Configurare l'accesso privato

In questa guida si apprenderà come disabilitare l'accesso pubblico all'area di lavoro Grafana gestita di Azure e configurare gli endpoint privati. La configurazione di endpoint privati in Grafana gestito di Azure aumenta la sicurezza limitando il traffico in ingresso solo a una rete specifica.

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
• Istanza Grafana gestita di Azure esistente nel livello Standard. Crearne una se non è già stato fatto.

Disabilitare l'accesso pubblico a un'area di lavoro

L'accesso pubblico è abilitato per impostazione predefinita quando si crea un'area di lavoro di Azure Grafana. La disabilitazione dell'accesso pubblico impedisce a tutto il traffico di accedere alla risorsa a meno che non si attraversi un endpoint privato.

Nota

Quando l'accesso privato è abilitato, il ping dei grafici tramite la funzionalità Aggiungi a Grafana non funzionerà più perché l'portale di Azure non può accedere a un'area di lavoro di Grafana gestita di Azure in un indirizzo IP privato.

Portale

1. Passare all'area di lavoro Grafana gestita di Azure nella portale di Azure.

2. Nel menu a sinistra, in Impostazioni, selezionare Rete.

3. In Accesso pubblico selezionare Disabilitato per disabilitare l'accesso pubblico all'area di lavoro Grafana gestita di Azure e consentire l'accesso solo tramite endpoint privati. Se è già stato disabilitato l'accesso pubblico e si vuole abilitare l'accesso pubblico all'area di lavoro Grafana gestita di Azure, selezionare Abilitato.

4. Seleziona Salva.

   

Interfaccia della riga di comando di Azure

Nell'interfaccia della riga di comando eseguire il comando az grafana update e sostituire i segnaposto <grafana-workspace> e <resource-group> con le proprie informazioni:

az grafana update --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled

Creare un endpoint privato

Dopo aver disabilitato l'accesso pubblico, configurare un endpoint privato con collegamento privato di Azure. Gli endpoint privati consentono l'accesso all'area di lavoro Grafana gestita di Azure usando un indirizzo IP privato da una rete virtuale.

Portale

1. In Rete selezionare la scheda Accesso privato e quindi Aggiungi per avviare la configurazione di un nuovo endpoint privato.

   

2. Compilare la scheda Informazioni di base con le informazioni seguenti:

   Parametro	Descrizione	Esempio
   Abbonamento	Selezionare una sottoscrizione di Azure. L'endpoint privato deve trovarsi nella stessa sottoscrizione della rete virtuale. Più avanti in questa guida pratica si selezionerà una rete virtuale.	MyAzureSubscription
   Gruppo di risorse	selezionare un gruppo di risorse o crearne uno nuovo.	MyResourceGroup
   Nome	Immettere un nome per il nuovo endpoint privato per l'area di lavoro Grafana gestita di Azure.	MyPrivateEndpoint
   Nome interfaccia di rete	Questo campo viene completato automaticamente. Facoltativamente, modificare il nome dell'interfaccia di rete.	MyPrivateEndpoint-nic
   Area	Scegliere un'area. L'endpoint privato deve trovarsi nella stessa area della rete virtuale.	(Stati Uniti) Stati Uniti centro-occidentali

   

3. Selezionare Avanti: Risorsa >. collegamento privato offre opzioni per creare endpoint privati per diversi tipi di risorse di Azure. L'area di lavoro Grafana gestita di Azure corrente viene compilata automaticamente nel campo Risorsa .

   1. Il tipo di risorsa Microsoft.Dashboard/grafana e la sotto-risorsa di destinazione grafana indicano che si sta creando un endpoint per un'area di lavoro Grafana gestita di Azure.

   2. Il nome dell'area di lavoro è elencato in Risorsa.

      

4. Selezionare Avanti: Rete virtuale >.

   1. Selezionare una rete virtuale esistente in cui distribuire l'endpoint privato. Se non si ha una rete virtuale, creare una rete virtuale.

   2. Selezionare una subnet dall'elenco.

   3. I criteri di rete per gli endpoint privati sono disabilitati per impostazione predefinita. Facoltativamente, selezionare Modifica per aggiungere un gruppo di sicurezza di rete o un criterio tabella di route. Questa modifica influisce su tutti gli endpoint privati associati alla subnet selezionata.

   4. In Configurazione IP privato selezionare l'opzione per allocare gli indirizzi IP in modo dinamico. Per altre informazioni, vedere Indirizzi IP privati.

   5. Facoltativamente, è possibile selezionare o creare un gruppo di sicurezza dell'applicazione. I gruppi di sicurezza delle applicazioni consentono di raggruppare le macchine virtuali e definire i criteri di sicurezza di rete in base a tali gruppi.

      

5. Selezionare Avanti: DNS > per configurare un record DNS. Se non si desidera apportare modifiche alle impostazioni predefinite, è possibile passare alla scheda successiva.

   1. Per Integrazione con la zona DNS privata, selezionare Sì per integrare l'endpoint privato con una zona DNS privata. È anche possibile usare i propri server DNS o creare record DNS usando i file host nelle macchine virtuali.

   2. Una sottoscrizione e un gruppo di risorse per la zona DNS privata sono preseselezionati. È possibile modificarli facoltativamente.

   Per altre informazioni sulla configurazione DNS, vedere Risoluzione dei nomi per le risorse nelle reti virtuali di Azure e configurazione DNS per endpoint privati. I valori della zona DNS privato dell'endpoint privato dell'endpoint privato di Azure per Grafana gestito di Azure sono elencati nella zona DNS dei servizi di Azure.

   

6. Selezionare Avanti : Tag > e, facoltativamente, creare tag. I tag sono coppie nome-valore che consentono di classificare le risorse e visualizzare dati di fatturazione consolidati tramite l'applicazione dello stesso tag a più risorse e gruppi di risorse.

7. Selezionare Avanti: Rivedi e crea > per esaminare le informazioni sull'area di lavoro Grafana gestita di Azure, sull'endpoint privato, sulla rete virtuale e sul DNS. È anche possibile selezionare Scarica un modello per l'automazione per riutilizzare i dati JSON da questo modulo in un secondo momento.

8. Seleziona Crea.

Al termine della distribuzione, si riceverà una notifica che informa che l'endpoint è stato creato. Se è approvata automaticamente, è possibile iniziare ad accedere all'area di lavoro privatamente. In caso contrario, sarà necessario attendere l'approvazione.

Interfaccia della riga di comando di Azure

1. Per configurare l'endpoint privato, è necessaria una rete virtuale. Se non ne è ancora disponibile uno, creare una rete virtuale con az network vnet create. Sostituire i testi <vnet>segnaposto , <resource-group>, <subnet>e <vnet-location> con il nome della nuova rete virtuale, del gruppo di risorse e del nome e della rete virtuale.

   az network vnet create --name <vnet> --resource-group <resource-group> --subnet-name <subnet> --location <vnet-location>
   

   Segnaposto	Descrizione	Esempio
   <vnet>	Immettere un nome per la nuova rete virtuale. Una rete virtuale consente alle risorse di Azure di comunicare privatamente tra loro e con Internet.	MyVNet
   <resource-group>	Immettere il nome di un gruppo di risorse esistente per la rete virtuale.	MyResourceGroup
   <subnet>	Immettere un nome per la nuova subnet. Una subnet è una rete all'interno di una rete. Qui viene assegnato l'indirizzo IP privato.	MySubnet
   <vnet-location>	Immettere un'area di Azure. La rete virtuale deve trovarsi nella stessa area dell'endpoint privato.	centralus

2. Eseguire il comando az grafana show per recuperare le proprietà dell'area di lavoro Grafana gestita di Azure, per cui si vuole configurare l'accesso privato. Sostituire il segnaposto <grafana-workspace> con il nome dell'area di lavoro.

   az grafana show --name <grafana-workspace>
   

   Questo comando genera un output con informazioni sull'area di lavoro Grafana gestita di Azure. Prendere nota del id valore. Ad esempio, /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana.

3. Eseguire il comando az network private-endpoint create per creare un endpoint privato per l'area di lavoro Grafana gestita di Azure. Sostituire i testi <resource-group>segnaposto , <private-endpoint>, <vnet>, <private-connection-resource-id>, <connection-name>e <location> con le proprie informazioni.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint> --vnet-name <vnet> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id grafana
   

   Segnaposto	Descrizione	Esempio
   <resource-group>	Immettere il nome di un gruppo di risorse esistente per l'endpoint privato.	MyResourceGroup
   <private-endpoint>	Immettere un nome per il nuovo endpoint privato.	MyPrivateEndpoint
   <vnet>	Immettere il nome di una rete virtuale esistente.	Myvnet
   <private-connection-resource-id>	Immettere l'ID risorsa di connessione privata dell'area di lavoro Grafana gestita di Azure. Si tratta dell'ID salvato dall'output del passaggio precedente.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana
   <connection-name>	Immettere un nome di connessione.	MyConnection
   <location>	Immettere un'area di Azure. L'endpoint privato deve trovarsi nella stessa area della rete virtuale.	centralus

Gestire una connessione di collegamento privato

Portale

Passare a Accesso privato di rete>nell'area di lavoro Grafana gestita di Azure per accedere agli endpoint privati collegati all'area di lavoro.

1. Controllare lo stato della connessione al collegamento privato. Quando si crea un endpoint privato, la connessione deve essere approvata. Se la risorsa per cui si sta creando un endpoint privato si trova nella directory e si dispone di autorizzazioni sufficienti, la richiesta di connessione verrà approvata automaticamente. In caso contrario, è necessario attendere che il proprietario di tale risorsa approvi la richiesta di connessione. Per altre informazioni sui modelli di approvazione della connessione, vedere Gestire gli endpoint privati di Azure.

2. Per approvare manualmente, rifiutare o rimuovere una connessione, selezionare la casella di controllo accanto all'endpoint da modificare e selezionare una voce di azione dal menu in alto.

3. Selezionare il nome dell'endpoint privato per aprire la risorsa endpoint privato e accedere ad altre informazioni o per modificare l'endpoint privato.

   

Interfaccia della riga di comando di Azure

Esaminare i dettagli della connessione all'endpoint privato

Eseguire il comando az network private-endpoint-connection list per esaminare tutte le connessioni endpoint private collegate all'area di lavoro Grafana gestita di Azure e controllare il relativo stato di connessione. Sostituire i segnaposto <resource-group> e <grafana-workspace> con il nome del gruppo di risorse e dell'area di lavoro Grafana gestita di Azure.

az network private-endpoint-connection list --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Facoltativamente, per ottenere i dettagli di un endpoint privato specifico, usare il comando az network private-endpoint-connection show . Sostituire i testi <resource-group> segnaposto e <grafana-workspace> con il nome del gruppo di risorse e il nome dell'area di lavoro Grafana gestita di Azure.

az network private-endpoint-connection show --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Ottenere l'approvazione della connessione

Quando si crea un endpoint privato, la connessione deve essere approvata. Se la risorsa per cui si sta creando un endpoint privato si trova nella directory e si dispone di autorizzazioni sufficienti, la richiesta di connessione verrà approvata automaticamente. In caso contrario, è necessario attendere che il proprietario di tale risorsa approvi la richiesta di connessione.

Per approvare una connessione endpoint privato, usare il comando az network private-endpoint-connection approve . Sostituire i testi <resource-group>segnaposto , <private-endpoint>e <grafana-workspace> con il nome del gruppo di risorse, il nome dell'endpoint privato e il nome della risorsa Grafana gestita di Azure.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.Dashboard/grafana --resource-name <grafana-workspace>

Per altre informazioni sui modelli di approvazione della connessione, vedere Gestire gli endpoint privati di Azure.

Eliminare una connessione endpoint privato

Per eliminare una connessione endpoint privato, usare il comando az network private-endpoint-connection delete . Sostituire i testi <resource-group> segnaposto e <private-endpoint> con il nome del gruppo di risorse e il nome dell'endpoint privato.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Per altri comandi dell'interfaccia della riga di comando, vedere az network private-endpoint-connection

Se si verificano problemi con un endpoint privato, vedere la guida seguente: Risolvere i problemi di connettività dell'endpoint privato di Azure.

Passaggi successivi

In questa guida pratica si è appreso come configurare l'accesso privato dagli utenti a un'area di lavoro Grafana gestita di Azure. Per informazioni su come configurare l'accesso privato tra un'area di lavoro gestita Grafana e un'origine dati, vedere Connessione a un'origine dati privatamente.