Utilizar o Azure Private Link para se ligar a redes do Azure Monitor

  • Artigo

Com o Azure Private Link, você pode vincular com segurança recursos de PaaS (plataforma como serviço) do Azure à sua rede virtual usando pontos de extremidade privados. O Azure Monitor é uma constelação de diferentes serviços interconectados que trabalham juntos para monitorar suas cargas de trabalho. Um link privado do Azure Monitor conecta um ponto de extremidade privado a um conjunto de recursos do Azure Monitor para definir os limites da sua rede de monitoramento. Esse conjunto é chamado de Escopo de Link Privado do Azure Monitor (AMPLS).

Nota

Os links privados do Azure Monitor são estruturados de forma diferente dos links privados para outros serviços que você pode usar. Em vez de criar vários links privados, um para cada recurso ao qual a rede virtual se conecta, o Azure Monitor usa uma única conexão de link privado, da rede virtual para um AMPLS. AMPLS é o conjunto de todos os recursos do Azure Monitor aos quais uma rede virtual se conecta por meio de um link privado.

Vantagens

Com Private Link você pode:

  • Conecte-se de forma privada ao Azure Monitor sem abrir nenhum acesso à rede pública.
  • Certifique-se de que os seus dados de monitorização só são acedidos através de redes privadas autorizadas.
  • Impeça a exfiltração de dados de suas redes privadas definindo recursos específicos do Azure Monitor que se conectam por meio de seu ponto de extremidade privado.
  • Conecte com segurança sua rede local privada ao Azure Monitor usando o Azure ExpressRoute e o Private Link.
  • Mantenha todo o tráfego dentro da rede de backbone do Azure.

Para obter mais informações, consulte Principais benefícios do Private Link.

Como funciona: Princípios fundamentais

Um link privado do Azure Monitor conecta um ponto de extremidade privado a um conjunto de recursos do Azure Monitor composto por espaços de trabalho do Log Analytics e recursos do Application Insights. Esse conjunto é chamado de Escopo de Link Privado do Azure Monitor.

Diagram that shows basic resource topology.

Um AMPLS:

  • Usa IPs privados: o ponto de extremidade privado em sua rede virtual permite que ele alcance os pontos de extremidade do Azure Monitor por meio de IPs privados do pool da sua rede, em vez de usar os IPs públicos desses pontos de extremidade. Por esse motivo, você pode continuar usando seus recursos do Azure Monitor sem abrir sua rede virtual para tráfego de saída desnecessário.
  • É executado no backbone do Azure: o tráfego do ponto de extremidade privado para os recursos do Azure Monitor passará pelo backbone do Azure e não será roteado para redes públicas.
  • Controla quais recursos do Azure Monitor podem ser acessados: configure seu AMPLS para seu modo de acesso preferido. Você pode permitir o tráfego apenas para recursos de Link Privado ou para recursos de Link Privado e não Link Privado (recursos fora do AMPLS).
  • Controla o acesso à rede aos recursos do Azure Monitor: configure cada um dos seus espaços de trabalho ou componentes para aceitar ou bloquear o tráfego de redes públicas. Você pode aplicar diferentes configurações para solicitações de ingestão e consulta.

Quando você configura uma conexão de link privado, suas zonas DNS mapeiam pontos de extremidade do Azure Monitor para IPs privados para enviar tráfego por meio do link privado. O Azure Monitor usa pontos de extremidade específicos de recursos e pontos de extremidade globais/regionais compartilhados para alcançar os espaços de trabalho e componentes em seu AMPLS.

Aviso

Como o Azure Monitor usa alguns pontos de extremidade compartilhados (ou seja, pontos de extremidade que não são específicos do recurso), a configuração de um link privado, mesmo para um único recurso, altera a configuração de DNS que afeta o tráfego para todos os recursos. Em outras palavras, o tráfego para todos os espaços de trabalho ou componentes é afetado por uma única configuração de link privado.

O uso de pontos de extremidade compartilhados também significa que você deve usar um único AMPLS para todas as redes que compartilham o mesmo DNS. A criação de vários recursos AMPLS fará com que as zonas DNS do Azure Monitor substituam umas às outras e interrompam os ambientes existentes. Para saber mais, consulte Planejar por topologia de rede.

Pontos finais globais e regionais partilhados

Quando você configura o Private Link mesmo para um único recurso, o tráfego para os seguintes pontos de extremidade será enviado através dos IPs privados alocados:

  • Todos os pontos de extremidade do Application Insights: os endpoints que manipulam a ingestão, as métricas em tempo real, o Profiler e o depurador para pontos de extremidade do Application Insights são globais.
  • O ponto de extremidade de consulta: o ponto de extremidade que manipula consultas para recursos do Application Insights e do Log Analytics é global.

Importante

A criação de um link privado afeta o tráfego para todos os recursos de monitoramento, não apenas para os recursos em seu AMPLS. Efetivamente, ele fará com que todas as solicitações de consulta e ingestão de componentes do Application Insights passem por IPs privados. Isso não significa que a validação do link privado se aplica a todas essas solicitações.

Os recursos não adicionados ao AMPLS só podem ser alcançados se o modo de acesso AMPLS estiver aberto e o recurso de destino aceitar tráfego de redes públicas. Quando você usa o IP privado, as validações de link privado não se aplicam a recursos que não estejam no AMPLS. Para saber mais, consulte Modos de acesso de Link Privado.

As configurações de Link Privado para o Managed Prometheus e a ingestão de dados em seu espaço de trabalho do Azure Monitor são configuradas nos Pontos de Extremidade de Coleta de Dados para o recurso referenciado. As configurações para consultar seu espaço de trabalho do Azure Monitor pelo Private Link são feitas diretamente no espaço de trabalho do Azure Monitor e não são tratadas via AMPLS.

Pontos de extremidade específicos de recursos

Os pontos de extremidade do Log Analytics são específicos do espaço de trabalho, exceto para o ponto de extremidade de consulta discutido anteriormente. Como resultado, adicionar um espaço de trabalho específico do Log Analytics ao AMPLS enviará solicitações de ingestão para esse espaço de trabalho pelo link privado. A ingestão para outros espaços de trabalho continuará a usar os pontos de extremidade públicos.

Os pontos finais de coleta de dados também são específicos do recurso. Você pode usá-los para definir exclusivamente as configurações de ingestão para coletar dados de telemetria do SO convidado de suas máquinas (ou conjunto de máquinas) ao usar o novo Agente do Azure Monitor e as regras de coleta de dados. A configuração de um ponto de extremidade de coleta de dados para um conjunto de máquinas não afeta a ingestão de telemetria de convidado de outras máquinas que usam o novo agente.

Importante

A partir de 1º de dezembro de 2021, a configuração DNS de pontos de extremidade privados usará o mecanismo de compactação de ponto final, que aloca um único endereço IP privado para todos os espaços de trabalho na mesma região. Ele melhora a escala suportada (até 300 espaços de trabalho e 1.000 componentes por AMPLS) e reduz o número total de IPs retirados do pool de IP da rede.

Conforme discutido em Os links privados do Azure Monitor dependem do seu DNS, apenas um único recurso AMPLS deve ser criado para todas as redes que compartilham o mesmo DNS. Como resultado, as organizações que usam um único DNS global ou regional têm um único link privado para gerenciar o tráfego para todos os recursos do Azure Monitor, em todas as redes globais ou regionais.

Para links privados criados antes de setembro de 2021, isso significa:

  • A ingestão de logs funciona apenas para recursos no AMPLS. A ingestão de todos os outros recursos é negada (em todas as redes que compartilham o mesmo DNS), independentemente da assinatura ou do locatário.
  • As consultas têm um comportamento mais aberto que permite que as solicitações de consulta alcancem até mesmo recursos que não estão no AMPLS. A intenção aqui era evitar quebrar consultas de clientes para recursos que não estavam no AMPLS e permitir que consultas centradas em recursos retornassem o conjunto de resultados completo.

Este comportamento revelou-se demasiado restritivo para alguns clientes porque quebra a ingestão de recursos que não se encontram na AMPLS. Mas foi demasiado permissivo para outros porque permite consultar recursos que não estão na AMPLS.

A partir de setembro de 2021, os links privados terão novas configurações obrigatórias de AMPLS que definem explicitamente como devem afetar o tráfego de rede. Ao criar um novo recurso AMPLS, agora é necessário selecionar os modos de acesso desejados para ingestão e consultas separadamente:

  • Modo Somente Privado: Permite tráfego apenas para recursos de Link Privado.
  • Modo aberto: usa o Private Link para se comunicar com recursos no AMPLS, mas também permite que o tráfego continue para outros recursos. Para saber mais, consulte Controlar como os links privados se aplicam às suas redes.

Embora as solicitações de consulta do Log Analytics sejam afetadas pela configuração do modo de acesso AMPLS, as solicitações de ingestão do Log Analytics usam pontos de extremidade específicos de recursos e não são controladas pelo modo de acesso AMPLS. Para garantir que as solicitações de ingestão do Log Analytics não possam acessar espaços de trabalho fora do AMPLS, defina o firewall da rede para bloquear o tráfego para pontos de extremidade públicos, independentemente dos modos de acesso AMPLS.

Nota

Se você configurou o Log Analytics com Private Link definindo inicialmente as regras do grupo de segurança de rede para permitir o tráfego de saída pelo ServiceTag:AzureMonitor, as VMs conectadas enviam os logs por meio de um ponto de extremidade público. Mais tarde, se você alterar as regras para negar o tráfego de saída pelo ServiceTag:AzureMonitor, as VMs conectadas continuarão enviando logs até que você reinicialize as VMs ou corte as sessões. Para garantir que a configuração desejada tenha efeito imediato, reinicie as VMs conectadas.

Próximos passos