Uw privékoppeling configureren

  • Artikel

Voor het configureren van een exemplaar van Azure Private Link moet u het volgende doen:

  • Maak een Azure Monitor Private Link Scope (AMPLS) met resources.
  • Maak een privé-eindpunt in uw netwerk en verbind het met het bereik.
  • Configureer de vereiste toegang op uw Azure Monitor-resources.

In dit artikel wordt beschreven hoe de configuratie wordt uitgevoerd via Azure Portal. Het bevat een voorbeeld van een Azure Resource Manager-sjabloon (ARM-sjabloon) om het proces te automatiseren.

In deze sectie bekijken we het stapsgewijze proces voor het instellen van een privékoppeling via Azure Portal. Als u een privékoppeling wilt maken en beheren met behulp van de opdrachtregel of een ARM-sjabloon, raadpleegt u API's en de opdrachtregel gebruiken.

  1. Ga naar Een resource maken in Azure Portal en zoek naar Azure Monitor Private Link Scope.

    Screenshot showing finding Azure Monitor Private Link Scope.

  2. Selecteer Maken.

  3. Selecteer een abonnement en resourcegroep.

  4. Geef de AMPLS een naam. Gebruik een duidelijke en duidelijke naam, zoals AppServerProdTelem.

  5. Selecteer Controleren + maken.

    Screenshot that shows creating an Azure Monitor Private Link Scope.

  6. Laat de validatie slagen en selecteer Maken.

Azure Monitor-resources Verbinding maken

Verbinding maken Azure Monitor-resources zoals Log Analytics-werkruimten, Application Insights-onderdelen en eindpunten voor gegevensverzameling) naar uw Azure Monitor Private Link Scope (AMPLS).

  1. Selecteer in uw AMPLS Azure Monitor-resources in het menu aan de linkerkant. Selecteer Toevoegen.

  2. Voeg de werkruimte of het onderdeel toe. Als u Toevoegen selecteert, wordt een dialoogvenster geopend waarin u Azure Monitor-resources kunt selecteren. U kunt door uw abonnementen en resourcegroepen bladeren. U kunt ook hun namen invoeren om ze te filteren. Selecteer de werkruimte of het onderdeel en selecteer Toepassen om deze toe te voegen aan uw bereik.

    Screenshot that shows selecting a scope.

Notitie

Als u Azure Monitor-resources verwijdert, moet u ze eerst loskoppelen van alle AMPLS-objecten waarmee ze zijn verbonden. Het is niet mogelijk om resources te verwijderen die zijn verbonden met een AMPLS.

Verbinding maken naar een privé-eindpunt

Nu u resources hebt die zijn verbonden met uw AMPLS, maakt u een privé-eindpunt om uw netwerk te verbinden. U kunt deze taak uitvoeren in het Private Link-centrum van Azure Portal of in uw AMPLS, zoals in dit voorbeeld wordt gedaan.

  1. Selecteer in uw bereikresource privé-eindpuntverbindingen in het resourcemenu aan de linkerkant. Selecteer Privé-eindpunt om het proces voor het maken van het eindpunt te starten. U kunt hier ook verbindingen goedkeuren die zijn gestart in het Private Link-centrum door ze te selecteren en Goedkeuren te selecteren.

    Screenshot that shows Private Endpoint connections.

  2. Selecteer op het tabblad Basisbeginselen het abonnement en de resourcegroep

  3. Voer de naam van het eindpunt en de netwerkinterfacenaam in

  4. Selecteer de regio waarin het privé-eindpunt zich moet bevinden. De regio moet dezelfde regio zijn als het virtuele netwerk waarmee u verbinding maakt.

  5. Selecteer Volgende: Resource.

    A screenshot showing the create private endpoint basics tab.

  6. Selecteer op het tabblad Resource het abonnement dat uw Azure Monitor Private Link-bereikresource bevat.

  7. Selecteer Microsoft.insights/privateLinkScopes als resourcetype.

  8. Selecteer in de vervolgkeuzelijst Resource het Private Link-bereik dat u eerder hebt gemaakt.

  9. Selecteer Volgende: Virtueel netwerk.

    Screenshot that shows the Create a private endpoint page in the Azure portal with the Resource tab selected.

  10. Selecteer op het tabblad Virtueel netwerk het virtuele netwerk en het subnet dat u wilt verbinden met uw Azure Monitor-resources.

  11. Voor netwerkbeleid voor privé-eindpunten selecteert u bewerken als u netwerkbeveiligingsgroepen of routetabellen wilt toepassen op het subnet dat het privé-eindpunt bevat.

    Schakel in Subnetnetwerkbeleid bewerken de selectievakjes in naast netwerkbeveiligingsgroepen en routetabellen en selecteer Opslaan. Zie Netwerkbeleid voor privé-eindpunten beheren voor meer informatie.

  12. Voor privé-IP-configuratie is standaard dynamisch IP-adres toewijzen geselecteerd. Als u een statisch IP-adres wilt toewijzen, selecteert u Statisch IP-adres toewijzen. Voer vervolgens een naam en privé-IP in.
    U kunt eventueel een toepassingsbeveiligingsgroep selecteren of maken. U kunt toepassingsbeveiligingsgroepen gebruiken om virtuele machines te groeperen en netwerkbeveiligingsbeleid te definiëren op basis van deze groepen.

  13. Selecteer Volgende: DNS.

    Screenshot that shows the Create a private endpoint page in the Azure portal with the Virtual Network tab selected.

  14. Selecteer op het tabblad DNS ja voor integreren met privé-DNS-zone en laat deze automatisch een nieuwe privé-DNS-zone maken. De werkelijke DNS-zones kunnen afwijken van wat wordt weergegeven in de volgende schermopname.

    Notitie

    Als u Nee selecteert en dns-records handmatig wilt beheren, moet u eerst de instelling van uw privékoppeling voltooien. Neem dit privé-eindpunt en de AMPLS-configuratie op. Configureer vervolgens uw DNS volgens de instructies in de DNS-configuratie van het privé-eindpunt van Azure. Zorg ervoor dat u geen lege records maakt als voorbereiding voor het instellen van uw privékoppeling. De DNS-records die u maakt, kunnen bestaande instellingen overschrijven en van invloed zijn op uw connectiviteit met Azure Monitor.

  15. Selecteer Volgende: Tags en selecteer Vervolgens Beoordelen en maken.

    Screenshot that shows the Create a private endpoint page in the Azure portal with the DNS tab selected.

  16. Nadat de validatie is geslaagd, selecteert u Maken op het tabblad Controleren en maken.

U hebt nu een nieuw privé-eindpunt gemaakt dat is verbonden met deze AMPLS.

Toegang tot uw resources configureren

Tot nu toe hebben we de configuratie van uw netwerk behandeld. Maar u moet ook overwegen hoe u netwerktoegang tot uw bewaakte resources wilt configureren, zoals Log Analytics-werkruimten, Application Insights-onderdelen en eindpunten voor gegevensverzameling.

Ga naar de Azure-portal. Zoek in het menu van uw resource netwerkisolatie aan de linkerkant. Op deze pagina wordt bepaald welke netwerken de resource kunnen bereiken via een privékoppeling en of andere netwerken deze wel of niet kunnen bereiken.

Screenshot that shows Network Isolation.

Hier kunt u de verbindingen van de resource met een AMPLS controleren en configureren. Verbinding maken naar een AMPLS kan verkeer van het virtuele netwerk dat is verbonden met elke AMPLS de resource bereiken. Het heeft hetzelfde effect als het verbinden vanuit het bereik, zoals we hebben gedaan in de sectie Verbinding maken Azure Monitor-resources.

Als u een nieuwe verbinding wilt toevoegen, selecteert u Toevoegen en selecteert u de AMPLS. Selecteer Toepassen om er verbinding mee te maken. Uw resource kan verbinding maken met vijf AMPLS-objecten, zoals vermeld in AmpLS-limieten overwegen.

De instellingen in het onderste gedeelte van deze pagina bepalen de toegang van openbare netwerken, wat betekent dat netwerken die niet zijn verbonden met de vermelde bereiken.

Als u Gegevensopname accepteren instelt van openbare netwerken die niet zijn verbonden via een Private Link-bereik op Nee, kunnen clients zoals computers of SDK's buiten de verbonden bereiken geen gegevens uploaden of logboeken naar de resource verzenden.

Als u Accept-query's instelt van openbare netwerken die niet zijn verbonden via een Private Link-bereik op Nee, kunnen clients zoals computers of SDK's buiten de verbonden bereiken geen query's uitvoeren op gegevens in de resource.

Deze gegevens omvatten toegang tot logboeken, metrische gegevens en de live metrische gegevensstroom. Het bevat ook ervaringen die zijn gebouwd op basis van werkmappen, dashboards, clientervaringen op basis van query's en inzichten in Azure Portal. Ervaringen die buiten Azure Portal worden uitgevoerd en die query's uitvoeren op Log Analytics-gegevens, moeten ook worden uitgevoerd in het privé-gekoppelde virtuele netwerk.

API's en de opdrachtregel gebruiken

U kunt het eerder beschreven proces automatiseren met behulp van ARM-sjablonen, REST en opdrachtregelinterfaces.

Als u Private Link-bereiken wilt maken en beheren, gebruikt u de REST API of de Azure CLI (az monitor private-link-scope).

Een AMPLS maken met open-toegangsmodi: CLI-voorbeeld

Met de volgende CLI-opdracht maakt u een nieuwe AMPLS-resource met de naam "my-scope", waarbij de toegangsmodi voor query's en opname zijn ingesteld op Open.

az resource create -g "my-resource-group" --name "my-scope" --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Een AMPLS maken met gemengde toegangsmodi: PowerShell-voorbeeld

Met het volgende PowerShell-script wordt een nieuwe AMPLS-resource gemaakt met de naam "my-scope", waarbij de querytoegangsmodus is ingesteld op Open maar de opnametoegangsmodi zijn ingesteld op PrivateOnly. Deze instelling betekent dat opname alleen voor resources in de AMPLS is toegestaan.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Een AMPLS maken: ARM-sjabloon

Met de volgende ARM-sjabloon wordt het volgende gemaakt:

  • Een AMPLS met de naam "my-scope", waarbij de toegangsmodi voor query's en opname zijn ingesteld op Open.
  • Een Log Analytics-werkruimte met de naam "my-workspace".
  • En voegt een scoped resource toe aan de "my-scope" AMPLS-naam "my-workspace-connection".

Notitie

Zorg ervoor dat u een nieuwe API-versie (2021-07-01-preview of hoger) gebruikt voor het maken van het AMPLS-object (typ microsoft.insights/privatelinkscopes als volgt). De ARM-sjabloon die in het verleden is gedocumenteerd, heeft een oude API-versie gebruikt, wat resulteert in een AMPLS-set met QueryAccessMode="Open" en IngestionAccessMode="PrivateOnly".

{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

AMPLS-toegangsmodi instellen: PowerShell-voorbeeld

Als u de vlagen voor de toegangsmodus wilt instellen voor uw AMPLS, kunt u het volgende PowerShell-script gebruiken. Met het volgende script worden de vlaggen ingesteld op Open. Als u de modus Alleen privé wilt gebruiken, gebruikt u de waarde "PrivateOnly".

Wacht ongeveer 10 minuten totdat de AMPLS-toegangsmodi worden bijgewerkt.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group-name"
$scopeName = "my-scope"

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

Resourcetoegangsvlagmen instellen

Als u de toegangsvlagmen voor werkruimten of onderdelen wilt beheren, gebruikt u de vlaggen [--ingestion-access {Disabled, Enabled}] en [--query-access {Disabled, Enabled}]in az monitor log-analytics-werkruimte of het onderdeel az monitor app-insights.

Volg de stappen in deze sectie om de instellingen van uw privékoppeling te controleren en te valideren.

De DNS-instellingen van uw eindpunt controleren

Het privé-eindpunt dat u hebt gemaakt, moet nu vijf DNS-zones hebben geconfigureerd:

  • privatelink.monitor.azure.com
  • privatelink.oms.opinsights.azure.com
  • privatelink.ods.opinsights.azure.com
  • privatelink.agentsvc.azure.automation.net
  • privatelink.blob.core.windows.net

Elk van deze zones wijst specifieke Azure Monitor-eindpunten toe aan privé-IP-adressen uit de groep IP-adressen van het virtuele netwerk. De IP-adressen die in de volgende afbeeldingen worden weergegeven, zijn slechts voorbeelden. Uw configuratie moet in plaats daarvan privé-IP-adressen van uw eigen netwerk weergeven.

Belangrijk

AMPLS- en privé-eindpuntbronnen die zijn gemaakt vanaf 1 december 2021, gebruiken een mechanisme met de naam Endpoint Compression. Resourcespecifieke eindpunten, zoals de OMS-, ODS- en AgentSVC-eindpunten, delen nu hetzelfde IP-adres, per regio en per DNS-zone. Dit mechanisme betekent dat er minder IP-adressen worden opgehaald uit de IP-adresgroep van het virtuele netwerk en dat er veel meer resources aan de AMPLS kunnen worden toegevoegd.

Deze zone heeft betrekking op de globale eindpunten die worden gebruikt door Azure Monitor, wat betekent dat eindpunten wereldwijd/regionaal aanvragen verwerken en niet resourcespecifieke aanvragen. Voor deze zone moeten eindpunten zijn toegewezen voor:

  • in.ai: Application Insights-opname-eindpunt (zowel een globaal als een regionale vermelding).
  • api: Application Insights- en Log Analytics-API-eindpunt.
  • live: Eindpunt voor live metrische gegevens van Application Insights.
  • profiler: Application Insights profiler-eindpunt.
  • momentopname: Eindpunt van Application Insights-momentopname.
  • diagservices-query: Application Insights Profiler en Snapshot Debugger (gebruikt bij het openen van profiler/foutopsporingsprogramma resultaten in Azure Portal).

Deze zone omvat ook de resourcespecifieke eindpunten voor eindpunten voor gegevensverzameling (DCE's):

  • <unique-dce-identifier>.<regionname>.handler.control: Privéconfiguratie-eindpunt, onderdeel van een DCE-resource.
  • <unique-dce-identifier>.<regionname>.ingest: Privéopname-eindpunt, onderdeel van een DCE-resource.

Screenshot that shows Private DNS zone monitor-azure-com.

Log Analytics-eindpunten

Belangrijk

AMPLSs en privé-eindpunten die zijn gemaakt vanaf 1 december 2021, gebruiken een mechanisme met de naam Endpoint Compression. Nu gebruikt elk resourcespecifiek eindpunt, zoals OMS, ODS en AgentSVC, één IP-adres, per regio en per DNS-zone voor alle werkruimten in die regio. Dit mechanisme betekent dat er minder IP-adressen worden opgehaald uit de IP-adresgroep van het virtuele netwerk en dat er veel meer resources aan de AMPLS kunnen worden toegevoegd.

Log Analytics maakt gebruik van vier DNS-zones:

  • privatelink-oms-opinsights-azure-com: behandelt werkruimtespecifieke toewijzing aan OMS-eindpunten. U ziet nu een vermelding voor elke werkruimte die is gekoppeld aan de AMPLS die is verbonden met dit privé-eindpunt.
  • privatelink-ods-opinsights-azure-com: behandelt werkruimtespecifieke toewijzing aan ODS-eindpunten. Dit zijn de opname-eindpunten van Log Analytics. U ziet nu een vermelding voor elke werkruimte die is gekoppeld aan de AMPLS die is verbonden met dit privé-eindpunt.
  • privatelink-agentsvc-azure-automation-net: behandelt werkruimtespecifieke toewijzing aan de eindpunten voor agentserviceautomatisering. U ziet nu een vermelding voor elke werkruimte die is gekoppeld aan de AMPLS die is verbonden met dit privé-eindpunt.
  • privatelink-blob-core-windows-net: hiermee configureert u de connectiviteit met het opslagaccount van de globale agents. Hierdoor kunnen agents nieuwe of bijgewerkte oplossingspakketten downloaden, die ook wel management packs worden genoemd. Er is slechts één vermelding vereist voor het verwerken van alle Log Analytics-agents, ongeacht het aantal werkruimten dat wordt gebruikt. Deze vermelding wordt alleen toegevoegd aan setups van private link die zijn gemaakt op of na 19 april 2021 (of vanaf juni 2021 in onafhankelijke Azure-clouds).

In de volgende schermopname ziet u eindpunten die zijn toegewezen voor een AMPLS met twee werkruimten in VS - oost en één werkruimte in Europa - west. U ziet dat de werkruimten VS - oost de IP-adressen delen. Het eindpunt van de werkruimte West-Europa wordt toegewezen aan een ander IP-adres. Het blob-eindpunt wordt niet weergegeven in deze afbeelding, maar is geconfigureerd.

Screenshot that shows private link compressed endpoints.

Zorg ervoor dat uw privékoppeling in goede staat is:

  • Als u wilt controleren of uw aanvragen nu via het privé-eindpunt worden verzonden, kunt u deze controleren met een hulpprogramma voor netwerktracking of zelfs uw browser. Wanneer u bijvoorbeeld een query op uw werkruimte of toepassing probeert uit te voeren, moet u ervoor zorgen dat de aanvraag wordt verzonden naar het privé-IP-adres dat is toegewezen aan het API-eindpunt. In dit voorbeeld is dit 172.17.0.9.

    Notitie

    Sommige browsers kunnen andere DNS-instellingen gebruiken. Zie Dns-instellingen voor browsers voor meer informatie. Controleer of uw DNS-instellingen van toepassing zijn.

  • Als u ervoor wilt zorgen dat uw werkruimten of onderdelen geen aanvragen ontvangen van openbare netwerken (niet verbonden via AMPLS), stelt u de openbare opname- en queryvlaggen van de resource in op Nee , zoals wordt uitgelegd in Toegang tot uw resources configureren.

  • Gebruik vanaf een client in uw beveiligde netwerk nslookup een van de eindpunten die worden vermeld in uw DNS-zones. Het moet worden omgezet door uw DNS-server naar de toegewezen privé-IP-adressen in plaats van de openbare IP-adressen die standaard worden gebruikt.

Volgende stappen