Azure Private Link gebruiken om netwerken te verbinden met Azure Monitor
Met Azure Private Link kunt u veilig PaaS-resources (Platform as a Service) koppelen aan uw virtuele netwerk met behulp van privé-eindpunten. Azure Monitor is een constellatie van verschillende onderling verbonden services die samenwerken om uw workloads te bewaken. Een Privékoppeling van Azure Monitor verbindt een privé-eindpunt met een set Azure Monitor-resources om de grenzen van uw bewakingsnetwerk te definiëren. Deze set wordt een Azure Monitor Private Link Scope (AMPLS) genoemd.
Notitie
Privékoppelingen van Azure Monitor zijn anders gestructureerd dan privékoppelingen naar andere services die u mogelijk gebruikt. In plaats van meerdere privékoppelingen te maken, één voor elke resource waarmee het virtuele netwerk verbinding maakt, maakt Azure Monitor gebruik van één private link-verbinding, van het virtuele netwerk naar een AMPLS. AMPLS is de set van alle Azure Monitor-resources waarmee een virtueel netwerk verbinding maakt via een privékoppeling.
Voordelen
Met Private Link kunt u het volgende doen:
- Maak privé verbinding met Azure Monitor zonder openbare netwerktoegang te openen.
- Zorg ervoor dat uw bewakingsgegevens alleen worden geopend via geautoriseerde privénetwerken.
- Voorkom gegevensexfiltratie van uw privénetwerken door specifieke Azure Monitor-resources te definiëren die verbinding maken via uw privé-eindpunt.
- Verbind uw privé on-premises netwerk veilig met Azure Monitor met behulp van Azure ExpressRoute en Private Link.
- Houd al het verkeer binnen het Backbone-netwerk van Azure.
Zie De belangrijkste voordelen van Private Link voor meer informatie.
Hoe het werkt: Belangrijkste principes
Een Privékoppeling van Azure Monitor verbindt een privé-eindpunt met een set Azure Monitor-resources die bestaan uit Log Analytics-werkruimten en Application Insights-resources. Deze set wordt een Azure Monitor Private Link-bereik genoemd.
Een AMPLS:
- Maakt gebruik van privé-IP's: het privé-eindpunt in uw virtuele netwerk stelt het in staat om Azure Monitor-eindpunten te bereiken via privé-IP's uit de groep van uw netwerk, in plaats van de openbare IP-adressen van deze eindpunten te gebruiken. Daarom kunt u uw Azure Monitor-resources blijven gebruiken zonder uw virtuele netwerk te openen voor niet-vereist uitgaand verkeer.
- Wordt uitgevoerd op de Azure-backbone: verkeer van het privé-eindpunt naar uw Azure Monitor-resources gaat via de Azure-backbone en wordt niet doorgestuurd naar openbare netwerken.
- Hiermee bepaalt u welke Azure Monitor-resources kunnen worden bereikt: Configureer uw AMPLS in de toegangsmodus van uw voorkeur. U kunt verkeer alleen toestaan naar Private Link-resources of naar zowel Private Link- als niet-Private Link-resources (resources uit de AMPLS).
- Hiermee beheert u de netwerktoegang tot uw Azure Monitor-resources: configureer elk van uw werkruimten of onderdelen om verkeer van openbare netwerken te accepteren of te blokkeren. U kunt verschillende instellingen toepassen voor opname- en queryaanvragen.
Privékoppelingen van Azure Monitor zijn afhankelijk van uw DNS
Wanneer u een private link-verbinding instelt, worden Azure Monitor-eindpunten toegewezen aan privé-IP-adressen om verkeer via de privékoppeling te verzenden. Azure Monitor maakt gebruik van zowel resourcespecifieke eindpunten als gedeelde globale/regionale eindpunten om de werkruimten en onderdelen in uw AMPLS te bereiken.
Waarschuwing
Omdat Azure Monitor gebruikmaakt van een aantal gedeelde eindpunten (wat betekent dat eindpunten die niet specifiek zijn voor resources), verandert het instellen van een privékoppeling zelfs voor één resource de DNS-configuratie die van invloed is op verkeer naar alle resources. Met andere woorden, verkeer naar alle werkruimten of onderdelen wordt beïnvloed door één private link-instelling.
Het gebruik van gedeelde eindpunten betekent ook dat u één AMPLS moet gebruiken voor alle netwerken die dezelfde DNS delen. Als u meerdere AMPLS-resources maakt, worden dns-zones van Azure Monitor overschreven en worden bestaande omgevingen onderbroken. Zie Plannen op netwerktopologie voor meer informatie.
Gedeelde globale en regionale eindpunten
Wanneer u Private Link zelfs configureert voor één resource, wordt verkeer naar de volgende eindpunten verzonden via de toegewezen privé-IP-adressen:
- Alle Application Insights-eindpunten: Eindpunten verwerken opname, live metrische gegevens, profiler en het foutopsporingsprogramma voor Application Insights-eindpunten zijn globaal.
- Het queryeindpunt: het eindpunt dat query's verwerkt naar zowel Application Insights- als Log Analytics-resources, is globaal.
Belangrijk
Het maken van een privékoppeling is van invloed op verkeer naar alle bewakingsbronnen, niet alleen resources in uw AMPLS. In feite zorgt dit ervoor dat alle queryaanvragen en opname naar Application Insights-onderdelen via privé-IP's worden uitgevoerd. Dit betekent niet dat de validatie van private link van toepassing is op al deze aanvragen.
Resources die niet aan de AMPLS zijn toegevoegd, kunnen alleen worden bereikt als de AMPLS-toegangsmodus open is en de doelresource verkeer van openbare netwerken accepteert. Wanneer u het privé-IP-adres gebruikt, zijn validaties van private link niet van toepassing op resources die niet in de AMPLS aanwezig zijn. Zie Private Link-toegangsmodi voor meer informatie.
Private Link-instellingen voor beheerde Prometheus en het opnemen van gegevens in uw Azure Monitor-werkruimte worden geconfigureerd op de eindpunten voor gegevensverzameling voor de resource waarnaar wordt verwezen. Instellingen voor het uitvoeren van query's op uw Azure Monitor-werkruimte via Private Link worden rechtstreeks in de Azure Monitor-werkruimte gemaakt en worden niet verwerkt via AMPLS.
Resourcespecifieke eindpunten
Log Analytics-eindpunten zijn werkruimtespecifiek, met uitzondering van het eerder besproken query-eindpunt. Als u een specifieke Log Analytics-werkruimte toevoegt aan de AMPLS, worden er opnameaanvragen naar deze werkruimte verzonden via de privékoppeling. Opname naar andere werkruimten blijft de openbare eindpunten gebruiken.
Eindpunten voor gegevensverzameling zijn ook resourcespecifiek. U kunt deze gebruiken om de opname-instellingen uniek te configureren voor het verzamelen van telemetriegegevens van gastbesturingssystemen van uw machines (of een set computers) wanneer u de nieuwe Regels voor Azure Monitor Agent en gegevensverzameling gebruikt. Het configureren van een eindpunt voor gegevensverzameling voor een set computers heeft geen invloed op de opname van gasttelemetrie van andere computers die gebruikmaken van de nieuwe agent.
Belangrijk
Vanaf 1 december 2021 gebruikt de DNS-configuratie van privé-eindpunten het mechanisme eindpuntcompressie, waarmee één privé-IP-adres wordt toegewezen voor alle werkruimten in dezelfde regio. Het verbetert de ondersteunde schaal (maximaal 300 werkruimten en 1000 onderdelen per AMPLS) en vermindert het totale aantal IP-adressen uit de IP-adresgroep van het netwerk.
Private Link-toegangsmodi: Alleen privé versus openen
Zoals besproken in Privékoppelingen in Azure Monitor, is afhankelijk van uw DNS, er moet slechts één AMPLS-resource worden gemaakt voor alle netwerken die dezelfde DNS delen. Als gevolg hiervan hebben organisaties die gebruikmaken van één globale of regionale DNS één privékoppeling om verkeer naar alle Azure Monitor-resources te beheren, in alle wereldwijde of regionale netwerken.
Voor privékoppelingen die vóór september 2021 zijn gemaakt, betekent dit:
- Logboekopname werkt alleen voor resources in de AMPLS. Opname van alle andere resources wordt geweigerd (in alle netwerken die dezelfde DNS delen), ongeacht het abonnement of de tenant.
- Query's hebben een opener gedrag waarmee queryaanvragen zelfs resources in de AMPLS kunnen bereiken. Het doel hier was om te voorkomen dat klantquery's worden onderbroken voor resources die niet in de AMPLS staan en om resourcegerichte query's de volledige resultatenset te laten retourneren.
Dit gedrag bleek te beperkend voor sommige klanten, omdat het de opname van resources niet in de AMPLS onderbreekt. Maar het was te permissief voor anderen, omdat hiermee resources kunnen worden opgeslagen die niet in de AMPLS worden opgeslagen.
Vanaf september 2021 hebben privékoppelingen nieuwe verplichte AMPLS-instellingen die expliciet instellen hoe ze van invloed moeten zijn op netwerkverkeer. Wanneer u een nieuwe AMPLS-resource maakt, moet u nu de gewenste toegangsmodi selecteren voor opname en query's:
- Modus Alleen privé: hiermee staat u verkeer alleen toe naar Private Link-resources.
- Open-modus: Maakt gebruik van Private Link om te communiceren met resources in de AMPLS, maar biedt ook verkeer de mogelijkheid om door te gaan naar andere resources. Zie Beheren hoe privékoppelingen van toepassing zijn op uw netwerken voor meer informatie.
Hoewel Log Analytics-queryaanvragen worden beïnvloed door de instelling voor de AMPLS-toegangsmodus, maken Log Analytics-opnameaanvragen gebruik van resourcespecifieke eindpunten en worden ze niet beheerd door de AMPLS-toegangsmodus. Om ervoor te zorgen dat Log Analytics-opnameaanvragen geen toegang hebben tot werkruimten buiten de AMPLS, stelt u de netwerkfirewall in om verkeer naar openbare eindpunten te blokkeren, ongeacht de AMPLS-toegangsmodi.
Notitie
Als u Log Analytics hebt geconfigureerd met Private Link door in eerste instantie de regels voor netwerkbeveiligingsgroepen in te stellen om uitgaand verkeer ServiceTag:AzureMonitor
toe te staan, verzenden de verbonden VM's de logboeken via een openbaar eindpunt. Als u later de regels wijzigt om uitgaand verkeer ServiceTag:AzureMonitor
te weigeren, blijven de verbonden VM's logboeken verzenden totdat u de VM's opnieuw opstart of de sessies knipt. Start de verbonden VM's opnieuw op om ervoor te zorgen dat de gewenste configuratie onmiddellijk van kracht wordt.
Volgende stappen
- Ontwerp uw Azure Private Link-installatie.
- Meer informatie over het configureren van uw privékoppeling.
- Meer informatie over privéopslag voor aangepaste logboeken en door de klant beheerde sleutels.