Configure seu link privado

Configurar uma instância do Azure Private Link requer que você:

• Crie um Escopo de Link Privado do Azure Monitor (AMPLS) com recursos.
• Crie um ponto de extremidade privado em sua rede e conecte-o ao escopo.
• Configure o acesso necessário em seus recursos do Azure Monitor.

Este artigo analisa como a configuração é feita por meio do portal do Azure. Ele fornece um exemplo de modelo do Azure Resource Manager (modelo ARM) para automatizar o processo.

Criar uma conexão de link privado por meio do portal do Azure

Nesta seção, analisamos o processo passo a passo de configuração de um link privado por meio do portal do Azure. Para criar e gerenciar um link privado usando a linha de comando ou um modelo ARM, consulte Usar APIs e a linha de comando.

Criar um escopo de link privado do Azure Monitor

1. Vá para Criar um recurso no portal do Azure e procure Escopo de Link Privado do Azure Monitor.

   

2. Selecione Criar.

3. Selecione uma assinatura e um grupo de recursos.

4. Dê um nome à AMPLS. Use um nome significativo e claro como AppServerProdTelem.

5. Selecione Rever + criar.

   

6. Deixe a validação passar e selecione Criar.

Conectar recursos do Azure Monitor

Conecte recursos do Azure Monitor, como espaços de trabalho do Log Analytics, componentes do Application Insights e pontos de extremidade de coleta de dados) ao seu Escopo de Link Privado do Azure Monitor (AMPLS).

1. Em seu AMPLS, selecione Recursos do Azure Monitor no menu à esquerda. Selecione Adicionar.

2. Adicione o espaço de trabalho ou componente. Selecionar Adicionar abre uma caixa de diálogo onde você pode selecionar recursos do Azure Monitor. Pode navegar pelas suas subscrições e grupos de recursos. Você também pode inserir seus nomes para filtrá-los. Selecione o espaço de trabalho ou componente e selecione Aplicar para adicioná-los ao seu escopo.

   

Nota

A exclusão de recursos do Azure Monitor exige que você primeiro os desconecte de quaisquer objetos AMPLS aos quais estejam conectados. Não é possível excluir recursos conectados a um AMPLS.

Conectar-se a um ponto de extremidade privado

Agora que você tem recursos conectados ao seu AMPLS, crie um ponto de extremidade privado para conectar sua rede. Você pode fazer essa tarefa no Centro de Link Privado do portal do Azure ou dentro do seu AMPLS, conforme feito neste exemplo.

1. No recurso de escopo, selecione Conexões de ponto de extremidade privado no menu de recursos à esquerda. Selecione Ponto de extremidade privado para iniciar o processo de criação do ponto de extremidade. Você também pode aprovar conexões que foram iniciadas no Private Link Center aqui, selecionando-as e selecionando Aprovar.

   

2. Na guia Noções básicas, selecione o grupo Assinatura e Recursos

3. Insira o Nome do ponto de extremidade e o Nome da Interface de Rede

4. Selecione a região em que o ponto de extremidade privado deve viver. A região deve ser a mesma região da rede virtual à qual você a conecta.

5. Selecione Next: Resource.

   

6. Na guia Recurso, selecione a Assinatura que contém seu recurso Escopo de Link Privado do Azure Monitor.

7. Em Tipo de recurso, selecione Microsoft.insights/privateLinkScopes.

8. Na lista suspensa Recurso, selecione o Escopo do Link Privado criado anteriormente.

9. Selecione Next: Virtual Network.

   

10. Na guia Rede Virtual, selecione a Rede virtual e a Sub-rede que você deseja conectar aos recursos do Azure Monitor.

11. Em Política de rede para pontos de extremidade privados, selecione editar se quiser aplicar grupos de segurança de rede ou tabelas de rotas à sub-rede que contém o ponto de extremidade privado.

    Em Editar política de rede de sub-rede, marque as caixas de seleção ao lado de Grupos de segurança de rede e Tabelas de rotas e selecione Salvar. Para obter mais informações, consulte Gerenciar políticas de rede para pontos de extremidade privados.

12. Para Configuração de IP privado, por padrão, a opção Alocar endereço IP dinamicamente é selecionada. Se desejar atribuir um endereço IP estático, selecione Alocar endereço IP estaticamente. Em seguida, insira um nome e um IP privado.
    Opcionalmente, você pode selecionar ou criar um grupo de segurança Aplicativo. Você pode usar grupos de segurança de aplicativos para agrupar máquinas virtuais e definir políticas de segurança de rede com base nesses grupos.

13. Selecione Next: DNS.

    

14. Na guia DNS, selecione Sim para Integrar com zona DNS privada e permita que ela crie automaticamente uma nova zona DNS privada. As zonas DNS reais podem ser diferentes do que é mostrado na captura de tela a seguir.

    Nota

    Se você selecionar Não e preferir gerenciar os registros DNS manualmente, primeiro termine de configurar seu link privado. Inclua este ponto de extremidade privado e a configuração AMPLS. Em seguida, configure seu DNS de acordo com as instruções na configuração DNS do ponto de extremidade privado do Azure. Certifique-se de não criar registros vazios como preparação para sua configuração de link privado. Os registros DNS criados podem substituir as configurações existentes e afetar sua conectividade com o Azure Monitor.

15. Selecione Seguinte: Etiquetas e, em seguida, selecione Rever + criar.

    

16. Em Rever + criar , assim que a validação for aprovada, selecione Criar.

Agora você criou um novo ponto de extremidade privado conectado a este AMPLS.

Configurar o acesso aos seus recursos

Até agora, cobrimos a configuração da sua rede. Mas você também deve considerar como deseja configurar o acesso à rede para seus recursos monitorados, como espaços de trabalho do Log Analytics, componentes do Application Insights e pontos de extremidade de coleta de dados.

Aceda ao portal do Azure. No menu do seu recurso, localize Isolamento de Rede no lado esquerdo. Esta página controla quais redes podem acessar o recurso através de um link privado e se outras redes podem alcançá-lo ou não.

Escopos de Link Privado do Azure Monitor Conectado

Aqui você pode revisar e configurar as conexões do recurso com um AMPLS. A conexão a um AMPLS permite que o tráfego da rede virtual conectada a cada AMPLS chegue ao recurso. Ele tem o mesmo efeito de conectá-lo a partir do escopo que fizemos na seção Conectar recursos do Azure Monitor.

Para adicionar uma nova conexão, selecione Adicionar e selecione o AMPLS. Selecione Aplicar para conectá-lo. Seu recurso pode se conectar a cinco objetos AMPLS, conforme mencionado em Considerar limites AMPLS.

Configuração de acesso a redes virtuais: gerencie o acesso de fora de um escopo de link privado

As configurações na parte inferior desta página controlam o acesso de redes públicas, ou seja, redes não conectadas aos escopos listados.

Se você definir Aceitar ingestão de dados de redes públicas não conectadas por meio de um escopo de link privado como Não, clientes como máquinas ou SDKs fora dos escopos conectados não poderão carregar dados ou enviar logs para o recurso.

Se você definir Aceitar consultas de redes públicas não conectadas por meio de um escopo de link privado como Não, clientes como máquinas ou SDKs fora dos escopos conectados não poderão consultar dados no recurso.

Esses dados incluem acesso a logs, métricas e ao fluxo de métricas ao vivo. Ele também inclui experiências criadas sobre isso, como pastas de trabalho, painéis, experiências de cliente baseadas em API de consulta e insights no portal do Azure. As experiências executadas fora do portal do Azure e que consultam dados do Log Analytics também precisam ser executadas na rede virtual vinculada privada.

Usar APIs e a linha de comando

Você pode automatizar o processo descrito anteriormente usando modelos ARM, REST e interfaces de linha de comando.

Criar e gerenciar escopos de link privado

Para criar e gerenciar escopos de link privado, use a API REST ou a CLI do Azure (az monitor private-link-scope).

Criar um AMPLS com modos de acesso aberto: exemplo de CLI

O comando da CLI a seguir cria um novo recurso AMPLS chamado "my-scope", com os modos de acesso de consulta e ingestão definidos como Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Criar um AMPLS com modos de acesso misto: exemplo do PowerShell

O script PowerShell a seguir cria um novo recurso AMPLS chamado "my-scope", com o modo de acesso de consulta definido como mas os modos de acesso de ingestão definidos como OpenPrivateOnly. Esta configuração significa que permitirá a ingestão apenas de recursos no AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Criar um modelo AMPLS: ARM

O seguinte modelo ARM cria:

• Um AMPLS chamado "my-scope", com modos de acesso de consulta e ingestão definidos como Open.
• Um espaço de trabalho do Log Analytics chamado "my-workspace".
• E adiciona um recurso com escopo ao "my-scope" AMPLS chamado "my-workspace-connection".

Nota

Certifique-se de usar uma nova versão da API (2021-07-01-preview ou posterior) para a criação do objeto AMPLS (digite microsoft.insights/privatelinkscopes da seguinte maneira). O modelo ARM documentado no passado usava uma versão antiga da API, que resulta em um conjunto AMPLS com QueryAccessMode="Open" e IngestionAccessMode="PrivateOnly".

{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Definir modos de acesso AMPLS: exemplo do PowerShell

Para definir os sinalizadores de modo de acesso em seu AMPLS, você pode usar o seguinte script do PowerShell. O script a seguir define os sinalizadores como Open. Para usar o modo Somente privado, use o valor "PrivateOnly".

Aguarde cerca de 10 minutos para que a atualização dos modos de acesso AMPLS entre em vigor.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group-name"
$scopeName = "my-scope"

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

Definir sinalizadores de acesso a recursos

Para gerenciar o espaço de trabalho ou os sinalizadores de acesso ao componente, use os sinalizadores [--ingestion-access {Disabled, Enabled}] e [--query-access {Disabled, Enabled}]no az monitor log-analytics workspace ou az monitor app-insights component.

Revise e valide sua configuração de link privado

Siga os passos nesta secção para rever e validar a configuração da sua ligação privada.

Revise as configurações de DNS do seu endpoint

O ponto de extremidade privado que você criou agora deve ter cinco zonas DNS configuradas:

• privatelink.monitor.azure.com
• privatelink.oms.opinsights.azure.com
• privatelink.ods.opinsights.azure.com
• privatelink.agentsvc.azure.automation.net
• privatelink.blob.core.windows.net

Cada uma dessas zonas mapeia pontos de extremidade específicos do Azure Monitor para IPs privados do pool de IPs da rede virtual. Os endereços IP mostrados nas imagens a seguir são apenas exemplos. Sua configuração deve, em vez disso, mostrar IPs privados de sua própria rede.

Importante

AMPLS e recursos de endpoint privados criados a partir de 1º de dezembro de 2021 usam um mecanismo chamado Compressão de Endpoint. Agora, pontos de extremidade específicos de recursos, como os pontos de extremidade OMS, ODS e AgentSVC, compartilham o mesmo endereço IP, por região e por zona DNS. Esse mecanismo significa que menos IPs são retirados do pool de IP da rede virtual e muitos mais recursos podem ser adicionados ao AMPLS.

Privatelink-monitor-azure-com

Essa zona abrange os pontos de extremidade globais usados pelo Azure Monitor, o que significa que os pontos de extremidade atendem solicitações globalmente/regionalmente e não solicitações específicas de recursos. Esta zona deve ter pontos de extremidade mapeados para:

• in.ai: Ponto de extremidade de ingestão do Application Insights (uma entrada global e regional).
• api: endpoint da API do Application Insights e do Log Analytics.
• live: ponto de extremidade de métricas ao vivo do Application Insights.
• profiler: ponto de extremidade do Application Insights profiler.
• snapshot: ponto de extremidade de instantâneo do Application Insights.
• diagservices-query: Application Insights Profiler e Snapshot Debugger (usados ao acessar os resultados do profiler/depurador no portal do Azure).

Esta zona também abrange os pontos de extremidade específicos de recursos para pontos de extremidade de coleta de dados (DCEs):

• <unique-dce-identifier>.<regionname>.handler.control: Ponto de extremidade de configuração privada, parte de um recurso DCE.
• <unique-dce-identifier>.<regionname>.ingest: Ponto de extremidade de ingestão privada, parte de um recurso DCE.

Pontos de extremidade do Log Analytics

Importante

AMPLSs e endpoints privados criados a partir de 1º de dezembro de 2021 usam um mecanismo chamado Endpoint Compression. Agora, cada ponto de extremidade específico de recurso, como OMS, ODS e AgentSVC, usa um único endereço IP, por região e por zona DNS, para todos os espaços de trabalho nessa região. Esse mecanismo significa que menos IPs são retirados do pool de IP da rede virtual e muitos mais recursos podem ser adicionados ao AMPLS.

O Log Analytics usa quatro zonas DNS:

• privatelink-oms-opinsights-azure-com: Abrange o mapeamento específico do espaço de trabalho para pontos de extremidade do OMS. Você verá uma entrada para cada espaço de trabalho vinculado ao AMPLS conectado a esse ponto de extremidade privado.
• privatelink-ods-opinsights-azure-com: Abrange o mapeamento específico do espaço de trabalho para pontos de extremidade ODS, que são os pontos de extremidade de ingestão do Log Analytics. Você verá uma entrada para cada espaço de trabalho vinculado ao AMPLS conectado a esse ponto de extremidade privado.
• privatelink-agentsvc-azure-automation-net: Abrange o mapeamento específico do espaço de trabalho para os pontos de extremidade de automação do serviço do agente. Você verá uma entrada para cada espaço de trabalho vinculado ao AMPLS conectado a esse ponto de extremidade privado.
• privatelink-blob-core-windows-net: configura a conectividade com a conta de armazenamento dos pacotes de soluções dos agentes globais. Por meio dele, os agentes podem baixar pacotes de soluções novos ou atualizados, que também são conhecidos como pacotes de gerenciamento. Apenas uma entrada é necessária para lidar com todos os agentes do Log Analytics, não importa quantos espaços de trabalho sejam usados. Esta entrada só é adicionada a configurações de link privado criadas em ou após 19 de abril de 2021 (ou a partir de junho de 2021 nas nuvens soberanas do Azure).

A captura de tela a seguir mostra pontos de extremidade mapeados para um AMPLS com dois espaços de trabalho no Leste dos EUA e um espaço de trabalho na Europa Ocidental. Observe que os espaços de trabalho do Leste dos EUA compartilham os endereços IP. O ponto de extremidade do espaço de trabalho da Europa Ocidental é mapeado para um endereço IP diferente. O ponto de extremidade de blob não aparece nesta imagem, mas está configurado.

Validar que está a comunicar através de uma ligação privada

Certifique-se de que o seu link privado está em boas condições de funcionamento:

• Para validar que os seus pedidos são agora enviados através do ponto de extremidade privado, pode analisá-los com uma ferramenta de rastreio de rede ou até mesmo com o seu navegador. Por exemplo, quando você tentar consultar seu espaço de trabalho ou aplicativo, verifique se a solicitação é enviada para o IP privado mapeado para o ponto de extremidade da API. Neste exemplo, é 172.17.0.9.

  Nota

  Alguns navegadores podem usar outras configurações de DNS. Para obter mais informações, consulte Configurações de DNS do navegador. Certifique-se de que as suas definições de DNS se aplicam.

• Para garantir que seus espaços de trabalho ou componentes não estejam recebendo solicitações de redes públicas (não conectadas por meio de AMPLS), defina os sinalizadores de ingestão e consulta pública do recurso como Não , conforme explicado em Configurar acesso aos seus recursos.

• A partir de um cliente na sua rede protegida, utilize nslookup qualquer um dos pontos finais listados nas suas zonas DNS. Ele deve ser resolvido pelo seu servidor DNS para os IPs privados mapeados em vez dos IPs públicos usados por padrão.

Próximos passos

• Saiba mais sobre armazenamento privado para logs personalizados e chaves gerenciadas pelo cliente.
• Saiba mais sobre o Private Link for Azure Automation.
• Saiba mais sobre os novos pontos de extremidade de coleta de dados.