Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Con Collegamento privato di Azure è possibile accedere alle risorse Platform as a Service (PaaS) di Azure nella rete virtuale usando endpoint privati. I collegamenti privati di Monitoraggio di Azure sono strutturati in modo diverso dai collegamenti privati ad altri servizi. Questo articolo descrive i principi principali dei collegamenti privati di Monitoraggio di Azure e il relativo funzionamento.
I vantaggi dell'uso di collegamento privato con Monitoraggio di Azure includono quanto segue. Per altri vantaggi, vedere Vantaggi principali di collegamento privato.
- Collegarsi privatamente ad Azure Monitor senza consentire l'accesso alla rete pubblica. Assicurarsi che l'accesso ai dati di monitoraggio avvenga solo tramite reti private autorizzate.
- Impedire l'esfiltrazione di dati dalle reti private definendo specifiche risorse di Monitoraggio di Azure che si connettono tramite l'endpoint privato.
- Connetti in sicurezza la tua rete locale privata ad Azure Monitor utilizzando Azure ExpressRoute e Private Link.
- Mantenere tutto il traffico all'interno della rete backbone di Azure.
Concetti fondamentali
Anziché creare un collegamento privato per ogni risorsa connessa alla rete virtuale, Azure Monitor utilizza una singola connessione tramite un endpoint privato dalla rete virtuale ad un ambito di Azure Monitor Private Link (AMPLS). AMPLS è un set di risorse di Monitoraggio di Azure che definiscono i limiti della rete di monitoraggio.
Gli aspetti rilevanti dell'AMPLS includono quanto segue:
- Usa indirizzi IP privati: l'endpoint privato nella rete virtuale consente di raggiungere gli endpoint di Monitoraggio di Azure tramite indirizzi IP privati dal pool della rete anziché usare gli indirizzi IP pubblici di questi endpoint. In questo modo è possibile continuare a usare le risorse di Azure Monitor senza aprire la rete virtuale a traffico in uscita non necessario.
- Viene eseguito nel backbone di Azure: il traffico dall'endpoint privato alle risorse di Monitoraggio di Azure passa al backbone di Azure e non viene instradato alle reti pubbliche.
- Controlla quali risorse di Monitoraggio di Azure possono essere raggiunte: configurare se consentire il traffico solo verso le risorse di collegamento privato o verso entrambe le risorse di collegamento privato e quelle non di Private Link all'esterno di AMPLS.
- Controlla l'accesso di rete alle risorse di Monitoraggio di Azure: configurare ognuna delle aree di lavoro o dei componenti per accettare o bloccare il traffico dalle reti pubbliche, usando potenzialmente impostazioni diverse per l'inserimento dati e le richieste di query.
Zone DNS
Quando si crea un AMPLS, le zone DNS mappano gli endpoint di Azure Monitor su indirizzi IP privati per inviare il traffico tramite il collegamento privato. Azure Monitor usa endpoint specifici delle risorse e endpoint globali/regionali condivisi per raggiungere le aree di lavoro e i componenti nel tuo AMPLS.
Poiché Monitoraggio di Azure usa alcuni endpoint condivisi, la configurazione di un collegamento privato anche per una singola risorsa modifica la configurazione DNS che influisce sul traffico verso tutte le risorse. L'uso di endpoint condivisi significa anche usare un singolo AMPLS per tutte le reti che condividono lo stesso DNS. La creazione di più risorse AMPLS farà sì che le zone DNS di Azure Monitor si sovrascrivano tra loro e interrompano gli ambienti esistenti. Per altri dettagli, vedere Pianificare la topologia di rete.
Endpoint globali e locali condivisi
Quando si configura il Collegamento privato anche per una singola risorsa, il traffico verso gli endpoint seguenti verrà inviato tramite gli indirizzi IP privati allocati:
- Tutti gli endpoint di Application Insights: gli endpoint che gestiscono l'inserimento dati, le metriche live, il profiler .NET e il debugger negli endpoint di Application Insights sono globali.
- L'endpoint di query: l'endpoint che gestisce le query per le risorse di Application Insights e Log Analytics è globale.
Endpoint specifici delle risorse
Gli endpoint di Log Analytics sono specifici dell'area di lavoro, ad eccezione dell'endpoint di query descritto in precedenza. Di conseguenza, l'aggiunta di un'area di lavoro di Log Analytics specifica ad AMPLS invierà richieste di inserimento a questa area di lavoro tramite il collegamento privato. L'inserimento in altre aree di lavoro continuerà a usare gli endpoint pubblici.
Anche gli endpoint di raccolta dati sono specifici delle risorse. È possibile usarle per configurare in modo univoco le impostazioni di inserimento per la raccolta dei dati di telemetria del sistema operativo guest dai computer (o dal set di computer) quando si usa il nuovo Agente di Monitoraggio di Azure e le regole di raccolta dati. La configurazione di un endpoint di raccolta dati per un set di computer non influisce sull'inserimento di dati di telemetria guest da altri computer che usano il nuovo agente.
Passaggi successivi
- Progettare la configurazione del Collegamento privato di Azure.
- Informazioni su come configurare un collegamento privato.
- Informazioni sull'archiviazione privata per i log personalizzati e le chiavi gestite dal cliente.