Konfigurowanie łącza prywatnego

Skonfigurowanie wystąpienia usługi Azure Private Link wymaga:

• Utwórz zakres usługi Azure Monitor Private Link (AMPLS) z zasobami.
• Utwórz prywatny punkt końcowy w sieci i połącz go z zakresem.
• Skonfiguruj wymagany dostęp do zasobów usługi Azure Monitor.

W tym artykule opisano sposób wykonywania konfiguracji za pośrednictwem witryny Azure Portal. Udostępnia przykładowy szablon usługi Azure Resource Manager (szablon usługi ARM) umożliwiający zautomatyzowanie procesu.

Tworzenie połączenia łącza prywatnego za pośrednictwem witryny Azure Portal

W tej sekcji zapoznamy się z procesem krok po kroku konfigurowania łącza prywatnego za pośrednictwem witryny Azure Portal. Aby utworzyć link prywatny i zarządzać nim przy użyciu wiersza polecenia lub szablonu usługi ARM, zobacz Używanie interfejsów API i wiersza polecenia.

Tworzenie zakresu usługi Azure Monitor Private Link

1. Przejdź do pozycji Utwórz zasób w witrynie Azure Portal i wyszukaj pozycję Zakres usługi Azure Monitor Private Link.

   

2. Wybierz pozycję Utwórz.

3. Wybierz subskrypcję i grupę zasobów.

4. Nadaj nazwę AMPLS. Użyj zrozumiałej i jasnej nazwy, takiej jak AppServerProdTelem.

5. Wybierz pozycję Przejrzyj i utwórz.

   

6. Niech walidacja przejdzie pomyślnie i wybierz pozycję Utwórz.

Łączenie zasobów usługi Azure Monitor

Połącz zasoby usługi Azure Monitor, takie jak obszary robocze usługi Log Analytics, składniki usługi Application Insights i punkty końcowe zbierania danych) z zakresem usługi Azure Monitor Private Link (AMPLS).

1. W obszarze AMPLS wybierz pozycję Zasoby usługi Azure Monitor w menu po lewej stronie. Wybierz Dodaj.

2. Dodaj obszar roboczy lub składnik. Wybranie pozycji Dodaj powoduje otwarcie okna dialogowego, w którym można wybrać zasoby usługi Azure Monitor. Możesz przeglądać subskrypcje i grupy zasobów. Możesz również wprowadzić ich nazwy, aby filtrować je w dół. Wybierz obszar roboczy lub składnik i wybierz pozycję Zastosuj , aby dodać je do zakresu.

   

Uwaga

Usunięcie zasobów usługi Azure Monitor wymaga, aby najpierw odłączyć je od wszystkich obiektów AMPLS, z którymi są połączone. Nie można usunąć zasobów połączonych z aplikacją AMPLS.

Nawiązywanie połączenia z prywatnym punktem końcowym

Teraz, gdy masz zasoby połączone z usługą AMPLS, utwórz prywatny punkt końcowy w celu połączenia sieci. To zadanie można wykonać w Centrum usługi Private Link w witrynie Azure Portal lub w centrum AMPLS, jak pokazano w tym przykładzie.

1. W zasobie zakresu wybierz pozycję Połączenia prywatnego punktu końcowego z menu zasobów po lewej stronie. Wybierz pozycję Prywatny punkt końcowy , aby rozpocząć proces tworzenia punktu końcowego. Możesz również zatwierdzić połączenia, które zostały uruchomione w Centrum usługi Private Link tutaj, wybierając je i wybierając pozycję Zatwierdź.

   

2. Na karcie Podstawy wybierz pozycję Subskrypcja i grupa zasobów

3. Wprowadź nazwę punktu końcowego i nazwę interfejsu sieciowego

4. Wybierz region, w którym powinien znajdować się prywatny punkt końcowy. Region musi być tym samym regionem co sieć wirtualna, z którą się łączysz.

5. Wybierz pozycję Dalej: Zasób.

   

6. Na karcie Zasób wybierz subskrypcję zawierającą zasób Zakresu usługi Private Link usługi Azure Monitor.

7. W polu Typ zasobu wybierz pozycję Microsoft.insights/privateLinkScopes.

8. Z listy rozwijanej Zasób wybierz utworzony wcześniej zakres łącza prywatnego.

9. Wybierz pozycję Dalej: Sieć wirtualna.

   

10. Na karcie Sieć wirtualna wybierz sieć wirtualną i podsieć, które chcesz połączyć z zasobami usługi Azure Monitor.

11. W obszarze Zasady sieci dla prywatnych punktów końcowych wybierz pozycję Edytuj, jeśli chcesz zastosować sieciowe grupy zabezpieczeń lub Tabele tras do podsieci zawierającej prywatny punkt końcowy.

    W obszarze Edytowanie zasad sieci podsieci zaznacz pola wyboru obok pozycji Sieciowe grupy zabezpieczeń i Tabele tras, a następnie wybierz pozycję Zapisz. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami sieci dla prywatnych punktów końcowych.

12. W przypadku konfiguracji prywatnego adresu IP domyślnie jest wybierana opcja Dynamiczne przydzielanie adresu IP. Jeśli chcesz przypisać statyczny adres IP, wybierz pozycję Statycznie przydziel adres IP. Następnie wprowadź nazwę i prywatny adres IP.
    Opcjonalnie możesz wybrać lub utworzyć grupę zabezpieczeń Aplikacji. Grupy zabezpieczeń aplikacji umożliwiają grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.

13. Wybierz pozycję Dalej: DNS.

    

14. Na karcie DNS wybierz pozycję Tak w obszarze Integracja z prywatną strefą DNS i pozwól jej automatycznie utworzyć nową prywatną strefę DNS. Rzeczywiste strefy DNS mogą się różnić od tego, co pokazano na poniższym zrzucie ekranu.

    Uwaga

    Jeśli wybierzesz pozycję Nie i chcesz ręcznie zarządzać rekordami DNS, najpierw zakończ konfigurowanie łącza prywatnego. Uwzględnij ten prywatny punkt końcowy i konfigurację AMPLS. Następnie skonfiguruj usługę DNS zgodnie z instrukcjami w konfiguracji dns prywatnego punktu końcowego platformy Azure. Pamiętaj, aby nie tworzyć pustych rekordów jako przygotowania do konfiguracji łącza prywatnego. Utworzone rekordy DNS mogą zastąpić istniejące ustawienia i wpłynąć na łączność z usługą Azure Monitor.

    Ponadto jeśli wybierzesz opcję Tak lub Nie i używasz własnych niestandardowych serwerów DNS, musisz skonfigurować usługi przesyłania dalej warunkowego dla usług przesyłania dalej publicznej strefy DNS wymienione w konfiguracji DNS prywatnego punktu końcowego platformy Azure. Warunkowe usługi przesyłania dalej muszą przekazywać zapytania DNS do usługi Azure DNS.

15. Wybierz pozycję Dalej: Tagi, a następnie wybierz pozycję Przejrzyj i utwórz.

    

16. Na stronie Przeglądanie + tworzenie po zakończeniu walidacji wybierz pozycję Utwórz.

Utworzono nowy prywatny punkt końcowy połączony z tą listą AMPLS.

Konfigurowanie dostępu do zasobów

Do tej pory omówiliśmy konfigurację sieci. Należy jednak również rozważyć sposób konfigurowania dostępu sieciowego do monitorowanych zasobów, takich jak obszary robocze usługi Log Analytics, składniki usługi Application Insights i punkty końcowe zbierania danych.

Przejdź do portalu Azure Portal. W menu zasobu znajdź pozycję Izolacja sieciowa po lewej stronie. Ta strona kontroluje, które sieci mogą uzyskiwać dostęp do zasobu za pośrednictwem łącza prywatnego i czy inne sieci mogą do niego dotrzeć.

Połączone zakresy usługi Azure Monitor Private Link

W tym miejscu możesz przejrzeć i skonfigurować połączenia zasobu z aplikacją AMPLS. Nawiązywanie połączenia z usługą AMPLS umożliwia ruch z sieci wirtualnej połączonej z każdą usługą AMPLS w celu uzyskania dostępu do zasobu. Ma taki sam efekt jak łączenie go z zakresu, jak w sekcji Łączenie zasobów usługi Azure Monitor.

Aby dodać nowe połączenie, wybierz pozycję Dodaj i wybierz pozycję AMPLS. Wybierz pozycję Zastosuj , aby nawiązać połączenie. Zasób może łączyć się z pięcioma obiektami AMPLS, jak wspomniano w artykule Rozważ limity AMPLS.

Konfiguracja dostępu do sieci wirtualnych: zarządzanie dostępem spoza zakresu usługi Private Link

Ustawienia w dolnej części tej strony kontrolują dostęp z sieci publicznych, co oznacza, że sieci nie są połączone z wymienionymi zakresami.

Jeśli ustawisz opcję Akceptuj pozyskiwanie danych z sieci publicznych, które nie są połączone za pośrednictwem zakresu usługi Private Link do wartości Nie, klienci tacy jak maszyny lub zestawy SDK poza połączonymi zakresami nie mogą przekazywać danych ani wysyłać dzienników do zasobu.

Jeśli ustawisz opcję Akceptuj zapytania z sieci publicznych, które nie są połączone za pośrednictwem zakresu usługi Private Link do wartości Nie, klienci tacy jak maszyny lub zestawy SDK poza połączonymi zakresami nie mogą wykonywać zapytań dotyczących danych w zasobie.

Te dane obejmują dostęp do dzienników, metryk i strumienia metryk na żywo. Obejmuje również środowiska oparte na skoroszytach, pulpitach nawigacyjnych, środowiskach klienta opartych na interfejsie API zapytań i szczegółowych informacji w witrynie Azure Portal. Środowiska działające poza witryną Azure Portal i zapytania dotyczące danych usługi Log Analytics również muszą być uruchomione w prywatnej sieci wirtualnej.

Korzystanie z interfejsów API i wiersza polecenia

Proces opisany wcześniej można zautomatyzować przy użyciu szablonów usługi ARM, interfejsów REST i wiersza polecenia.

Tworzenie zakresów usługi Private Link i zarządzanie nimi

Aby utworzyć zakresy usługi Private Link i zarządzać nimi, użyj interfejsu API REST lub interfejsu wiersza polecenia platformy Azure (az monitor private-link-scope).

Tworzenie aplikacji AMPLS z trybami otwierania dostępu: przykład interfejsu wiersza polecenia

Następujące polecenie interfejsu wiersza polecenia tworzy nowy zasób AMPLS o nazwie "my-scope", z trybami dostępu do zapytań i pozyskiwania ustawionymi na Openwartość .

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Tworzenie listy AMPLS z trybami dostępu mieszanego: przykład programu PowerShell

Poniższy skrypt programu PowerShell tworzy nowy zasób AMPLS o nazwie "my-scope", z trybem dostępu zapytania ustawionym na Open , ale tryby dostępu pozyskiwania ustawione na PrivateOnly. To ustawienie oznacza, że zezwala na pozyskiwanie tylko do zasobów w systemie AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Tworzenie szablonu AMPLS: ARM

Poniższy szablon usługi ARM tworzy:

• AmpLS o nazwie "my-scope", z trybami dostępu do zapytań i pozyskiwania ustawionymi na Open.
• Obszar roboczy usługi Log Analytics o nazwie "my-workspace".
• Dodaje zasób o określonym zakresie do "my-scope" listy AMPLS o nazwie "my-workspace-connection".

Uwaga

Upewnij się, że używasz nowej wersji interfejsu API (2021-07-01-preview lub nowszej) do utworzenia obiektu AMPLS (wpisz microsoft.insights/privatelinkscopes w następujący sposób). Szablon usługi ARM opisany w przeszłości używał starej wersji interfejsu API, co powoduje zestaw AMPLS z elementami QueryAccessMode="Open" i IngestionAccessMode="PrivateOnly".

{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Ustawianie trybów dostępu AMPLS: przykład programu PowerShell

Aby ustawić flagi trybu dostępu na platformie AMPLS, możesz użyć następującego skryptu programu PowerShell. Poniższy skrypt ustawia flagi na Open. Aby użyć trybu Tylko prywatny, użyj wartości "PrivateOnly".

Poczekaj około 10 minut na zastosowanie aktualizacji trybów dostępu AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group-name"
$scopeName = "my-scope"

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

Ustawianie flag dostępu do zasobów

Aby zarządzać flagami dostępu do obszaru roboczego lub składnika, użyj flag i w obszarze roboczym az monitor log-analytics lub az monitor app-insights component.[--query-access {Disabled, Enabled}][--ingestion-access {Disabled, Enabled}]

Przejrzyj i zweryfikuj konfigurację łącza prywatnego

Wykonaj kroki opisane w tej sekcji, aby przejrzeć i zweryfikować konfigurację łącza prywatnego.

Przeglądanie ustawień DNS punktu końcowego

Utworzony prywatny punkt końcowy powinien mieć teraz skonfigurowanych pięć stref DNS:

• privatelink.monitor.azure.com
• privatelink.oms.opinsights.azure.com
• privatelink.ods.opinsights.azure.com
• privatelink.agentsvc.azure-automation.net
• privatelink.blob.core.windows.net

Każda z tych stref mapuje określone punkty końcowe usługi Azure Monitor do prywatnych adresów IP z puli adresów IP sieci wirtualnej. Adresy IP pokazane na poniższych obrazach są tylko przykładami. Konfiguracja powinna zamiast tego wyświetlać prywatne adresy IP z własnej sieci.

Ważne

Zasoby AMPLS i prywatne punkty końcowe utworzone od 1 grudnia 2021 r. używają mechanizmu o nazwie Kompresja punktu końcowego. Teraz punkty końcowe specyficzne dla zasobów, takie jak punkty końcowe pakietu OMS, ODS i AgentSVC, współdzielą ten sam adres IP, na region i na strefę DNS. Ten mechanizm oznacza, że z puli adresów IP sieci wirtualnej jest pobierana mniejsza liczba adresów IP, a do listy AMPLS można dodać wiele innych zasobów.

Privatelink-monitor-azure-com

Ta strefa obejmuje globalne punkty końcowe używane przez usługę Azure Monitor, co oznacza, że punkty końcowe obsługują żądania globalnie/regionalnie, a nie żądania specyficzne dla zasobów. Ta strefa powinna mieć punkty końcowe zamapowane na:

• in.ai: punkt końcowy pozyskiwania usługi Application Insights (zarówno globalny, jak i regionalny).
• api: usługa Application Insights i punkt końcowy interfejsu API usługi Log Analytics.
• na żywo: punkt końcowy metryk na żywo usługi Application Insights.
• profiler: punkt końcowy profilera usługi Application Insights.
• migawka: punkt końcowy migawki usługi Application Insights.
• diagservices-query: Application Insights Profiler i Snapshot Debugger (używane podczas uzyskiwania dostępu do profilera/debugera wyniki w witrynie Azure Portal).

Ta strefa obejmuje również punkty końcowe specyficzne dla zasobów dla punktów końcowych zbierania danych (DCE):

• <unique-dce-identifier>.<regionname>.handler.control: Prywatny punkt końcowy konfiguracji, część zasobu DCE.
• <unique-dce-identifier>.<regionname>.ingest: Prywatny punkt końcowy pozyskiwania, część zasobu DCE.

Punkty końcowe usługi Log Analytics

Ważne

AmpLS i prywatne punkty końcowe utworzone od 1 grudnia 2021 r. używają mechanizmu o nazwie Kompresja punktu końcowego. Teraz każdy punkt końcowy specyficzny dla zasobów, taki jak OMS, ODS i AgentSVC, używa jednego adresu IP, dla regionu i strefy DNS dla wszystkich obszarów roboczych w tym regionie. Ten mechanizm oznacza, że z puli adresów IP sieci wirtualnej jest pobierana mniejsza liczba adresów IP, a do listy AMPLS można dodać wiele innych zasobów.

Usługa Log Analytics używa czterech stref DNS:

• privatelink-oms-opinsights-azure-com: Obejmuje mapowanie specyficzne dla obszaru roboczego na punkty końcowe pakietu OMS. Powinien zostać wyświetlony wpis dla każdego obszaru roboczego połączonego z listą AMPLS połączoną z tym prywatnym punktem końcowym.
• privatelink-ods-opinsights-azure-com: Obejmuje mapowanie specyficzne dla obszaru roboczego na punkty końcowe ODS, które są punktami końcowymi pozyskiwania usługi Log Analytics. Powinien zostać wyświetlony wpis dla każdego obszaru roboczego połączonego z listą AMPLS połączoną z tym prywatnym punktem końcowym.
• privatelink-agentsvc-azure-automation-net: obejmuje mapowanie specyficzne dla obszaru roboczego do punktów końcowych automatyzacji usługi agenta. Powinien zostać wyświetlony wpis dla każdego obszaru roboczego połączonego z listą AMPLS połączoną z tym prywatnym punktem końcowym.
• privatelink-blob-core-windows-net: konfiguruje łączność z kontem magazynu pakietów rozwiązań agentów globalnych. Za jego pomocą agenci mogą pobierać nowe lub zaktualizowane pakiety rozwiązań, które są również nazywane pakietami administracyjnymi. Tylko jeden wpis jest wymagany do obsługi wszystkich agentów usługi Log Analytics, niezależnie od liczby obszarów roboczych. Ten wpis jest dodawany tylko do konfiguracji linków prywatnych utworzonych w dniu 19 kwietnia 2021 r. (lub od czerwca 2021 r. w suwerennych chmurach platformy Azure).

Poniższy zrzut ekranu przedstawia punkty końcowe zamapowane na adres AMPLS z dwoma obszarami roboczymi w regionie Wschodnie stany USA i jednym obszarem roboczym w regionie Europa Zachodnia. Zwróć uwagę, że obszary robocze Wschodnie stany USA współużytkuje adresy IP. Punkt końcowy obszaru roboczego Europa Zachodnia jest mapowany na inny adres IP. Punkt końcowy obiektu blob nie jest wyświetlany na tym obrazie, ale jest skonfigurowany.

Sprawdź, czy komunikujesz się za pośrednictwem łącza prywatnego

Upewnij się, że link prywatny jest w dobrym porządku roboczym:

• Aby sprawdzić, czy żądania są teraz wysyłane za pośrednictwem prywatnego punktu końcowego, możesz przejrzeć je za pomocą narzędzia do śledzenia sieci, a nawet przeglądarki. Na przykład podczas próby wykonania zapytania dotyczącego obszaru roboczego lub aplikacji upewnij się, że żądanie jest wysyłane do prywatnego adresu IP zamapowanego na punkt końcowy interfejsu API. W tym przykładzie jest to 172.17.0.9.

  Uwaga

  Niektóre przeglądarki mogą używać innych ustawień DNS. Aby uzyskać więcej informacji, zobacz Ustawienia DNS przeglądarki. Upewnij się, że ustawienia DNS są stosowane.

• Aby upewnić się, że obszary robocze lub składniki nie odbierają żądań z sieci publicznych (nie są połączone za pośrednictwem protokołu AMPLS), ustaw flagi publicznego pozyskiwania i wysyłania zapytań zasobu na wartość Nie , zgodnie z wyjaśnieniem w temacie Konfigurowanie dostępu do zasobów.

• Z poziomu klienta w chronionej sieci użyj nslookup dowolnego z punktów końcowych wymienionych w strefach DNS. Należy go rozpoznać przez serwer DNS do zamapowanych prywatnych adresów IP zamiast publicznych adresów IP używanych domyślnie.

Następne kroki

• Dowiedz się więcej o magazynie prywatnym na potrzeby dzienników niestandardowych i kluczy zarządzanych przez klienta.
• Dowiedz się więcej o usłudze Private Link dla usługi Azure Automation.
• Dowiedz się więcej o nowych punktach końcowych zbierania danych.