Menggunakan Azure Private Link untuk menyambungkan jaringan ke Azure Monitor

  • Artikel

Azure Private Link memungkinkan Anda menautkan layanan Azure PaaS dengan aman ke jaringan virtual Anda menggunakan titik akhir privat. Azure Monitor adalah konstelasi dari berbagai layanan yang saling terhubung yang bekerja sama untuk memantau beban kerja Anda. Tautan privat Azure Monitor menghubungkan titik akhir privat ke sekumpulan sumber daya Azure Monitor untuk menentukan batas jaringan pemantauan Anda. Set itu disebut Azure Monitor Private Link Scope (AMPLS).

Catatan

Tautan privat Azure Monitor disusun secara berbeda dari tautan privat ke layanan lain yang mungkin Anda gunakan. Alih-alih membuat beberapa tautan privat, satu untuk setiap sumber daya yang disambungkan jaringan virtual, Azure Monitor menggunakan satu koneksi tautan privat, dari jaringan virtual ke AMPLS. AMPLS adalah kumpulan semua sumber daya Azure Monitor tempat jaringan virtual terhubung melalui tautan privat.

Kelebihan

Dengan Private Link Anda dapat:

  • Koneksi secara privat ke Azure Monitor tanpa membuka akses jaringan publik apa pun.
  • Pastikan data pemantauan Anda hanya diakses melalui jaringan privat resmi.
  • Cegah penyelundupan data dari jaringan privat Anda dengan menentukan sumber daya Azure Monitor tertentu yang terhubung melalui titik akhir privat Anda.
  • Sambungkan jaringan lokal privat Anda dengan aman ke Azure Monitor dengan menggunakan Azure ExpressRoute dan Private Link.
  • Simpan semua lalu lintas di dalam jaringan backbone Azure.

Untuk informasi selengkapnya, lihat Manfaat kunci Private Link.

Cara kerjanya: Prinsip utama

Tautan privat Azure Monitor menghubungkan titik akhir privat ke sekumpulan sumber daya Azure Monitor yang terdiri dari ruang kerja Analitik Log dan sumber daya Application Insights. Set itu disebut Azure Monitor Private Link Scope.

Diagram that shows basic resource topology.

An AMPLS:

  • Menggunakan IP privat: Titik akhir privat di jaringan virtual Anda memungkinkannya menjangkau titik akhir Azure Monitor melalui IP privat dari kumpulan jaringan Anda, alih-alih menggunakan IP publik dari titik akhir ini. Untuk alasan ini, Anda dapat terus menggunakan sumber daya Azure Monitor tanpa membuka jaringan virtual Anda untuk lalu lintas keluar yang tidak diperlukan.
  • Berjalan di backbone Azure: Lalu lintas dari titik akhir privat ke sumber daya Azure Monitor Anda akan melewati backbone Azure dan tidak dirutekan ke jaringan publik.
  • Mengontrol sumber daya Azure Monitor mana yang dapat dijangkau: Mengonfigurasi AMPLS Anda ke mode akses pilihan Anda. Anda hanya dapat mengizinkan lalu lintas ke sumber daya Private Link atau ke sumber daya Private Link dan non-Private-Link (sumber daya di luar AMPLS).
  • Mengontrol akses jaringan ke sumber daya Azure Monitor Anda: Mengonfigurasi setiap ruang kerja atau komponen Anda untuk menerima atau memblokir lalu lintas dari jaringan publik. Anda dapat menerapkan pengaturan yang berbeda untuk permintaan penyerapan dan kueri.

Saat Anda menyiapkan koneksi tautan privat, zona DNS Anda memetakan titik akhir Azure Monitor ke IP privat untuk mengirim lalu lintas melalui tautan privat. Azure Monitor menggunakan titik akhir khusus sumber daya dan titik akhir global/regional bersama untuk menjangkau ruang kerja dan komponen di AMPLS Anda.

Peringatan

Karena Azure Monitor menggunakan beberapa titik akhir bersama (artinya titik akhir yang tidak spesifik sumber daya), menyiapkan tautan privat bahkan untuk satu sumber daya mengubah konfigurasi DNS yang memengaruhi lalu lintas ke semua sumber daya. Dengan kata lain, lalu lintas ke semua ruang kerja atau komponen dipengaruhi oleh satu penyiapan tautan privat.

Penggunaan titik akhir bersama juga berarti Anda harus menggunakan AMPLS tunggal untuk semua jaringan yang berbagi DNS yang sama. Membuat beberapa sumber daya AMPLS akan menyebabkan zona DNS Azure Monitor saling mengambil alih dan merusak lingkungan yang ada. Untuk mempelajari selengkapnya, lihat Merencanakan menurut topologi jaringan.

Titik akhir global dan regional bersama

Saat Anda mengonfigurasi Private Link bahkan untuk satu sumber daya, lalu lintas ke titik akhir berikut akan dikirim melalui IP privat yang dialokasikan:

  • Semua titik akhir Application Insights: Titik akhir yang menangani penyerapan, metrik langsung, Profiler, dan debugger ke titik akhir Application Insights bersifat global.
  • Titik akhir kueri: Titik akhir menangani kueri ke sumber daya Application Insights dan Log Analytics bersifat global.

Penting

Membuat tautan privat memengaruhi lalu lintas ke semua sumber daya pemantauan, tidak hanya sumber daya di AMPLS Anda. Secara efektif, ini akan menyebabkan semua permintaan kueri dan penyerapan komponen Application Insights melalui IP privat. Ini tidak berarti validasi tautan privat berlaku untuk semua permintaan ini.

Sumber daya yang tidak ditambahkan ke AMPLS hanya dapat dicapai jika mode akses AMPLS terbuka dan sumber daya target menerima lalu lintas dari jaringan publik. Saat Anda menggunakan IP privat, validasi tautan privat tidak berlaku untuk sumber daya yang tidak ada di AMPLS. Untuk mempelajari selengkapnya, lihat Mode akses Private Link.

Pengaturan Private Link untuk Prometheus Terkelola dan menyerap data ke ruang kerja Azure Monitor Anda dikonfigurasi pada Titik Akhir Pengumpulan Data untuk sumber daya yang dirujuk. Pengaturan untuk mengkueri ruang kerja Azure Monitor Anda melalui Private Link dibuat langsung di ruang kerja Azure Monitor dan tidak ditangani melalui AMPLS.

Titik akhir khusus sumber daya

Titik akhir Analitik Log adalah ruang kerja khusus, kecuali untuk titik akhir kueri yang dibahas sebelumnya. Akibatnya, menambahkan ruang kerja Analitik Log tertentu ke AMPLS akan mengirim permintaan penyerapan ke ruang kerja ini melalui tautan privat. Penyerapan ke ruang kerja lain akan terus menggunakan titik akhir publik.

Titik akhir pengumpulan data juga spesifik sumber daya. Anda dapat menggunakannya untuk mengonfigurasi pengaturan penyerapan secara unik untuk mengumpulkan data telemetri OS tamu dari komputer Anda (atau set komputer) saat Anda menggunakan Agen Azure Monitor baru dan aturan pengumpulan data. Mengonfigurasi titik akhir pengumpulan data untuk sekumpulan komputer tidak memengaruhi penyerapan telemetri tamu dari komputer lain yang menggunakan agen baru.

Penting

Mulai 1 Desember 2021, konfigurasi DNS titik akhir privat akan menggunakan mekanisme Kompresi Titik Akhir, yang mengalokasikan satu alamat IP privat untuk semua ruang kerja di wilayah yang sama. Ini meningkatkan skala yang didukung (hingga 300 ruang kerja dan 1.000 komponen per AMPLS) dan mengurangi jumlah total IP yang diambil dari kumpulan IP jaringan.

Seperti yang dibahas di tautan privat Azure Monitor yang mengandalkan DNS Anda, hanya satu sumber daya AMPLS yang harus dibuat untuk semua jaringan yang berbagi DNS yang sama. Akibatnya, organisasi yang menggunakan DNS global atau regional tunggal memiliki satu tautan privat untuk mengelola lalu lintas ke semua sumber daya Azure Monitor, di semua jaringan global atau regional.

Untuk tautan privat yang dibuat sebelum September 2021, itu berarti:

  • Konsumsi log hanya berfungsi untuk sumber daya di AMPLS. Konsumsi untuk semua sumber daya lain ditolak (di semua jaringan yang berbagi DNS yang sama), terlepas dari langganan atau penyewa.
  • Kueri memiliki perilaku yang lebih terbuka yang memungkinkan permintaan kueri untuk menjangkau bahkan sumber daya yang tidak ada di AMPLS. Niat di sini adalah untuk menghindari melanggar kueri pelanggan ke sumber daya yang tidak ada di AMPLS dan memungkinkan kueri yang berfokus pada sumber daya untuk mengembalikan tataan hasil lengkap.

Perilaku ini terbukti terlalu ketat bagi beberapa pelanggan karena memutus penyerapan ke sumber daya yang tidak ada di AMPLS. Tetapi terlalu permisif bagi orang lain karena memungkinkan kueri sumber daya tidak di AMPLS.

Mulai September 2021, tautan privat memiliki pengaturan AMPLS wajib baru yang secara eksplisit mengatur bagaimana mereka harus memengaruhi lalu lintas jaringan. Saat membuat sumber daya AMPLS baru, Anda sekarang diharuskan untuk memilih mode akses yang Anda inginkan untuk penyerapan dan kueri secara terpisah:

  • Mode Privat Saja: Memungkinkan lalu lintas hanya ke sumber daya Private Link.
  • Mode terbuka: Menggunakan Private Link untuk berkomunikasi dengan sumber daya di AMPLS, tetapi juga memungkinkan lalu lintas untuk melanjutkan ke sumber daya lain. Untuk mempelajari selengkapnya, lihat Mengontrol bagaimana tautan privat berlaku untuk jaringan Anda.

Meskipun permintaan kueri Analitik Log dipengaruhi oleh pengaturan mode akses AMPLS, permintaan penyerapan Analitik Log menggunakan titik akhir khusus sumber daya dan tidak dikontrol oleh mode akses AMPLS. Untuk memastikan permintaan penyerapan Analitik Log tidak dapat mengakses ruang kerja dari AMPLS, atur firewall jaringan untuk memblokir lalu lintas ke titik akhir publik, terlepas dari mode akses AMPLS.

Catatan

Jika Anda telah mengonfigurasi Analitik Log dengan Private Link dengan awalnya mengatur aturan grup keamanan jaringan untuk mengizinkan lalu lintas keluar oleh ServiceTag:AzureMonitor, VM yang terhubung mengirim log melalui titik akhir publik. Nantinya, jika Anda mengubah aturan untuk menolak lalu lintas keluar dengan ServiceTag:AzureMonitor, VM yang terhubung terus mengirim log hingga Anda me-reboot VM atau memotong sesi. Untuk memastikan konfigurasi yang diinginkan langsung berpengaruh, reboot VM yang terhubung.

Langkah berikutnya