Używanie prywatnych punktów końcowych dla zarządzanego rozwiązania Prometheus i obszaru roboczego usługi Azure Monitor
Użyj prywatnych punktów końcowych dla zarządzanego rozwiązania Prometheus i obszaru roboczego usługi Azure Monitor, aby umożliwić klientom w sieci wirtualnej bezpieczne wykonywanie zapytań o dane za pośrednictwem usługi Private Link. Prywatny punkt końcowy używa oddzielnego adresu IP w przestrzeni adresowej sieci wirtualnej zasobu obszaru roboczego usługi Azure Monitor. Ruch sieciowy między klientami w sieci wirtualnej a zasobem obszaru roboczego przechodzi przez sieć wirtualną i łącze prywatne w sieci szkieletowej firmy Microsoft, eliminując narażenie z publicznego Internetu.
Uwaga
Jeśli używasz usługi Azure Managed Grafana do wykonywania zapytań dotyczących danych, skonfiguruj zarządzany prywatny punkt końcowy , aby upewnić się, że zapytania z zarządzanej aplikacji Grafana w obszarze roboczym usługi Azure Monitor korzystają z sieci szkieletowej firmy Microsoft bez przechodzenia przez Internet.
Korzystanie z prywatnych punktów końcowych dla obszaru roboczego umożliwia:
- Zabezpiecz obszar roboczy, konfigurując ustawienie sieci dostępu publicznego, aby zablokować wszystkie połączenia w publicznym punkcie końcowym zapytania dla obszaru roboczego.
- Zwiększ bezpieczeństwo sieci wirtualnej, umożliwiając blokowanie eksfiltracji danych z sieci wirtualnej.
- Bezpiecznie nawiąż połączenie z obszarami roboczymi z sieci lokalnych łączących się z siecią wirtualną przy użyciu sieci VPN lub usługi ExpressRoutes z prywatną komunikacją równorzędną.
Omówienie pojęć
Prywatny punkt końcowy to specjalny interfejs sieciowy dla usługi platformy Azure w sieci wirtualnej. Podczas tworzenia prywatnego punktu końcowego dla obszaru roboczego zapewnia bezpieczną łączność między klientami w sieci wirtualnej a obszarem roboczym. Prywatny punkt końcowy ma przypisany adres IP z zakresu adresów IP sieci wirtualnej. Połączenie między prywatnym punktem końcowym a obszarem roboczym używa bezpiecznego łącza prywatnego.
Aplikacje w sieci wirtualnej mogą bezproblemowo łączyć się z obszarem roboczym za pośrednictwem prywatnego punktu końcowego, korzystając z tych samych parametry połączenia i mechanizmów autoryzacji, których będą używać w inny sposób.
Prywatne punkty końcowe można tworzyć w podsieciach korzystających z punktów końcowych usługi. Klienci w podsieci mogą następnie łączyć się z obszarem roboczym przy użyciu prywatnego punktu końcowego, używając punktów końcowych usługi w celu uzyskania dostępu do innych usług.
Podczas tworzenia prywatnego punktu końcowego dla obszaru roboczego w sieci wirtualnej do właściciela konta obszaru roboczego jest wysyłane żądanie zgody. Jeśli użytkownik żądający utworzenia prywatnego punktu końcowego jest również właścicielem obszaru roboczego, to żądanie zgody zostanie automatycznie zatwierdzone.
Właściciele obszarów roboczych usługi Azure Monitor mogą zarządzać żądaniami zgody i prywatnymi punktami końcowymi za pomocą karty "Dostęp prywatny" na stronie Sieć dla obszaru roboczego w witrynie Azure Portal.
Napiwek
Jeśli chcesz ograniczyć dostęp do obszaru roboczego tylko za pośrednictwem prywatnego punktu końcowego, wybierz pozycję "Wyłącz dostęp publiczny i użyj dostępu prywatnego" na karcie "Dostęp publiczny" na stronie Sieć dla obszaru roboczego w witrynie Azure Portal.
Tworzenie prywatnego punktu końcowego
Aby utworzyć prywatny punkt końcowy przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure, zobacz następujące artykuły. Artykuły zawierają aplikację internetową platformy Azure jako usługę docelową, ale kroki tworzenia łącza prywatnego są takie same w przypadku obszaru roboczego usługi Azure Monitor.
Podczas tworzenia prywatnego punktu końcowego należy wybrać następujące opcje z list rozwijanych na karcie podstawowej:
- Typ zasobu — wybierz pozycję
Microsoft.Monitor/accounts. Określ obszar roboczy usługi Azure Monitor, z którym nawiązuje połączenie. - Docelowy zasób podrzędny — wybierz pozycję
prometheusMetrics.
Utwórz prywatny punkt końcowy, korzystając z następujących artykułów:
Tworzenie prywatnego punktu końcowego przy użyciu witryny Azure Portal
Tworzenie prywatnego punktu końcowego przy użyciu interfejsu wiersza polecenia platformy Azure
Tworzenie prywatnego punktu końcowego przy użyciu programu Azure PowerShell
Nawiązywanie połączenia z prywatnym punktem końcowym
Klienci w sieci wirtualnej korzystające z prywatnego punktu końcowego powinni używać tego samego punktu końcowego zapytania dla obszaru roboczego usługi Azure Monitor, co klienci łączący się z publicznym punktem końcowym. Polegamy na rozpoznawaniu nazw DNS w celu automatycznego kierowania połączeń z sieci wirtualnej do obszaru roboczego za pośrednictwem łącza prywatnego.
Domyślnie tworzymy prywatną strefę DNS dołączoną do sieci wirtualnej z niezbędnymi aktualizacjami dla prywatnych punktów końcowych. Jeśli jednak używasz własnego serwera DNS, może być konieczne wprowadzenie dodatkowych zmian w konfiguracji DNS. W sekcji dotyczącej zmian DNS poniżej opisano aktualizacje wymagane dla prywatnych punktów końcowych.
Zmiany DNS dla prywatnych punktów końcowych
Uwaga
Aby uzyskać szczegółowe informacje na temat konfigurowania ustawień DNS dla prywatnych punktów końcowych, zobacz Konfiguracja usługi DNS prywatnego punktu końcowego platformy Azure.
Podczas tworzenia prywatnego punktu końcowego rekord zasobu CNAME systemu DNS dla obszaru roboczego jest aktualizowany do aliasu w poddomenie z prefiksem privatelink. Domyślnie tworzymy również prywatną strefę DNS odpowiadającą privatelink poddomenie z rekordami zasobów DNS A dla prywatnych punktów końcowych.
Po rozpoznaniu adresu URL punktu końcowego zapytania spoza sieci wirtualnej przy użyciu prywatnego punktu końcowego jest rozpoznawany jako publiczny punkt końcowy obszaru roboczego. Po rozpoznaniu z sieci wirtualnej obsługującej prywatny punkt końcowy adres URL punktu końcowego zapytania jest rozpoznawany jako adres IP prywatnego punktu końcowego.
W poniższym przykładzie używamy k8s02-workspace lokalizacji w regionie Wschodnie stany USA. Nazwa zasobu nie ma gwarancji, że jest unikatowa, co wymaga dodania kilku znaków po nazwie, aby ścieżka adresu URL została unikatowa; na przykład k8s02-workspace-<key>. Ten unikatowy punkt końcowy zapytania jest wyświetlany na stronie Przegląd obszaru roboczego usługi Azure Monitor.
Rekordy zasobów DNS dla obszaru roboczego usługi Azure Monitor po rozpoznaniu poza siecią wirtualną hostująca prywatny punkt końcowy są następujące:
| Nazwisko | Typ | Wartość |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
CNAME | <Publiczny punkt końcowy usługi amW> |
| <Publiczny punkt końcowy usługi amW> | A | <Publiczny adres IP usługi regionalnej AMW> |
Jak wspomniano wcześniej, możesz blokować lub kontrolować dostęp dla klientów spoza sieci wirtualnej za pośrednictwem publicznego punktu końcowego przy użyciu karty "Dostęp publiczny" na stronie Sieć obszaru roboczego.
Rekordy zasobów DNS dla obszaru roboczego "k8s02-workspace" po rozpoznaniu przez klienta w sieci wirtualnej obsługującej prywatny punkt końcowy są następujące:
| Nazwisko | Typ | Wartość |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
A | <Prywatny adres IP punktu końcowego> |
Takie podejście umożliwia dostęp do obszaru roboczego przy użyciu tego samego punktu końcowego zapytania dla klientów w sieci wirtualnej hostujące prywatne punkty końcowe, a także klientów spoza sieci wirtualnej.
Jeśli używasz niestandardowego serwera DNS w sieci, klienci muszą mieć możliwość rozpoznawania nazwy FQDN punktu końcowego zapytania obszaru roboczego na prywatny adres IP punktu końcowego. Należy skonfigurować serwer DNS, aby delegować poddomenę łącza prywatnego do prywatnej strefy DNS dla sieci wirtualnej lub skonfigurować rekordy A dla k8s02-workspace z prywatnym adresem IP punktu końcowego.
Napiwek
W przypadku korzystania z niestandardowego lub lokalnego serwera DNS należy skonfigurować serwer DNS, aby rozpoznać nazwę punktu końcowego zapytania obszaru roboczego w privatelink poddomenie na prywatny adres IP punktu końcowego. Można to zrobić, delegując privatelink poddomenę do prywatnej strefy DNS sieci wirtualnej lub konfigurując strefę DNS na serwerze DNS i dodając rekordy DNS A.
Zalecane nazwy stref DNS dla prywatnych punktów końcowych dla obszaru roboczego usługi Azure Monitor to:
| Zasób | Docelowy zasób podrzędny | Nazwa strefy |
|---|---|---|
| Obszar roboczy usługi Azure Monitor | prometheusMetrics | privatelink.<region>.prometheus.monitor.azure.com |
Aby uzyskać więcej informacji na temat konfigurowania własnego serwera DNS do obsługi prywatnych punktów końcowych, zobacz następujące artykuły:
- Rozpoznawanie nazw dla zasobów w sieciach wirtualnych platformy Azure
- Konfiguracja DNS dla prywatnych punktów końcowych
Cennik
Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik usługi Azure Private Link.
Znane problemy
Pamiętaj o następujących znanych problemach dotyczących prywatnych punktów końcowych dla obszaru roboczego usługi Azure Monitor.
Ograniczenia dostępu do zapytań obszaru roboczego dla klientów w sieciach wirtualnych z prywatnymi punktami końcowymi
Klienci w sieciach wirtualnych z istniejącymi prywatnymi punktami końcowymi napotykają ograniczenia podczas uzyskiwania dostępu do innych obszarów roboczych usługi Azure Monitor, które mają prywatne punkty końcowe. Załóżmy na przykład, że sieć wirtualna N1 ma prywatny punkt końcowy dla obszaru roboczego A1. Jeśli obszar roboczy A2 ma prywatny punkt końcowy w sieci wirtualnej N2, klienci w sieci wirtualnej N1 muszą również wysyłać zapytania dotyczące danych obszaru roboczego na koncie A2 przy użyciu prywatnego punktu końcowego. Jeśli obszar roboczy A2 nie ma żadnych prywatnych punktów końcowych, klienci w sieci wirtualnej N1 mogą wysyłać zapytania o dane z tego obszaru roboczego bez prywatnego punktu końcowego.
To ograniczenie jest wynikiem zmian DNS wprowadzonych, gdy obszar roboczy A2 tworzy prywatny punkt końcowy.