráljon automatikusan a DNS-sel (5b. lépés).
  • Konfigurálja a megfelelő végpontokat a gépek gazdagépfájljaiban. A megfeleltetést igénylő Azure Monitor-végpontok áttekintéséhez tekintse át a végpont DNS-beállításait.

Éles környezetekhez nem javasoljuk ezt a megközelítést.

A privát kapcsolat hozzáférési módokkal szabályozhatja, hogy a privát kapcsolatok hogyan befolyásolják a hálózati forgalmat. Ezek a beállítások az AMPLS-objektumra (az összes csatlakoztatott hálózatra hatással) vagy a hozzá csatlakoztatott meghatározott hálózatokra vonatkozhatnak.

A megfelelő hozzáférési mód kiválasztása kritikus fontosságú a folyamatos, zavartalan hálózati forgalom biztosításához. Az alábbi módok mindegyike beállítható a betöltéshez és a lekérdezésekhez, külön:

  • Csak privát: Lehetővé teszi, hogy a virtuális hálózat csak a privát kapcsolat erőforrásait (az AMPLS-ben lévő erőforrásokat) érje el. Ez a legbiztonságosabb munkamód. Megakadályozza az adatkiszivárgást azáltal, hogy blokkolja az AMPLS-ből az Azure Monitor-erőforrásokba történő forgalmat. Diagram that shows the AMPLS Private Only access mode.
  • Megnyitás: Lehetővé teszi, hogy a virtuális hálózat privát kapcsolatú erőforrásokat és erőforrásokat is elérjen az AMPLS-ben nem (ha a nyilvános hálózatokról érkező forgalmat fogadják). A Nyílt hozzáférés mód nem akadályozza meg az adatok kiszivárgását, de továbbra is a privát hivatkozások egyéb előnyeit kínálja. A privát kapcsolati erőforrások felé érkező forgalom privát végpontokon keresztül lesz elküldve, érvényesítve és továbbítva a Microsoft gerinchálózatán keresztül. A Nyitott mód hasznos lehet vegyes munkamód esetén (egyes erőforrások nyilvános és mások privát kapcsolaton keresztüli elérése) vagy fokozatos előkészítési folyamat során. Diagram that shows the AMPLS Open access mode. A hozzáférési módok külön vannak beállítva a betöltéshez és a lekérdezésekhez. Beállíthatja például a csak privát módot a betöltéshez, a lekérdezések megnyitási módját.

A hozzáférési mód kiválasztásakor körültekintően járjon el. A Csak magánhálózati hozzáférési mód használata letiltja az AMPLS-ben nem szereplő erőforrások forgalmát az azonos DNS-t használó összes hálózatban, függetlenül az előfizetéstől vagy a bérlőtől. Ez alól kivételt képeznek a Log Analytics betöltési kérelmei, amelyek magyarázata. Ha nem tudja hozzáadni az összes Azure Monitor-erőforrást az AMPLS-hez, először adja hozzá a kiválasztott erőforrásokat, és alkalmazza a Nyílt hozzáférési módot. A maximális biztonság érdekében csak akkor váltson a Csak privát módra, ha hozzáadta az összes Azure Monitor-erőforrást az AMPLS-hez.

A konfiguráció részleteiről és példáiról az API-k és a parancssor használata című témakörben olvashat.

Megjegyzés:

A Log Analytics-betöltés erőforrás-specifikus végpontokat használ. Ezért nem tartja be az AMPLS hozzáférési módokat. Annak biztosítása érdekében, hogy a Log Analytics betöltési kérései nem férnek hozzá a munkaterületekhez az AMPLS-ből, állítsa be a hálózati tűzfalat úgy, hogy az AMPLS hozzáférési módtól függetlenül blokkolja a nyilvános végpontok felé irányuló forgalmat.

Hozzáférési módok beállítása adott hálózatokhoz

Az AMPLS-erőforráson beállított hozzáférési módok minden hálózatra hatással vannak, de ezeket a beállításokat felülbírálhatja bizonyos hálózatok esetében.

Az alábbi ábrán a VNet1 a Megnyitás, a VNet2 pedig a Csak privát módot használja. A VNet1 kérései privát kapcsolaton keresztül elérhetik az 1. és a 2. munkaterületet. A kérések csak akkor érhetik el a 3. összetevőt, ha a nyilvános hálózatokról érkező forgalmat fogadja el. A VNet2-kérelmek nem érik el a 3. összetevőt. Diagram that shows mixed access modes.

AZ AMPLS korlátainak figyelembe vévee

Az AMPLS-objektumra a következő korlátozások vonatkoznak:

  • Egy virtuális hálózat csak egy AMPLS-objektumhoz tud csatlakozni. Ez azt jelenti, hogy az AMPLS-objektumnak hozzáférést kell biztosítania az összes Azure Monitor-erőforráshoz, amelyhez a virtuális hálózatnak hozzáféréssel kell rendelkeznie.
  • Az AMPLS-objektumok legfeljebb 300 Log Analytics-munkaterülethez és 1000 alkalmazás-Elemzések összetevőhöz csatlakozhatnak.
  • Egy Azure Monitor-erőforrás (munkaterület vagy alkalmazás Elemzések összetevő vagy adatgyűjtési végpont) legfeljebb öt AMPLS-hez csatlakozhat.
  • Az AMPLS-objektumok legfeljebb 10 privát végponthoz csatlakozhatnak.

Megjegyzés:

A 2021. december 1. előtt létrehozott AMPLS-erőforrások csak 50 erőforrást támogatnak.

Az alábbi ábrán:

  • Minden virtuális hálózat csak egy AMPLS-objektumhoz csatlakozik.
  • Az AMPLS A két munkaterülethez és egy Application Insight-összetevőhöz csatlakozik a lehetséges 300 Log Analytics-munkaterület közül kettővel, valamint a lehetséges 1000 alkalmazás-Elemzések összetevő egyikével, amelyhez csatlakozhat.
  • A 2. munkaterület az öt lehetséges AMPLS-kapcsolat közül kettővel csatlakozik az AMPLS A-hez és az AMPLS B-hez.
  • Az AMPLS B két virtuális hálózat (VNet2 és VNet3) privát végpontjaihoz csatlakozik a 10 lehetséges privát végpontkapcsolat közül kettő használatával.

Diagram that shows AMPLS limits.

Az erőforrásokhoz való hálózati hozzáférés szabályozása

A Log Analytics-munkaterületek vagy az alkalmazás Elemzések összetevői a következőre állíthatók be:

  • Nyilvános hálózatokból (az erőforrás AMPLS-hez nem csatlakozó hálózatokból) történő betöltés elfogadása vagy letiltása.
  • Nyilvános hálózatokról (az erőforrás AMPLS-hez nem csatlakozó hálózatokról) érkező lekérdezések elfogadása vagy letiltása.

Ez a részletesség lehetővé teszi a hozzáférés beállítását az igényeinek megfelelően, munkaterületenként. Előfordulhat például, hogy csak privát kapcsolattal rendelkező hálózatokon keresztül fogadja el a betöltést (ami konkrét virtuális hálózatokat jelent), de mégis úgy dönt, hogy az összes hálózatból, nyilvános és privát hálózatból fogad lekérdezéseket.

A nyilvános hálózatokról érkező lekérdezések blokkolása azt jelenti, hogy az olyan ügyfelek, mint a csatlakoztatott AMPLS-en kívüli gépek és SDK-k, nem tudnak adatokat lekérdezni az erőforrásban. Az adatok közé tartoznak a naplók, a metrikák és az élő metrikák streamje. A nyilvános hálózatok lekérdezéseinek letiltása hatással van a lekérdezéseket futtató összes felületre, például munkafüzetekre, irányítópultokra, az Azure Portalon található megállapításokra, valamint az Azure Portalon kívülről futtatott lekérdezésekre.

Megjegyzés:

Vannak bizonyos kivételek, amelyekben ezek a beállítások nem érvényesek. A részleteket a következő szakaszban találja.

Az adatgyűjtési végpontok beállíthatók úgy, hogy elfogadják vagy letiltják a nyilvános hálózatok (az erőforrás AMPLS-hez nem csatlakozó hálózatok) hozzáférését.

A konfigurációs információkért lásd: Erőforrás-hozzáférési jelzők beállítása.

Kivételek

Jegyezze fel a következő kivételeket.

Diagnostic logs

A munkaterületre diagnosztikai beállításokon keresztül feltöltött naplók és metrikák biztonságos privát Microsoft-csatornán haladnak át, és ezek a beállítások nem vezérlik őket.

Egyéni metrikák vagy Azure Monitor-vendégmetrikák

Az Azure Monitor-ügynökön keresztül gyűjtött és feltöltött egyéni metrikákat (előzetes verzió) nem az adatgyűjtési végpontok vezérlik. Nem konfigurálhatók privát hivatkozásokon keresztül.

Azure Resource Manager

A korábban ismertetett hozzáférés korlátozása az erőforrás adataira vonatkozik. A konfigurációs módosításokat, például a hozzáférési beállítások be- vagy kikapcsolását azonban az Azure Resource Manager felügyeli. A beállítások szabályozásához korlátozza az erőforrásokhoz való hozzáférést a megfelelő szerepkörök, engedélyek, hálózati vezérlők és naplózás használatával. További információ: Azure Monitor szerepkörök, engedélyek és biztonság.

Megjegyzés:

A Resource Manager API-val küldött lekérdezések nem használhatják az Azure Monitor privát hivatkozásait. Ezek a lekérdezések csak akkor haladhatnak át, ha a célerőforrás nyilvános hálózatokról engedélyezi a lekérdezéseket (a Hálózatelkülönítés panelen vagy a parancssori felület használatával).

A következő szolgáltatásokról ismert, hogy lekérdezéseket futtatnak a Resource Manager API-val:

  • Logika Alkalmazás-összekötő
  • Az Update Management megoldás
  • Változáskövetési megoldás
  • VM Insights
  • Container Insights
  • Log Analytics-munkaterület összefoglalása (elavult) panel (amely a megoldások irányítópultját jeleníti meg)

Az alkalmazás Elemzések szempontjai

  • Hozzá kell adnia a figyelt számítási feladatokat futtató erőforrásokat egy privát hivatkozáshoz. Lásd például a Privát végpontok használata az Azure Web Apphoz című témakört.
  • A nem portálhasználati élményeknek a felügyelt számítási feladatokat tartalmazó, privát társított virtuális hálózaton is futniuk kell.
  • A Profiler és a Hibakereső privát hivatkozásainak támogatásához saját tárfiókot kell megadnia.

Megjegyzés:

A munkaterületalapú alkalmazás Elemzések teljes körű védelméhez le kell zárnia az Alkalmazás Elemzések erőforráshoz és az alapul szolgáló Log Analytics-munkaterülethez való hozzáférést.

A Log Analytics szempontjai

Vegye figyelembe az alábbi Log Analytics-szempontokat.

Log Analytics-megoldáscsomagok letöltése

A Log Analytics-ügynököknek egy globális tárfiókhoz kell hozzáférnie a megoldáscsomagok letöltéséhez. A 2021. április 19-én vagy azt követően (vagy 2021 júniusától az Azure szuverén felhőkben) létrehozott privát kapcsolat beállításai elérhetik az ügynökök megoldáscsomag-tárolóját a privát kapcsolaton keresztül. Ez a képesség egy, a következőhöz blob.core.windows.netlétrehozott DNS-zónán keresztül érhető el.

Ha a privát kapcsolat beállítása 2021. április 19. előtt lett létrehozva, az nem éri el a megoldáscsomagok tárolóját egy privát kapcsolaton keresztül. Ennek kezeléséhez a következőkre van lehetőség:

  • Hozza létre újra az AMPLS-t és a hozzá csatlakoztatott privát végpontot.

  • Engedélyezze az ügynökök számára, hogy a tárfiókot a nyilvános végponton keresztül érjék el a tűzfal engedélyezési listájához a következő szabályok hozzáadásával:

    Felhőkörnyezet Ügynök erőforrása Ports Direction
    Nyilvános Azure scadvisorcontent.blob.core.windows.net 443 Kimenő
    Azure Government usbn1oicore.blob.core.usgovcloudapi.net 443 Kimenő
    A 21Vianet által üzemeltetett Microsoft Azure mceast2oicore.blob.core.chinacloudapi.cn 443 Kimenő

A tárfiókok az egyéni naplók betöltési folyamatában használatosak. Alapértelmezés szerint a szolgáltatás által felügyelt tárfiókokat használja a rendszer. Az egyéni naplók privát hivatkozásokon való betöltéséhez saját tárfiókokat kell használnia, és azokat a Log Analytics-munkaterületekhez kell társítania.

A saját tárfiók csatlakoztatásáról további információt az Ügyfél által birtokolt tárfiókok naplóbetöltéshez, valamint a Privát kapcsolatok és a Tárfiókok összekapcsolása a Log Analytics-munkaterülethez való használatával című témakörben talál.

Automation

Ha Olyan Log Analytics-megoldásokat használ, amelyek azure Automation-fiókot igényelnek (például Frissítéskezelés, Változáskövetés vagy Leltár), akkor az Automation-fiókhoz is létre kell hoznia egy privát hivatkozást. További információ: Hálózatok biztonságos csatlakoztatása az Azure Automationhez az Azure Private Link használatával.

Megjegyzés:

Egyes termékek és az Azure Portal a Resource Manageren keresztül kérdezik le az adatokat. Ebben az esetben nem fognak tudni adatokat lekérdezni privát kapcsolaton keresztül, kivéve, ha a privát kapcsolat beállításai a Resource Managerre is vonatkoznak. A korlátozás leküzdése érdekében úgy konfigurálhatja az erőforrásokat, hogy fogadjanak lekérdezéseket a nyilvános hálózatokról az erőforrásokhoz való hálózati hozzáférés szabályozása című cikkben leírtak szerint. (A betöltés a privát kapcsolati hálózatokra korlátozódhat.) A következő termékeket és szolgáltatásokat azonosítottuk a Munkaterületek lekérdezéséhez a Resource Manageren keresztül:

  • Logika Alkalmazás-összekötő
  • Az Update Management megoldás
  • Változáskövetési megoldás
  • A munkaterület összegzése (elavult) panel a portálon (amely a megoldások irányítópultját jeleníti meg)
  • VM Insights
  • Container Insights

Felügyelt Prometheus-szempontok

  • A Private Link betöltési beállításai az AMPLS és az adatgyűjtési végpontok (DCE-k) beállításaival készülnek, amelyek a Prometheus-metrikák tárolásához használt Azure Monitor-munkaterületre hivatkoznak.
  • A Private Link lekérdezési beállításai közvetlenül a Prometheus-metrikák tárolására használt Azure Monitor-munkaterületen érhetők el, és az AMPLS-en keresztül nem kezelhetők.

Requirements

Vegye figyelembe a következő követelményeket.

Hálózati alhálózat mérete

A legkisebb támogatott IPv4-alhálózat a /27 (CIDR-alhálózat-definíciók használatával). Bár az Azure-beli virtuális hálózatok akár /29 is lehetnek, az Azure öt IP-címet foglal le. Az Azure Monitor privát kapcsolat beállításához legalább 11 további IP-cím szükséges, még akkor is, ha egyetlen munkaterülethez csatlakozik. Tekintse át a végpont DNS-beállításait az Azure Monitor privát kapcsolati végpontjainak listájához.

Ügynökök

A Windows- és Linux-ügynökök legújabb verzióit kell használni a Log Analytics-munkaterületek biztonságos betöltésének támogatásához. A régebbi verziók nem tudnak monitorozási adatokat feltölteni privát hálózaton keresztül.

Azure Monitor Windows-ügynökök

Az Azure Monitor Windows-ügynök 1.1.1.0-s vagy újabb verziója (adatgyűjtési végpontok használatával).

Azure Monitor Linux-ügynökök

Az Azure Monitor Windows-ügynök 1.10.5.0-s vagy újabb verziója (adatgyűjtési végpontok használatával).

Log Analytics Windows-ügynök (elavultsági útvonalon)

Használja a Log Analytics-ügynök 10.20.18038.0-s vagy újabb verzióját.

Log Analytics Linux-ügynök (elavultsági útvonalon)

Használja az ügynök 1.12.25-ös vagy újabb verzióját. Ha nem, futtassa a következő parancsokat a virtuális gépen:

$ sudo /opt/microsoft/omsagent/bin/omsadmin.sh -X
$ sudo /opt/microsoft/omsagent/bin/omsadmin.sh -w <workspace id> -s <workspace key>

Azure Portal

Az Azure Monitor-portál olyan szolgáltatásainak használatához, mint az alkalmazás Elemzések, a Log Analytics és az adatgyűjtési végpontok, engedélyeznie kell az Azure Portal és az Azure Monitor-bővítmények számára, hogy elérhetők legyenek a magánhálózatokon. Adja hozzá az AzureActiveDirectory, az AzureResourceManager, az AzureFrontDoor.FirstParty és az AzureFrontdoor.Frontendszolgáltatáscímkéket a hálózati biztonsági csoporthoz.

Szoftveres hozzáférés

Ha privát hálózatokon szeretné használni a REST API-t, az Azure CLI-t vagy a PowerShellt az Azure Monitorral, adja hozzá az AzureActiveDirectory és az AzureResourceManager szolgáltatáscímkéketa tűzfalhoz.

Alkalmazás-Elemzések SDK-letöltések tartalomkézbesítési hálózatról

Csomagolja be a JavaScript-kódot a szkriptbe, hogy a böngésző ne kíséreljen meg kódot letölteni CDN-ről. Példa a GitHubon.

Böngésző DNS-beállításai

Ha privát kapcsolaton keresztül csatlakozik az Azure Monitor-erőforrásokhoz, ezeknek az erőforrásoknak a forgalmának a hálózaton konfigurált privát végponton kell áthaladnia. A privát végpont engedélyezéséhez frissítse a DNS-beállításokat a Csatlakozás egy privát végpontra. Egyes böngészők saját DNS-beállításokat használnak a beállítottak helyett. Előfordulhat, hogy a böngésző megpróbál csatlakozni az Azure Monitor nyilvános végpontjaihoz, és teljesen megkerüli a privát kapcsolatot. Győződjön meg arról, hogy a böngésző beállításai nem bírálják felül vagy gyorsítótárazzák a régi DNS-beállításokat.

Lekérdezési korlátozás: externaldata operátor

  • Az externaldata operátor nem támogatott privát hivatkozáson keresztül, mert adatokat olvas be a tárfiókokból, de nem garantálja, hogy a tárterület privát módon érhető el.
  • Az Azure Data Explorer-proxy (ADX-proxy) lehetővé teszi, hogy a napló lekérdezései lekérdezik az Azure Data Explorert. Az ADX-proxy nem támogatott privát kapcsolaton keresztül, mert nem garantálja, hogy a megcélzott erőforrás privát módon érhető el.

Következő lépések