Connessione a un'origine dati privatamente

  • Articolo

In questa guida si apprenderà come connettere l'istanza di Grafana gestita di Azure a un'origine dati usando un endpoint privato gestito. Gli endpoint privati gestiti di Grafana gestiti di Azure sono endpoint creati in un Rete virtuale gestito usato dal servizio Grafana gestito di Azure. Stabiliscono collegamenti privati da tale rete alle origini dati di Azure. Grafana gestito di Azure configura e gestisce questi endpoint privati per conto dell'utente. È possibile creare endpoint privati gestiti da Grafana gestito di Azure per accedere ad altri servizi gestiti di Azure (ad esempio, ambito di collegamento privato di Monitoraggio di Azure o area di lavoro di Monitoraggio di Azure) e origini dati self-hosted (ad esempio, connettersi a Prometheus self-hosted dietro un servizio di collegamento privato).

Quando si usano endpoint privati gestiti, il traffico tra Grafana gestito di Azure e le relative origini dati attraversa esclusivamente la rete backbone Microsoft senza passare attraverso Internet. Gli endpoint privati gestiti proteggono dall'esfiltrazione di dati. Un endpoint privato gestito usa un indirizzo IP privato del Rete virtuale gestito per portare in modo efficace l'area di lavoro Grafana gestita di Azure in tale rete. Ogni endpoint privato gestito viene mappato a una risorsa specifica in Azure e non all'intero servizio. I clienti possono limitare la connettività solo alle risorse approvate dalle organizzazioni.

Una connessione endpoint privato viene creata in uno stato "In sospeso" quando si crea un endpoint privato gestito nell'area di lavoro Grafana gestita di Azure. Viene avviato un flusso di lavoro di approvazione. Il proprietario della risorsa collegamento privato è responsabile dell'approvazione o del rifiuto della nuova connessione. Se il proprietario approva la connessione, il collegamento privato viene stabilito. In caso contrario, il collegamento privato non è configurato. Grafana gestito di Azure mostra lo stato di connessione corrente. È possibile usare solo un endpoint privato gestito in uno stato approvato per inviare il traffico alla risorsa di collegamento privato connessa all'endpoint privato gestito.

Anche se gli endpoint privati gestiti sono gratuiti, potrebbero essere previsti addebiti associati all'utilizzo del collegamento privato in un'origine dati. Per altre informazioni, vedere i dettagli dei prezzi dell'origine dati.

Nota

Gli endpoint privati gestiti sono attualmente disponibili solo in Azure Global.

Origini dati supportate

Gli endpoint privati gestiti funzionano con i servizi di Azure che supportano il collegamento privato. Usandoli, è possibile connettere l'area di lavoro Grafana gestita di Azure agli archivi dati di Azure seguenti tramite connettività privata:

  • Azure Cosmos DB per Mongo DB
  • Azure Cosmos DB for PostgreSQL
  • Esplora dati di Azure
  • Ambito del collegamento privato di Monitoraggio di Azure (ad esempio, area di lavoro Log Analytics)
  • Area di lavoro di Monitoraggio di Azure per Il servizio gestito per Prometheus
  • Istanza gestita di database SQL di Azure
  • Server di Azure SQL
  • Servizi collegamento privato
  • Azure Databricks
  • Server flessibili di Database di Azure per PostgreSQL

Prerequisiti

Per seguire i passaggi descritti in questa guida, è necessario disporre di:

Creare un endpoint privato gestito per l'area di lavoro di Monitoraggio di Azure

È possibile creare un endpoint privato gestito nell'area di lavoro Grafana gestita di Azure per connettersi a un'origine dati supportata usando un collegamento privato.

  1. Nella portale di Azure passare all'area di lavoro Grafana e quindi selezionare Rete.

  2. Selezionare Endpoint privato gestito e quindi Crea.

    Screenshot del portale di Azure creare un endpoint privato gestito.

  3. Nel riquadro Nuovo endpoint privato gestito compilare le informazioni necessarie per la connessione della risorsa.

    Screenshot della portale di Azure nuovi dettagli dell'endpoint privato gestito per l'area di lavoro monitoraggio di Azure.

  4. Selezionare un tipo di risorsa di Azure, ad esempio Microsoft.Monitor/accounts per il servizio gestito di Monitoraggio di Azure per Prometheus.

  5. Selezionare Crea per aggiungere la risorsa dell'endpoint privato gestito.

  6. Contattare il proprietario dell'area di lavoro di Monitoraggio di Azure di destinazione per approvare la richiesta di connessione.

Nota

Dopo l'approvazione della nuova connessione endpoint privato, tutto il traffico di rete tra l'area di lavoro Grafana gestita di Azure e l'origine dati selezionata scorrerà solo attraverso la rete backbone di Azure.

Se si dispone di un'origine dati interna alla rete virtuale, ad esempio un server InfluxDB ospitato in una macchina virtuale di Azure o un server Loki ospitato all'interno del cluster del servizio Azure Kubernetes, è possibile connetterlo a Grafana gestito di Azure. È prima necessario aggiungere un accesso al collegamento privato a tale risorsa usando il servizio collegamento privato di Azure. I passaggi esatti necessari per configurare un collegamento privato dipendono dal tipo di risorsa di Azure. Fare riferimento alla documentazione del servizio di hosting disponibile. Questo articolo descrive ad esempio come creare un servizio di collegamento privato in servizio Azure Kubernetes specificando un oggetto servizio kubernetes.

Dopo aver configurato il servizio di collegamento privato, è possibile creare un endpoint privato gestito nell'area di lavoro Grafana che si connette al nuovo collegamento privato.

  1. Nella portale di Azure passare alla risorsa Grafana e quindi selezionare Rete.

  2. Selezionare Endpoint privato gestito e quindi Crea.

    Screenshot del portale di Azure creare un endpoint privato gestito.

  3. Nel riquadro Nuovo endpoint privato gestito compilare le informazioni necessarie per la connessione della risorsa.

    Screenshot del portale di Azure nuovi dettagli dell'endpoint privato gestito per i servizi di collegamento privato.

    Suggerimento

    Il campo Nome di dominio è facoltativo. Se si specifica un nome di dominio, Grafana gestito di Azure garantisce che questo nome di dominio venga risolto nell'indirizzo IP privato dell'endpoint privato gestito all'interno della rete gestita del servizio di Grafana. È possibile usare questo nome di dominio nella configurazione dell'URL dell'origine dati di Grafana anziché nell'indirizzo IP privato. Sarà necessario usare il nome di dominio se è stato abilitato TLS o SNI (Server Name Indication) per l'archivio dati self-hosted.

  4. Selezionare Crea per aggiungere la risorsa dell'endpoint privato gestito.

  5. Contattare il proprietario del servizio collegamento privato di destinazione per approvare la richiesta di connessione.

  6. Dopo l'approvazione della richiesta di connessione, selezionare Aggiorna per assicurarsi che lo stato della connessione sia Approvato e venga visualizzato l'indirizzo IP privato.

Nota

Il passaggio Aggiorna non può essere ignorato, perché l'aggiornamento attiva un'operazione di sincronizzazione di rete da Parte di Grafana gestita di Azure. Una volta approvata la nuova connessione dell'endpoint privato gestito, tutto il traffico di rete tra l'area di lavoro Grafana gestita di Azure e l'origine dati selezionata scorrerà solo la rete backbone di Azure.

Passaggi successivi

In questa guida pratica si è appreso come configurare l'accesso privato tra un'area di lavoro Grafana gestita di Azure e un'origine dati. Per informazioni su come configurare l'accesso privato dagli utenti a un'area di lavoro di Grafana gestita di Azure, vedere Configurare l'accesso privato.