Konfigurowanie dostępu prywatnego

W tym przewodniku dowiesz się, jak wyłączyć publiczny dostęp do obszaru roboczego usługi Azure Managed Grafana i skonfigurować prywatne punkty końcowe. Konfigurowanie prywatnych punktów końcowych w usłudze Azure Managed Grafana zwiększa bezpieczeństwo, ograniczając ruch przychodzący tylko do określonej sieci.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
• Istniejące wystąpienie usługi Azure Managed Grafana w warstwie Standardowa. Utwórz go, jeśli jeszcze tego nie zrobiono.

Wyłączanie publicznego dostępu do obszaru roboczego

Dostęp publiczny jest domyślnie włączony podczas tworzenia obszaru roboczego usługi Azure Grafana. Wyłączenie dostępu publicznego uniemożliwia dostęp do całego ruchu do zasobu, chyba że przejdziesz przez prywatny punkt końcowy.

Uwaga

Po włączeniu dostępu prywatnego wykresy pingowania przy użyciu funkcji Przypnij do narzędzia Grafana nie będą już działać, ponieważ witryna Azure Portal nie może uzyskać dostępu do obszaru roboczego zarządzanego narzędzia Grafana platformy Azure na prywatnym adresie IP.

Portal

1. Przejdź do obszaru roboczego zarządzanego narzędzia Grafana platformy Azure w witrynie Azure Portal.

2. W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Sieć.

3. W obszarze Dostęp publiczny wybierz pozycję Wyłączone , aby wyłączyć publiczny dostęp do obszaru roboczego Azure Managed Grafana i zezwalać na dostęp tylko za pośrednictwem prywatnych punktów końcowych. Jeśli masz już wyłączony dostęp publiczny i zamiast tego chcesz włączyć publiczny dostęp do obszaru roboczego azure Managed Grafana, wybierz pozycję Włączone.

4. Wybierz pozycję Zapisz.

   

Interfejs wiersza polecenia platformy Azure

W interfejsie wiersza polecenia uruchom polecenie az grafana update i zastąp symbole <grafana-workspace> zastępcze i <resource-group> własnymi informacjami:

az grafana update --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled

Tworzenie prywatnego punktu końcowego

Po wyłączeniu dostępu publicznego skonfiguruj prywatny punkt końcowy za pomocą usługi Azure Private Link. Prywatne punkty końcowe umożliwiają dostęp do obszaru roboczego usługi Azure Managed Grafana przy użyciu prywatnego adresu IP z sieci wirtualnej.

Portal

1. W obszarze Sieć wybierz kartę Dostęp prywatny, a następnie pozycję Dodaj , aby rozpocząć konfigurowanie nowego prywatnego punktu końcowego.

   

2. Wypełnij kartę Podstawy następującymi informacjami:

   Parametr	Opis	Przykład
   Subskrypcja	Wybierz subskrypcję platformy Azure. Prywatny punkt końcowy musi znajdować się w tej samej subskrypcji co sieć wirtualna. W dalszej części tego przewodnika z instrukcjami wybierzesz sieć wirtualną.	MyAzureSubscription
   Grupa zasobów	Wybierz grupę zasobów lub utwórz nową.	MyResourceGroup
   Nazwisko	Wprowadź nazwę nowego prywatnego punktu końcowego dla obszaru roboczego usługi Azure Managed Grafana.	MyPrivateEndpoint
   Nazwa interfejsu sieciowego	To pole jest wykonywane automatycznie. Opcjonalnie edytuj nazwę interfejsu sieciowego.	MyPrivateEndpoint-nic
   Region (Region)	Wybierz region. Prywatny punkt końcowy musi znajdować się w tym samym regionie co sieć wirtualna.	(STANY ZJEDNOCZONE) Zachodnio-środkowe stany USA

   

3. Wybierz pozycję Dalej: Zasób >. Usługa Private Link oferuje opcje tworzenia prywatnych punktów końcowych dla różnych typów zasobów platformy Azure. Bieżący obszar roboczy usługi Azure Managed Grafana jest automatycznie wypełniany w polu Zasób .

   1. Typ zasobu Microsoft.Dashboard/grafana i docelowy podsób grafana wskazują, że tworzysz punkt końcowy dla obszaru roboczego zarządzanego narzędzia Grafana platformy Azure.

   2. Nazwa obszaru roboczego jest wyświetlana w obszarze Zasób.

      

4. Wybierz pozycję Dalej: Sieć wirtualna >.

   1. Wybierz istniejącą sieć wirtualną, aby wdrożyć prywatny punkt końcowy. Jeśli nie masz sieci wirtualnej, utwórz sieć wirtualną.

   2. Wybierz podsieć z listy.

   3. Zasady sieciowe dla prywatnych punktów końcowych są domyślnie wyłączone. Opcjonalnie wybierz opcję edytuj , aby dodać sieciową grupę zabezpieczeń lub zasady tabeli tras. Ta zmiana wpłynie na wszystkie prywatne punkty końcowe skojarzone z wybraną podsiecią.

   4. W obszarze Konfiguracja prywatnego adresu IP wybierz opcję dynamicznego przydzielania adresów IP. Aby uzyskać więcej informacji, zobacz Prywatne adresy IP.

   5. Opcjonalnie możesz wybrać lub utworzyć grupę zabezpieczeń Aplikacji. Grupy zabezpieczeń aplikacji umożliwiają grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.

      

5. Wybierz pozycję Dalej: DNS > , aby skonfigurować rekord DNS. Jeśli nie chcesz wprowadzać zmian w ustawieniach domyślnych, możesz przejść do następnej karty.

   1. W obszarze Integracja z prywatną strefą DNS wybierz pozycję Tak , aby zintegrować prywatny punkt końcowy z prywatną strefą DNS. Możesz również użyć własnych serwerów DNS lub utworzyć rekordy DNS przy użyciu plików hosta na maszynach wirtualnych.

   2. Subskrypcja i grupa zasobów dla prywatnej strefy DNS są wstępnie wybierane. Możesz je opcjonalnie zmienić.

   Aby dowiedzieć się więcej na temat konfiguracji dns, przejdź do tematu Rozpoznawanie nazw dla zasobów w sieciach wirtualnych platformy Azure i konfiguracji DNS dla prywatnych punktów końcowych. Prywatne wartości strefy DNS prywatnego punktu końcowego platformy Azure dla usługi Azure Managed Grafana są wyświetlane w strefie DNS usług platformy Azure.

   

6. Wybierz pozycję Dalej: Tagi > i opcjonalnie utwórz tagi. Tagi to pary nazw i wartości umożliwiające kategoryzowanie zasobów oraz wyświetlanie skonsolidowanych informacji na temat rozliczeń przez zastosowanie tego samego tagu względem wielu zasobów i grup zasobów.

7. Wybierz pozycję Dalej: Przejrzyj i utwórz > , aby przejrzeć informacje o obszarze roboczym usługi Azure Managed Grafana, prywatnym punkcie końcowym, sieci wirtualnej i systemie DNS. Możesz również wybrać pozycję Pobierz szablon do automatyzacji , aby użyć ponownie danych JSON z tego formularza później.

8. Wybierz pozycję Utwórz.

Po zakończeniu wdrażania otrzymasz powiadomienie o utworzeniu punktu końcowego. Jeśli zostanie ona automatycznie zatwierdzona, możesz rozpocząć dostęp do obszaru roboczego prywatnie. W przeciwnym razie trzeba będzie czekać na zatwierdzenie.

Interfejs wiersza polecenia platformy Azure

1. Aby skonfigurować prywatny punkt końcowy, potrzebujesz sieci wirtualnej. Jeśli jeszcze go nie masz, utwórz sieć wirtualną za pomocą polecenia az network vnet create. Zastąp tekst zastępczy <vnet>, , <resource-group><subnet>i <vnet-location> nazwą nowej sieci wirtualnej, grupą zasobów i nazwą oraz lokalizacją sieci wirtualnej.

   az network vnet create --name <vnet> --resource-group <resource-group> --subnet-name <subnet> --location <vnet-location>
   

   Symbol zastępczy	opis	Przykład
   <vnet>	Wprowadź nazwę nowej sieci wirtualnej. Sieć wirtualna umożliwia zasobom platformy Azure prywatną komunikację ze sobą i z Internetem.	MyVNet
   <resource-group>	Wprowadź nazwę istniejącej grupy zasobów dla sieci wirtualnej.	MyResourceGroup
   <subnet>	Wprowadź nazwę nowej podsieci. Podsieć to sieć wewnątrz sieci. W tym miejscu jest przypisywany prywatny adres IP.	MySubnet
   <vnet-location>	Wprowadź region świadczenia usługi Azure. Sieć wirtualna musi znajdować się w tym samym regionie co prywatny punkt końcowy.	centralus

2. Uruchom polecenie az grafana show , aby pobrać właściwości obszaru roboczego Azure Managed Grafana, dla którego chcesz skonfigurować dostęp prywatny. Zastąp symbol zastępczy <grafana-workspace> nazwą obszaru roboczego.

   az grafana show --name <grafana-workspace>
   

   To polecenie generuje dane wyjściowe z informacjami o obszarze roboczym usługi Azure Managed Grafana. Zanotuj id wartość. Na przykład: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana.

3. Uruchom polecenie az network private-endpoint create , aby utworzyć prywatny punkt końcowy dla obszaru roboczego usługi Azure Managed Grafana. Zastąp tekst zastępczy <resource-group>, , <private-endpoint>, <vnet><private-connection-resource-id>, <connection-name>i <location> własnymi informacjami.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint> --vnet-name <vnet> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id grafana
   

   Symbol zastępczy	opis	Przykład
   <resource-group>	Wprowadź nazwę istniejącej grupy zasobów dla prywatnego punktu końcowego.	MyResourceGroup
   <private-endpoint>	Wprowadź nazwę nowego prywatnego punktu końcowego.	MyPrivateEndpoint
   <vnet>	Wprowadź nazwę istniejącej sieci wirtualnej.	Myvnet
   <private-connection-resource-id>	Wprowadź identyfikator zasobu połączenia prywatnego obszaru roboczego usługi Azure Managed Grafana. Jest to identyfikator zapisany z danych wyjściowych poprzedniego kroku.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana
   <connection-name>	Wprowadź nazwę połączenia.	MyConnection
   <location>	Wprowadź region świadczenia usługi Azure. Prywatny punkt końcowy musi znajdować się w tym samym regionie co sieć wirtualna.	centralus

Zarządzanie połączeniem łącza prywatnego

Portal

Przejdź do obszaru roboczego Dostęp prywatny do sieci>w obszarze roboczym zarządzanym przez platformę Azure Grafana, aby uzyskać dostęp do prywatnych punktów końcowych połączonych z obszarem roboczym.

1. Sprawdź stan połączenia połączenia prywatnego. Podczas tworzenia prywatnego punktu końcowego połączenie musi zostać zatwierdzone. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu i masz wystarczające uprawnienia, żądanie połączenia zostanie automatycznie zatwierdzone. W przeciwnym razie musisz poczekać na zatwierdzenie żądania połączenia przez właściciela tego zasobu. Aby uzyskać więcej informacji na temat modeli zatwierdzania połączeń, zobacz Zarządzanie prywatnymi punktami końcowymi platformy Azure.

2. Aby ręcznie zatwierdzić, odrzucić lub usunąć połączenie, zaznacz pole wyboru obok punktu końcowego, który chcesz edytować, i wybierz element akcji z górnego menu.

3. Wybierz nazwę prywatnego punktu końcowego, aby otworzyć zasób prywatnego punktu końcowego i uzyskać dostęp do dodatkowych informacji lub edytować prywatny punkt końcowy.

   

Interfejs wiersza polecenia platformy Azure

Przeglądanie szczegółów połączenia prywatnego punktu końcowego

Uruchom polecenie az network private-endpoint-connection list, aby przejrzeć wszystkie połączenia prywatnego punktu końcowego połączone z obszarem roboczym azure Managed Grafana i sprawdzić ich stan połączenia. Zastąp symbole <resource-group> zastępcze i <grafana-workspace> nazwą grupy zasobów i obszaru roboczego Azure Managed Grafana.

az network private-endpoint-connection list --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Opcjonalnie, aby uzyskać szczegółowe informacje o określonym prywatnym punkcie końcowym, użyj polecenia az network private-endpoint-connection show . Zastąp tekst <resource-group> zastępczy i <grafana-workspace> nazwą grupy zasobów oraz nazwą obszaru roboczego Azure Managed Grafana.

az network private-endpoint-connection show --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Uzyskiwanie zatwierdzenia połączenia

Podczas tworzenia prywatnego punktu końcowego połączenie musi zostać zatwierdzone. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu i masz wystarczające uprawnienia, żądanie połączenia zostanie automatycznie zatwierdzone. W przeciwnym razie musisz poczekać na zatwierdzenie żądania połączenia przez właściciela tego zasobu.

Aby zatwierdzić połączenie prywatnego punktu końcowego, użyj polecenia az network private-endpoint-connection approve . Zastąp tekst zastępczy <resource-group>, <private-endpoint>i <grafana-workspace> nazwą grupy zasobów, nazwą prywatnego punktu końcowego i nazwą zasobu Azure Managed Grafana.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.Dashboard/grafana --resource-name <grafana-workspace>

Aby uzyskać więcej informacji na temat modeli zatwierdzania połączeń, zobacz Zarządzanie prywatnymi punktami końcowymi platformy Azure.

Usuwanie połączenia prywatnego punktu końcowego

Aby usunąć połączenie prywatnego punktu końcowego, użyj polecenia az network private-endpoint-connection delete . Zastąp tekst <resource-group> zastępczy i <private-endpoint> nazwą grupy zasobów oraz nazwą prywatnego punktu końcowego.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Aby uzyskać więcej poleceń interfejsu wiersza polecenia, przejdź do polecenia az network private-endpoint-connection

Jeśli masz problemy z prywatnym punktem końcowym, zapoznaj się z następującym przewodnikiem: Rozwiązywanie problemów z łącznością z prywatnym punktem końcowym platformy Azure.

Następne kroki

W tym przewodniku z instrukcjami przedstawiono sposób konfigurowania dostępu prywatnego od użytkowników do obszaru roboczego Azure Managed Grafana. Aby dowiedzieć się, jak skonfigurować dostęp prywatny między obszarem roboczym zarządzanym Grafana i źródłem danych, zobacz Połączenie do źródła danych prywatnie.