Azure Private Link gebruiken om netwerken te verbinden met Azure Monitor
Met Azure Private Link kunt u veilig PaaS-resources (Platform as a Service) koppelen aan uw virtuele netwerk met behulp van privé-eindpunten. Privékoppelingen van Azure Monitor zijn anders gestructureerd dan privékoppelingen naar andere services. In dit artikel worden de belangrijkste principes van privékoppelingen van Azure Monitor beschreven en hoe ze werken.
De voordelen van het gebruik van Private Link met Azure Monitor zijn onder andere: Zie de belangrijkste voordelen van Private Link voor verdere voordelen.
- Maak privé verbinding met Azure Monitor zonder openbare netwerktoegang toe te staan. Zorg ervoor dat uw bewakingsgegevens alleen worden geopend via geautoriseerde privénetwerken.
- Voorkom gegevensexfiltratie van uw privénetwerken door specifieke Azure Monitor-resources te definiëren die verbinding maken via uw privé-eindpunt.
- Verbind uw privé on-premises netwerk veilig met Azure Monitor met behulp van Azure ExpressRoute en Private Link.
- Houd al het verkeer binnen het Backbone-netwerk van Azure.
Basisbegrippen
In plaats van een privékoppeling te maken voor elke resource waarmee het virtuele netwerk verbinding maakt, maakt Azure Monitor gebruik van één private link-verbinding met behulp van een privé-eindpunt van het virtuele netwerk met een Azure Monitor Private Link Scope (AMPLS). De AMPLS is een set Azure Monitor-resources die de grenzen van uw bewakingsnetwerk definiëren.
Belangrijke aspecten van de AMPLS zijn onder andere:
- Maakt gebruik van privé-IP's: het privé-eindpunt in uw virtuele netwerk stelt het in staat om Azure Monitor-eindpunten te bereiken via privé-IP's uit de groep van uw netwerk in plaats van de openbare IP-adressen van deze eindpunten te gebruiken. Hierdoor kunt u uw Azure Monitor-resources blijven gebruiken zonder dat u uw virtuele netwerk hoeft te openen voor niet-vereist uitgaand verkeer.
- Wordt uitgevoerd op de Azure-backbone: verkeer van het privé-eindpunt naar uw Azure Monitor-resources gaat via de Azure-backbone en wordt niet doorgestuurd naar openbare netwerken.
- Hiermee bepaalt u welke Azure Monitor-resources kunnen worden bereikt: configureer of verkeer alleen naar Private Link-resources of naar private link- en niet-Private Link-resources buiten de AMPLS mag worden toegestaan.
- Hiermee beheert u de netwerktoegang tot uw Azure Monitor-resources: configureer elk van uw werkruimten of onderdelen om verkeer van openbare netwerken te accepteren of te blokkeren, mogelijk met behulp van verschillende instellingen voor gegevensopname en queryaanvragen.
DNS-zones
Wanneer u een AMPLS maakt, wijzen uw DNS-zones Azure Monitor-eindpunten toe aan privé-IP-adressen om verkeer via de privékoppeling te verzenden. Azure Monitor maakt gebruik van zowel resourcespecifieke eindpunten als gedeelde globale/regionale eindpunten om de werkruimten en onderdelen in uw AMPLS te bereiken.
Omdat Azure Monitor gebruikmaakt van een aantal gedeelde eindpunten, verandert het configureren van een privékoppeling zelfs voor één resource de DNS-configuratie die van invloed is op verkeer naar alle resources. Het gebruik van gedeelde eindpunten betekent ook dat u één AMPLS moet gebruiken voor alle netwerken die dezelfde DNS delen. Als u meerdere AMPLS-resources maakt, worden dns-zones van Azure Monitor overschreven en worden bestaande omgevingen onderbroken. Zie Plan by network topology voor meer informatie.
Gedeelde globale en regionale eindpunten
Wanneer u Private Link zelfs configureert voor één resource, wordt verkeer naar de volgende eindpunten verzonden via de toegewezen privé-IP-adressen:
- Alle Application Insights-eindpunten: Eindpunten verwerken opname, live metrische gegevens, profiler en het foutopsporingsprogramma voor Application Insights-eindpunten zijn globaal.
- Het queryeindpunt: het eindpunt dat query's verwerkt naar zowel Application Insights- als Log Analytics-resources, is globaal.
Resourcespecifieke eindpunten
Log Analytics-eindpunten zijn werkruimtespecifiek, met uitzondering van het eerder besproken query-eindpunt. Als u een specifieke Log Analytics-werkruimte toevoegt aan de AMPLS, worden er opnameaanvragen naar deze werkruimte verzonden via de privékoppeling. Opname naar andere werkruimten blijft de openbare eindpunten gebruiken.
Eindpunten voor gegevensverzameling zijn ook resourcespecifiek. U kunt deze gebruiken om de opname-instellingen uniek te configureren voor het verzamelen van telemetriegegevens van gastbesturingssystemen van uw machines (of een set computers) wanneer u de nieuwe Regels voor Azure Monitor Agent en gegevensverzameling gebruikt. Het configureren van een eindpunt voor gegevensverzameling voor een set computers heeft geen invloed op de opname van gasttelemetrie van andere computers die gebruikmaken van de nieuwe agent.
Volgende stappen
- Ontwerp uw Azure Private Link-installatie.
- Meer informatie over het configureren van uw privékoppeling.
- Meer informatie over privéopslag voor aangepaste logboeken en door de klant beheerde sleutels.