Privétoegang instellen

In deze handleiding leert u hoe u openbare toegang tot uw Azure Managed Grafana-werkruimte uitschakelt en privé-eindpunten instelt. Het instellen van privé-eindpunten in Azure Managed Grafana verhoogt de beveiliging door inkomend verkeer alleen naar een specifiek netwerk te beperken.

Vereisten

• Een Azure-account met een actief abonnement. Gratis een account maken
• Een bestaand azure Managed Grafana-exemplaar in de Standard-laag. Maak er een als u dat nog niet hebt gedaan.

Openbare toegang tot een werkruimte uitschakelen

Openbare toegang is standaard ingeschakeld wanneer u een Azure Grafana-werkruimte maakt. Als u openbare toegang uitschakelt, voorkomt u dat al het verkeer toegang heeft tot de resource, tenzij u een privé-eindpunt doorloopt.

Notitie

Wanneer privétoegang is ingeschakeld, werken pinggrafieken met behulp van de functie Vastmaken aan Grafana niet meer omdat azure Portal geen toegang heeft tot een Azure Managed Grafana-werkruimte op een privé-IP-adres.

Portal

1. Navigeer naar uw Azure Managed Grafana-werkruimte in Azure Portal.

2. Selecteer Netwerken in het linkermenu onder Instellingen.

3. Selecteer Onder Openbare toegang uitgeschakeld om openbare toegang tot de Azure Managed Grafana-werkruimte uit te schakelen en alleen toegang via privé-eindpunten toe te staan. Als u al openbare toegang had uitgeschakeld en in plaats daarvan openbare toegang tot uw Azure Managed Grafana-werkruimte wilde inschakelen, selecteert u Ingeschakeld.

4. Selecteer Opslaan.

   

Azure-CLI

Voer in de CLI de opdracht az grafana update uit en vervang de tijdelijke aanduidingen <grafana-workspace> en <resource-group> door uw eigen gegevens:

az grafana update --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled

Een privé-eindpunt maken

Zodra u openbare toegang hebt uitgeschakeld, stelt u een privé-eindpunt in met Azure Private Link. Privé-eindpunten bieden toegang tot uw Azure Managed Grafana-werkruimte met behulp van een privé-IP-adres van een virtueel netwerk.

Portal

1. Selecteer in Netwerken het tabblad Persoonlijke toegang en voeg toe om een nieuw privé-eindpunt in te stellen.

   

2. Vul het tabblad Basisbeginselen in met de volgende informatie:

   Parameter	Description	Voorbeeld
   Abonnement	Selecteer een Azure-abonnement. Uw privé-eindpunt moet zich in hetzelfde abonnement bevinden als uw virtuele netwerk. Verderop in deze instructiegids selecteert u een virtueel netwerk.	MyAzureSubscription
   Resourcegroep	Selecteer een Resourcegroep of maak een nieuwe.	MyResourceGroup
   Naam	Voer een naam in voor het nieuwe privé-eindpunt voor uw Azure Managed Grafana-werkruimte.	MyPrivateEndpoint
   Netwerkinterfacenaam	Dit veld wordt automatisch voltooid. U kunt desgewenst de naam van de netwerkinterface bewerken.	MyPrivateEndpoint-nic
   Regio	Selecteer een regio. Uw privé-eindpunt moet zich in dezelfde regio bevinden als uw virtuele netwerk.	(VS) VS - west-centraal

   

3. Selecteer Volgende: Resource >. Private Link biedt opties voor het maken van privé-eindpunten voor verschillende typen Azure-resources. De huidige Azure Managed Grafana-werkruimte wordt automatisch ingevuld in het veld Resource .

   1. Het resourcetype Microsoft.Dashboard/grafana en de doelsubresource grafana geven aan dat u een eindpunt maakt voor een Azure Managed Grafana-werkruimte.

   2. De naam van uw werkruimte wordt vermeld onder Resource.

      

4. Selecteer Volgende: Virtueel netwerk >.

   1. Selecteer een bestaand virtueel netwerk om het privé-eindpunt te implementeren. Als u geen virtueel netwerk hebt, maakt u een virtueel netwerk.

   2. Selecteer een subnet in de lijst.

   3. Netwerkbeleid voor privé-eindpunten is standaard uitgeschakeld. Selecteer desgewenst bewerken om een netwerkbeveiligingsgroep of een routetabelbeleid toe te voegen. Deze wijziging is van invloed op alle privé-eindpunten die zijn gekoppeld aan het geselecteerde subnet.

   4. Selecteer onder Privé-IP-configuratie de optie voor het dynamisch toewijzen van IP-adressen. Raadpleeg privé-IP-adressen voor meer informatie.

   5. U kunt eventueel een toepassingsbeveiligingsgroep selecteren of maken. Met toepassingsbeveiligingsgroepen kunt u virtuele machines groeperen en netwerkbeveiligingsbeleid definiëren op basis van deze groepen.

      

5. Selecteer Volgende: DNS > om een DNS-record te configureren. Als u geen wijzigingen wilt aanbrengen in de standaardinstellingen, kunt u doorgaan naar het volgende tabblad.

   1. Voor Integreren met privé-DNS-zone selecteert u Ja om uw privé-eindpunt te integreren met een privé-DNS-zone. U kunt ook uw eigen DNS-servers gebruiken of DNS-records maken met behulp van de hostbestanden op uw virtuele machines.

   2. Een abonnement en resourcegroep voor uw privé-DNS-zone worden vooraf geselecteerd. U kunt ze desgewenst wijzigen.

   Voor meer informatie over DNS-configuratie gaat u naar Naamomzetting voor resources in virtuele Azure-netwerken en DNS-configuratie voor privé-eindpunten. Privé-DNS-zonewaarden van Azure Private Endpoint voor Azure Managed Grafana worden vermeld in de DNS-zone van Azure-services.

   

6. Selecteer Volgende: Tags > en eventueel tags maken. Tags zijn naam/waarde-paren waarmee u resources kunt categoriseren en een geconsolideerde facturering kunt weergeven. Hiervoor past u dezelfde tag toe op meerdere resources en resourcegroepen.

7. Selecteer Volgende: Beoordelen en maken > om informatie te bekijken over uw Azure Managed Grafana-werkruimte, privé-eindpunt, virtueel netwerk en DNS. U kunt ook Een sjabloon voor automatisering downloaden selecteren om later JSON-gegevens opnieuw te gebruiken vanuit dit formulier.

8. Selecteer Maken.

Zodra de implementatie is voltooid, krijgt u een melding dat uw eindpunt is gemaakt. Als deze automatisch is goedgekeurd, kunt u privé toegang krijgen tot uw werkruimte. Anders moet u wachten op goedkeuring.

Azure-CLI

1. Als u uw privé-eindpunt wilt instellen, hebt u een virtueel netwerk nodig. Als u er nog geen hebt, maakt u een virtueel netwerk met az network vnet create. Vervang de tijdelijke aanduidingen , <vnet><resource-group>en <subnet><vnet-location> door de naam van uw nieuwe virtuele netwerk, resourcegroep en naam en vnetlocatie.

   az network vnet create --name <vnet> --resource-group <resource-group> --subnet-name <subnet> --location <vnet-location>
   

   Plaatsaanduiding	Omschrijving	Voorbeeld
   <vnet>	Voer een naam in voor uw nieuwe virtuele netwerk. Met een virtueel netwerk kunnen Azure-resources privé communiceren met elkaar en met internet.	MyVNet
   <resource-group>	Voer de naam in van een bestaande resourcegroep voor uw virtuele netwerk.	MyResourceGroup
   <subnet>	Voer een naam in voor uw nieuwe subnet. Een subnet is een netwerk in een netwerk. Hier wordt het privé-IP-adres toegewezen.	MySubnet
   <vnet-location>	Voer een Azure-regio in. Uw virtuele netwerk moet zich in dezelfde regio bevinden als uw privé-eindpunt.	centralus

2. Voer de opdracht az grafana show uit om de eigenschappen op te halen van de Azure Managed Grafana-werkruimte waarvoor u privétoegang wilt instellen. Vervang de tijdelijke aanduiding <grafana-workspace> door de naam van uw werkruimte.

   az grafana show --name <grafana-workspace>
   

   Met deze opdracht wordt een uitvoer gegenereerd met informatie over uw Azure Managed Grafana-werkruimte. Noteer de id waarde. Bijvoorbeeld: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana.

3. Voer de opdracht az network private-endpoint create uit om een privé-eindpunt te maken voor uw Azure Managed Grafana-werkruimte. Vervang de tijdelijke aanduidingen , <resource-group>, <vnet><private-endpoint>, <private-connection-resource-id>en <connection-name><location> door uw eigen informatie.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint> --vnet-name <vnet> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id grafana
   

   Plaatsaanduiding	Omschrijving	Voorbeeld
   <resource-group>	Voer de naam in van een bestaande resourcegroep voor uw privé-eindpunt.	MyResourceGroup
   <private-endpoint>	Voer een naam in voor uw nieuwe privé-eindpunt.	MyPrivateEndpoint
   <vnet>	Voer de naam van een bestaand vnet in.	Myvnet
   <private-connection-resource-id>	Voer de resource-id van de privéverbindingsresource van uw Azure Managed Grafana-werkruimte in. Dit is de id die u hebt opgeslagen in de uitvoer van de vorige stap.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana
   <connection-name>	Voer een verbindingsnaam in.	MyConnection
   <location>	Voer een Azure-regio in. Uw privé-eindpunt moet zich in dezelfde regio bevinden als uw virtuele netwerk.	centralus

Verbinding met private link beheren

Portal

Ga naar Persoonlijke netwerktoegang> in uw Azure Managed Grafana-werkruimte om toegang te krijgen tot de privé-eindpunten die zijn gekoppeld aan uw werkruimte.

1. Controleer de verbindingsstatus van uw private link-verbinding. Wanneer u een privé-eindpunt maakt, moet de verbinding worden goedgekeurd. Als de resource waarvoor u een privé-eindpunt maakt zich in uw directory bevindt en u over voldoende machtigingen beschikt, wordt de verbindingsaanvraag automatisch goedgekeurd. Anders moet u wachten tot de eigenaar van die resource uw verbindingsaanvraag goedkeurt. Ga naar Privé-eindpunten van Azure beheren voor meer informatie over de goedkeuringsmodellen voor verbindingen.

2. Als u een verbinding handmatig wilt goedkeuren, weigeren of verwijderen, schakelt u het selectievakje in naast het eindpunt dat u wilt bewerken en selecteert u een actie-item in het bovenste menu.

3. Selecteer de naam van het privé-eindpunt om de privé-eindpuntresource te openen en toegang te krijgen tot meer informatie of om het privé-eindpunt te bewerken.

   

Azure-CLI

Details van privé-eindpuntverbinding bekijken

Voer de opdracht az network private-endpoint-connection list uit om alle privé-eindpuntverbindingen te controleren die zijn gekoppeld aan uw Azure Managed Grafana-werkruimte en hun verbindingsstatus te controleren. Vervang de tijdelijke aanduidingen <resource-group> en <grafana-workspace> door de naam van de resourcegroep en de Azure Managed Grafana-werkruimte.

az network private-endpoint-connection list --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Als u de details van een specifiek privé-eindpunt wilt ophalen, gebruikt u de opdracht az network private-endpoint-connection show . Vervang de tijdelijke aanduidingen <resource-group> en <grafana-workspace> door de naam van de resourcegroep en de naam van de Azure Managed Grafana-werkruimte.

az network private-endpoint-connection show --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Goedkeuring van verbinding ophalen

Wanneer u een privé-eindpunt maakt, moet de verbinding worden goedgekeurd. Als de resource waarvoor u een privé-eindpunt maakt zich in uw directory bevindt en u over voldoende machtigingen beschikt, wordt de verbindingsaanvraag automatisch goedgekeurd. Anders moet u wachten tot de eigenaar van die resource uw verbindingsaanvraag goedkeurt.

Als u een privé-eindpuntverbinding wilt goedkeuren, gebruikt u de opdracht az network private-endpoint-connection goedkeuren . Vervang de tijdelijke aanduidingen en <resource-group><private-endpoint><grafana-workspace> door de naam van de resourcegroep, de naam van het privé-eindpunt en de naam van de Azure Managed Grafana-resource.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.Dashboard/grafana --resource-name <grafana-workspace>

Ga naar Privé-eindpunten van Azure beheren voor meer informatie over de goedkeuringsmodellen voor verbindingen.

Een privé-eindpuntverbinding verwijderen

Als u een privé-eindpuntverbinding wilt verwijderen, gebruikt u de opdracht az network private-endpoint-connection delete . Vervang de tijdelijke aanduidingen en <resource-group> <private-endpoint> door de naam van de resourcegroep en de naam van het privé-eindpunt.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Voor meer CLI-opdrachten gaat u naar az network private-endpoint-connection

Als u problemen ondervindt met een privé-eindpunt, raadpleegt u de volgende handleiding: Verbindingsproblemen met azure-privé-eindpunten oplossen.

Volgende stappen

In deze handleiding hebt u geleerd hoe u privétoegang kunt instellen van uw gebruikers naar een Azure Managed Grafana-werkruimte. Zie Verbinding maken met een gegevensbron privé voor informatie over het configureren van privétoegang tussen een beheerde Grafana-werkruimte en een gegevensbron.