Usar o Link Privado do Azure para conectar redes ao Azure Monitor

Com o Link Privado do Azure, você pode vincular com segurança os recursos PaaS (plataforma como serviço) do Azure à sua rede virtual usando pontos de extremidade privados. O Azure Monitor é uma constelação de diferentes serviços interconectados que trabalham juntos para monitorar suas cargas de trabalho. Um link privado do Azure Monitor conecta um ponto de extremidade privado a um conjunto de recursos do Azure Monitor, definindo os limites de sua rede de monitoramento. Esse conjunto é chamado de Escopo de Link Privado do Azure Monitor (AMPLS).

Observação

Os Links Privados do Azure Monitor são estruturados de forma diferente dos Links Privados para outros serviços que você pode usar. Em vez de criar vários links privados, um para cada recurso ao qual a rede virtual se conecta, o Azure Monitor usa uma única conexão de link privado, da rede virtual a um AMPLS. O AMPLS é o conjunto de todos os recursos do Azure Monitor aos quais a rede virtual se conecta por meio de um link privado.

Vantagens

Com o Link Privado, você pode:

  • Conectar-se de maneira privada ao Azure Monitor sem abrir nenhum acesso de rede pública.
  • Garantir que o acesso aos seus dados de monitoramento esteja restrito a redes privadas autorizadas.
  • Impedir a exportação de dados de suas redes privadas definindo recursos específicos do Azure Monitor que se conectam por meio de seu ponto de extremidade privado.
  • Conectar sua rede local privada ao Azure Monitor com segurança usando o Azure ExpressRoute e o Link Privado.
  • Mantenha todo o tráfego dentro da rede de backbone do Azure.

Para obter mais informações, confira Principais benefícios do Link Privado.

Como funciona: Princípios essenciais

Um link privado do Azure Monitor conecta um ponto de extremidade privado a um conjunto de recursos do Azure Monitor compostos pelo workspace do Log Analytics e pelos recursos do Application Insights. Esse conjunto é chamado de Escopo de Link Privado do Azure Monitor.

Diagram that shows basic resource topology.

Um AMPLS:

  • Uso de IPs privados: O ponto de extremidade privado em sua rede virtual permite que ela alcance pontos de extremidade do Azure Monitor por meio de IPs privados do pool da sua rede, em vez de usar os IPs públicos desses pontos de extremidade. Por esse motivo, você pode continuar usando seus recursos do Azure Monitor sem abrir sua rede virtual para tráfego de saída não requisito.
  • Execução no backbone do Azure: O tráfego do ponto de extremidade privado para os recursos do Azure Monitor passará pelo backbone do Azure e não será roteado para redes públicas.
  • Controla quais recursos do Azure Monitor podem ser acessados: Configure o AMPLS para seu modo de acesso preferido. Você pode permitir o tráfego apenas para recursos de Link Privado ou para recursos de Link Privado e Não Privado (recursos fora do AMPLS).
  • Controlar redes acesso aos recursos do Azure Monitor: Configure cada um dos seus workspaces ou componentes para aceitar ou bloquear o tráfego de redes públicas. Você pode aplicar diferentes configurações para solicitações de ingestão e consulta.

Ao configurar uma conexão de Link Privado, suas zonas DNS mapeiam pontos de extremidade do Azure Monitor para IPs privados a fim de enviar tráfego por meio do Link Privado. O Azure Monitor usa pontos de extremidade específicos do recurso e pontos de extremidade globais/regionais compartilhados para acessar os workspaces e os componentes em seu AMPLS.

Aviso

Como o Azure Monitor usa alguns pontos de extremidade compartilhados (ou seja, pontos de extremidade que não são específicos do recurso), a configuração de um Link Privado mesmo para um único recurso altera a configuração do DNS que afeta o tráfego para todos os recursos. Em outras palavras, o tráfego para todos os workspaces ou componentes é afetado por uma única configuração de Link Privado.

O uso de pontos de extremidade compartilhados também indica que você deve usar um único AMPLS para todas as redes que compartilham o mesmo DNS. A criação de vários recursos de AMPLS fará com que as zonas DNS do Azure Monitor substituam umas às outras e interrompam ambientes existentes. Para saber mais, confira Planejar por topologia de rede.

Pontos de extremidade globais e regionais compartilhados

Ao configurar o Link Privado mesmo que para um único recurso, o tráfego para os pontos de extremidade a seguir será enviado por meio dos IPs privados alocados:

  • Todos os pontos de extremidade do Application Insights: Os pontos de extremidade que manipulam ingestão, métricas ao vivo, criador de perfil e depurador para o Application Insights são globais.
  • Ponto de extremidade de consulta: o ponto de extremidade que manipula consultas para recursos do Application Insights e do Log Analytics é global.

Importante

A criação de um Link Privado afeta o tráfego para todos os recursos de monitoramento, não apenas os recursos em seu AMPLS. Efetivamente, isso fará com que todas as solicitações de consulta e a ingestão para componentes do Application Insights, passem por IPs privados. Isso não significa que a validação do Link Privado se aplique a todas essas solicitações.

Os recursos não adicionados ao AMPLS só poderão ser acessados se o modo de acesso do AMPLS estiver “Aberto” e se o recurso de destino aceitar o tráfego de redes públicas. Ao usar o IP privado, as validações de Link Privado não se aplicam aos recursos que não estão no AMPLS. Para saber mais, confira Modos de acesso de Link Privado.

As configurações de Link Privado para o Prometheus Gerenciado e a ingestão de dados em seu workspace do Azure Monitor são configuradas nos Pontos de Extremidade de Coleta de Dados para o recurso referenciado. As configurações para consultar o workspace do Azure Monitor em Link Privado são feitas diretamente no workspace do Azure Monitor e não são tratadas por meio do AMPLS.

Pontos de extremidade específicos ao recurso

Os pontos de extremidade do Log Analytics são específicos do workspace, exceto para o ponto de extremidade de consulta discutido anteriormente. Como resultado, a adição de um workspace do Log Analytics específico do AMPLS enviará solicitações de ingestão para esse workspace por meio do Link Privado. A ingestão para outros workspaces continuará a usar os pontos de extremidade públicos.

Os pontos de extremidade de coleta de dados também são específicos do recurso. Você pode usá-los para definir exclusivamente as configurações de ingestão para coletar dados de telemetria do sistema operacional convidado de seus computadores (ou conjunto de computadores) ao usar o novo agente do Azure Monitore as regras de coleta de dados. Configurar um ponto de extremidade de coleta de dados para um conjunto de computadores não afeta a ingestão de telemetria de convidado de outros computadores que usa o novo agente.

Importante

A partir de 1º de dezembro de 2021, a configuração de DNS dos pontos de extremidade privados usará o mecanismo de Compactação do ponto de extremidades, que aloca um único endereço IP privado para todos os workspaces na mesma região. Isso melhora a escala com suporte (até 300 workspaces e 1000 componentes por AMPLS) e reduz o número total de IPs obtidos do pool de IPs da rede.

Conforme discutido em O Link Privado do Azure Monitor se baseia em seu DNS. Apenas um único recurso AMPLS deve ser criado para todas as redes que compartilham o mesmo DNS. Como resultado, as organizações que usam um único DNS global ou regional, na verdade, têm um único Link Privado para gerenciar o tráfego para todos os recursos do Azure Monitor, em todas as redes globais ou regionais.

Para Links Privados criados antes de setembro de 2021, isso significa que:

  • A ingestão de log funciona apenas para recursos no AMPLS. A ingestão para todos os outros recursos é negada (em todas as redes que compartilham o mesmo DNS), independentemente da assinatura ou do locatário.
  • As consultas têm um comportamento mais aberto e permitem que as solicitações de consulta atinjam os recursos que não estejam no AMPLS. A intenção aqui foi evitar a interrupção de consultas de clientes para recursos que não estão no AMPLS, e permitir que as consultas centradas em recursos retornem o conjunto de resultados completo.

Esse comportamento se mostrou muito restritivo para alguns clientes porque interrompe a ingestão de recursos que não estão no AMPLS. Mas ele era muito permissivo para outras pessoas porque permite consultar recursos que não estão no AMPLS.

A partir de setembro de 2021, os Links Privados têm novas configurações obrigatórias de AMPLS que definem explicitamente como eles devem afetar o tráfego de rede. Ao criar um novo recurso AMPLS, você precisa selecionar os modos de acesso que você quer para ingestão e consultas separadamente:

  • Modo somente privado: Permite o tráfego somente para recursos de Link Privado.
  • Modo aberto: Usa o Link Privado para se comunicar com recursos no AMPLS, mas permite que o tráfego continue para outros recursos. Para saber mais, confiraControlar como o Link Privado se aplica às suas redes.

Embora as solicitações de consulta do Log Analytics sejam afetadas pela configuração de modo de acesso do AMPLS, as solicitações de ingestão do Log Analytics usam pontos de extremidade específicos do recurso e não são controladas pelo modo de acesso do AMPLS. Para garantir que as solicitações de ingestão do Log Analytics não possam acessar workspaces fora do AMPLS, defina o firewall de rede para bloquear o tráfego para pontos de extremidade públicos, independentemente dos modos de acesso AMPLS.

Observação

Se você tiver configurado Log Analytics com o Link Privado configurando inicialmente as regras de grupo de segurança de rede para permitir o tráfego de saída por ServiceTag:AzureMonitor as VMs conectadas enviarão os logs por meio do ponto de extremidade público. Posteriormente, se você alterar as regras para negar o tráfego de saída por ServiceTag:AzureMonitor, as VMs conectadas continuam enviando logs até você reinicializar as VMs ou cortar as sessões. Para garantir que a configuração desejada tenha efeito imediato, a recomendação é reinicializar as VMs conectadas.

Próximas etapas