Configurare il collegamento privato

Per configurare un'istanza di Collegamento privato di Azure è necessario:

• Creare un ambito Collegamento privato di Monitoraggio di Azure (AMPLS) con le risorse.
• Creare un endpoint privato nella rete e connetterlo all'ambito.
• Configurare l'accesso necessario nelle risorse di Monitoraggio di Azure.

Questo articolo esamina come viene eseguita la configurazione tramite il portale di Azure. Fornisce un esempio di modello di Azure Resource Manager per automatizzare il processo.

Creare una connessione di collegamento privato tramite il portale di Azure

In questa sezione viene esaminato il processo dettagliato di configurazione di un collegamento privato tramite il portale di Azure. Per creare e gestire un collegamento privato usando la riga di comando o un modello ARM, vedere Usare le API e la riga di comando.

Creare un ambito Collegamento privato di Monitoraggio di Azure

1. Andare a Crea una risorsa nel portale di Azure e cercare Ambito collegamento privato di Monitoraggio di Azure.

   

2. Seleziona Crea.

3. Selezionare un sottoscrizione e un gruppo di risorse.

4. Assegnare un nome alla risorsa AMPLS. Usare un nome significativo e chiaro, ad esempio AppServerProdTelem.

5. Selezionare Rivedi e crea.

   

6. Superare la convalida e selezionare Crea.

Connettere le risorse di Monitoraggio di Azure

Connettere le risorse di Monitoraggio di Azure, ad esempio aree di lavoro Log Analytics, componenti di Application Insights ed endpoint di raccolta dati, all'ambito del collegamento privato di Monitoraggio di Azure (AMPLS).

1. In AMPLS selezionare Risorse di Monitoraggio di Azure nel menu a sinistra. Selezionare Aggiungi.

2. Aggiungere l'area di lavoro o il componente. Selezionando Aggiungi viene visualizzata una finestra di dialogo in cui è possibile selezionare le risorse di Monitoraggio di Azure. È possibile esplorare le sottoscrizioni e i gruppi di risorse. È anche possibile immettere i nomi per filtrarli. Selezionare l'area di lavoro o il componente e selezionare Applica per aggiungerli all'ambito.

   

Nota

Per eliminare le risorse di Monitoraggio di Azure è necessario prima disconnetterli da qualsiasi oggetto AMPLS a cui sono connessi. Non è possibile eliminare le risorse connesse a un AMPLS.

Connettersi a un endpoint privato

Ora che sono disponibili delle risorse connesse alla risorsa AMPLS, creare un endpoint privato per connettere la rete. È possibile eseguire questa attività nel Centro collegamento privato del portale di Azure o all'interno dell'AMPLS, come in questo esempio.

1. Nella risorsa ambito selezionare Connessioni a endpoint privati nel menu delle risorse a sinistra. Selezionare Endpoint privato per avviare il processo di creazione dell'endpoint. È anche possibile approvare le connessioni avviate nel Centro collegamento privato selezionandole e facendo clic su Approva.

   

2. Nella scheda Dati principali selezionare le opzioni per Sottoscrizione e Gruppo di risorse

3. Immettere il nome dell'endpoint e il nome dell'interfaccia di rete

4. Selezionare l'area in cui deve essere attivo l'endpoint privato. L'area deve essere la stessa area della rete virtuale a cui ci si connette.

5. Selezionare Avanti: Risorsa.

   

6. Nella scheda Risorsa selezionare la sottoscrizione che contiene la risorsa Ambito collegamento privato di Monitoraggio di Azure.

7. Per Tipo di risorsa, scegliere Microsoft.insights/privateLinkScopes.

8. Nell'elenco a discesa Risorsa selezionare l'ambito Collegamento privato creato in precedenza.

9. Selezionare Avanti: Rete virtuale.

   

10. Nella scheda Rete virtuale selezionare la rete virtuale e la subnet da connettere alle risorse di Monitoraggio di Azure.

11. Per Criteri di rete per gli endpoint privati, selezionare Modifica se si desidera applicare gruppi di sicurezza di rete o tabelle di route alla subnet che contiene l'endpoint privato.

    In Modifica criteri di rete subnet selezionare le caselle di controllo accanto a Gruppi di sicurezza di rete e Tabelle di route quindi selezionare Salva. Per altre informazioni, vedere Gestire i criteri di rete per gli endpoint privati.

12. Per impostazione predefinita, per la configurazione IP privato, è selezionata l'opzione Allocare dinamicamente l'indirizzo IP. Se si desidera assegnare un indirizzo IP statico, selezionare Allocare in modo statico l'indirizzo IP. Immettere quindi un nome e un indirizzo IP privato.
    Facoltativamente, è possibile selezionare o creare un gruppo di sicurezza dell'applicazione. È possibile usare i gruppi di sicurezza delle applicazioni per raggruppare le macchine virtuali e definire i criteri di sicurezza di rete in base a tali gruppi.

13. Selezionare Avanti: DNS.

    

14. Nella scheda DNS selezionare Sì per Integra con la zona DNS privato e consentire la creazione automatica di una nuova zona DNS privato. Le zone DNS effettive potrebbero essere diverse da quanto illustrato nello screenshot seguente.

    Nota

    Se si seleziona No e si preferisce gestire manualmente i record DNS, completare la configurazione del collegamento privato. Includere questo endpoint privato e la configurazione AMPLS. Quindi configurare il DNS seguendo le istruzioni riportate in Configurazione del DNS dell'endpoint privato di Azure. Assicurarsi di non creare record vuoti come preparazione per la configurazione del collegamento privato. I record DNS creati possono sostituire le impostazioni esistenti e influire sulla connettività con Monitoraggio di Azure.

    Inoltre, se si seleziona Sì o No e si usano i propri server DNS personalizzati, è necessario configurare i server d'inoltro condizionale per i server d'inoltro della zona DNS pubblico indicati nella configurazione DNS privato di Azure. I server d'inoltro condizionale devono inoltrare le query DNS a DNS di Azure.

15. Selezionare Avanti: Tag, quindi selezionare Rivedi + crea.

    

16. In Rivedi + crea una volta superata la convalida selezionare Crea.

A questo punto è stato creato un nuovo endpoint privato connesso a questo file AMPLS.

Configurare l'accesso alle risorse

Finora è stata illustrata la configurazione della rete. È tuttavia consigliabile considerare anche come configurare l'accesso di rete alle risorse monitorate, ad esempio aree di lavoro Log Analytics, componenti di Application Insights ed endpoint di raccolta dati.

Vai al portale di Azure. Nel menu della risorsa trovare Isolamento rete a sinistra. Questa pagina controlla quali reti possono raggiungere la risorsa tramite un collegamento privato e se altre reti possono raggiungerla o meno.

Ambiti collegamento privato di Monitoraggio di Azure connesso

Qui è possibile esaminare e configurare le connessioni della risorsa a un AMPLS. La connessione a un AMPLS consente il traffico dalla rete virtuale connessa a ogni AMPLS per raggiungere la risorsa. Ha lo stesso effetto della connessione dall'ambito effettuata nella sezione Connettere le risorse di Monitoraggio di Azure.

Per aggiungere una nuova connessione, selezionare Aggiungi e selezionare AMPLS. Selezionare Applica per connetterlo. La risorsa può connettersi a cinque oggetti AMPLS, come indicato in Considerare i limiti AMPLS.

Configurazione dell'accesso alle reti virtuali: gestire l'accesso dall'esterno di un ambito Collegamento privato

Le impostazioni nella parte inferiore di questa pagina controllano l'accesso dalle reti pubbliche, ovvero le reti non connesse agli ambiti elencati.

Se si imposta Accetta inserimento dati da reti pubbliche non connesse tramite un ambito Collegamento privato su No, i client come computer o SDK all'esterno degli ambiti connessi non possono caricare dati o inviare log alla risorsa.

Se si imposta Accetta query da reti pubbliche non connesse tramite un ambito Collegamento privato su No, i client come computer o SDK all'esterno degli ambiti connessi non possono eseguire query sui dati nella risorsa.

Tali dati includono l'accesso a log, metriche e flusso delle metriche in tempo reale. Include anche esperienze basate su cartelle di lavoro, dashboard, esperienze client basate su API di query e informazioni dettagliate nel portale di Azure. Inoltre, le esperienze in esecuzione al di fuori del portale di Azure e che eseguono query dei dati di Log Analytics devono essere eseguite anche all'interno della rete virtuale con collegamento privato.

Usare le API e la riga di comando

È possibile automatizzare il processo descritto in precedenza usando modelli ARM, REST e interfacce della riga di comando.

Creare e gestire ambiti di collegamento privato

Per creare e gestire ambiti Collegamento privato, usare l'API REST o l'interfaccia della riga di comando di Azure (az monitor private-link-scope).

Creare un file AMPLS con modalità open access: esempio dell'interfaccia della riga di comando

Il comando dell'interfaccia della riga di comando seguente crea una nuova risorsa AMPLS denominata "my-scope", con modalità di accesso alle query e all'inserimento impostate su Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Creare un file AMPLS con modalità di accesso misto: esempio di PowerShell

Lo script di PowerShell seguente crea una nuova risorsa AMPLS denominata "my-scope", con la modalità di accesso alle query impostata su Open ma le modalità di accesso all'inserimento impostate su PrivateOnly. Questa impostazione consente l'inserimento solo alle risorse nell'AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Creare un AMPLS: modello ARM

Il modello RM seguente crea:

• Un AMPLS denominato "my-scope", con le modalità di accesso alle query e all'inserimento impostate su Open.
• Un'area di lavoro Log Analytics"my-workspace".
• E aggiunge una risorsa con ambito all'"my-scope"AMPLS denominato"my-workspace-connection".

Nota

Assicurarsi di usare una nuova versione dell'API (2021-07-01-preview o successiva) per la creazione dell'oggetto AMPLS (tipo microsoft.insights/privatelinkscopes come indicato di seguito). Il modello ARM documentato in passato usava una versione precedente dell'API, che genera un set AMPLS con QueryAccessMode="Open" e IngestionAccessMode="PrivateOnly".

{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Impostare le modalità di accesso AMPLS: esempio di PowerShell

Per impostare i flag della modalità di accesso in AMPLS, è possibile usare lo script di PowerShell seguente. Lo script seguente imposta i flag su Open. Per usare la modalità Solo privato, usare il valore "PrivateOnly".

Attendere circa 10 minuti per rendere effettivo l'aggiornamento delle modalità di accesso AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group-name"
$scopeName = "my-scope"

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

Impostare i flag di accesso alle risorse

Per gestire i flag di accesso all'area di lavoro o ai componenti, usare i flag [--ingestion-access {Disabled, Enabled}] e [--query-access {Disabled, Enabled}] in az monitor log-analytics workspace o az monitor app-insights component.

Esaminare e convalidare la configurazione del collegamento privato

Seguire i passaggi descritti in questa sezione per esaminare e convalidare la configurazione del collegamento privato.

Esaminare le impostazioni DNS dell'endpoint

L'endpoint privato creato dovrebbe ora avere cinque zone DNS configurate:

• privatelink.monitor.azure.com
• privatelink.oms.opinsights.azure.com
• privatelink.ods.opinsights.azure.com
• privatelink.agentsvc.azure-automation.net
• privatelink.blob.core.windows.net

Ognuna di queste zone esegue il mapping di endpoint specifici di Monitoraggio di Azure agli indirizzi IP privati dal pool di indirizzi IP della rete virtuale. Gli indirizzi IP illustrati nelle immagini seguenti sono solo esempi. La configurazione dovrebbe invece mostrare indirizzi IP privati dalla propria rete.

Importante

AMPLS e le risorse dell'endpoint privato create a partire dal 1° dicembre 2021, usano un meccanismo denominato Compressione endpoint. Ora gli endpoint specifici delle risorse, ad esempio gli endpoint OMS, ODS e AgentSVC, condividono lo stesso indirizzo IP, per area e per zona DNS. Questo meccanismo indica un minor numero di indirizzi IP provenienti dal pool IP della rete virtuale; inoltre, è possibile aggiungere molte altre risorse a AMPLS.

Privatelink-monitor-azure-com

Questa zona copre gli endpoint globali usati da Monitoraggio di Azure, il che significa che gli endpoint servono le richieste a livello globale/a livello di area e non le richieste specifiche delle risorse. Questa zona deve avere endpoint mappati per:

• in.ai: endpoint di inserimento di Application Insights (sia una voce globale che una voce a livello di area).
• api: endpoint di Application Insights e API Log Analytics.
• live: endpoint delle metriche attive di Application Insights.
• profiler: endpoint del profiler di Application Insights.
• snapshot: endpoint snapshot di Application Insights.
• diagservices-query: Application Insights Profiler e Snapshot Debugger (usato quando l'accesso ai risultati di profiler/debugger nel portale di Azure).

Questa zona illustra anche gli endpoint specifici della risorsa per gli endpoint di raccolta dati (DCEs):

• <unique-dce-identifier>.<regionname>.handler.control: endpoint di configurazione privato, parte di una risorsa DCE.
• <unique-dce-identifier>.<regionname>.ingest: endpoint di inserimento privato, parte di una risorsa DCE.

Endpoint di Log Analytics

Importante

AMPLS e endpoint privati creati a partire dal 1° dicembre 2021, usano un meccanismo denominato Compressione endpoint. A questo punto, ogni endpoint specifico della risorsa, ad esempio OMS, ODS e AgentSVC, usa un singolo indirizzo IP, per area e per zona DNS, per tutte le aree di lavoro in tale area. Questo meccanismo indica un minor numero di indirizzi IP provenienti dal pool IP della rete virtuale; inoltre, è possibile aggiungere molte altre risorse a AMPLS.

Log Analytics usa quattro zone DNS:

• privatelink-oms-opinsights-azure-com: copre il mapping specifico dell'area di lavoro agli endpoint OMS. Verrà visualizzata una voce per ogni area di lavoro collegata all'AMPLS connesso a questo endpoint privato.
• privatelink-ods-opinsights-azure-com: copre il mapping specifico dell'area di lavoro agli endpoint ODS, ovvero gli endpoint di inserimento di Log Analytics. Verrà visualizzata una voce per ogni area di lavoro collegata all'AMPLS connesso a questo endpoint privato.
• privatelink-agentsvc-azure-automation-net: copre il mapping specifico dell'area di lavoro agli endpoint di automazione del servizio agente. Verrà visualizzata una voce per ogni area di lavoro collegata all'AMPLS connesso a questo endpoint privato.
• privatelink-blob-core-windows-net: configura la connettività all'account di archiviazione dei pacchetti di soluzioni degli agenti globali. Tramite di esso, gli agenti possono scaricare pacchetti di soluzioni nuovi o aggiornati, noti anche come Management Pack. Per gestire tutti gli agenti di Log Analytics è necessaria una sola voce, indipendentemente dal numero di aree di lavoro usate. Questa voce viene aggiunta solo alle configurazioni di collegamento privato create al 19 aprile 2021 (o a partire da giugno 2021 nei cloud sovrani di Azure).

Lo screenshot seguente mostra gli endpoint mappati per un file AMPLS con due aree di lavoro negli Stati Uniti orientali e un'area di lavoro in Europa occidentale. Si noti che le aree di lavoro degli Stati Uniti orientali condividono gli indirizzi IP. L'endpoint dell'area di lavoro Europa occidentale viene mappato a un indirizzo IP diverso. L'endpoint BLOB non viene visualizzato in questa immagine, ma è configurato.

Verificare di comunicare tramite un collegamento privato

Assicurarsi che il collegamento privato sia in un buon ordine di lavoro:

• Per verificare che le richieste vengano ora inviate tramite l'endpoint privato, è possibile esaminarle con uno strumento di rilevamento di rete o anche con il browser. Ad esempio, quando si tenta di eseguire una query sull'area di lavoro o sull'applicazione, assicurarsi che la richiesta venga inviata all'indirizzo IP privato mappato all'endpoint API. In questo esempio è 172.17.0.9.

  Nota

  Alcuni browser potrebbero usare altre impostazioni DNS. Per altre informazioni, vedere Impostazioni DNS del browser. Assicurarsi che vengano applicate le impostazioni DNS.

• Per assicurarsi che le aree di lavoro o i componenti non ricevano richieste da reti pubbliche (non connesse tramite AMPLS), impostare i flag di query e inserimento pubblico della risorsa su No, come illustrato in Configurare l'accesso alle risorse.

• Da un client nella rete protetta, usare nslookup per qualsiasi endpoint elencato nelle zone DNS. Deve essere risolto dal server DNS agli INDIRIZZI IP privati mappati anziché agli INDIRIZZI IP pubblici usati per impostazione predefinita.

Passaggi successivi

• Informazioni sull'archiviazione privata per i log personalizzati e le chiavi gestite dal cliente.
• Informazioni su Collegamento privato per Automazione di Azure.
• Informazioni sui nuovi endpoint di raccolta dati.