Настройка закрытого доступа

В этом руководстве вы узнаете, как отключить общедоступный доступ к рабочей области Azure Managed Grafana и настроить частные конечные точки. Настройка частных конечных точек в Управляемой Grafana Azure повышает безопасность путем ограничения входящего трафика только в определенную сеть.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Существующий экземпляр Управляемой Grafana Azure на уровне "Стандартный". Создайте его, если у вас его нет.

Отключение общедоступного доступа к рабочей области

Общедоступный доступ включен по умолчанию при создании рабочей области Azure Grafana. Отключение общедоступного доступа запрещает доступ ко всему трафику, если вы не проходите через частную конечную точку.

Примечание.

Если частный доступ включен, привязка диаграмм с помощью пин-кода к Grafana больше не будет работать, так как портал Azure не может получить доступ к рабочей области Azure Managed Grafana на частном IP-адресе.

Портал

1. Перейдите в рабочую область Azure Managed Grafana в портал Azure.

2. В меню слева в разделе Параметры выберите "Сеть".

3. В разделе "Общедоступный доступ" выберите "Отключено ", чтобы отключить общедоступный доступ к рабочей области Azure Managed Grafana и разрешить доступ только через частные конечные точки. Если вы уже отключили общедоступный доступ и вместо этого хотели включить общедоступный доступ к рабочей области Azure Managed Grafana, выберите "Включено".

4. Выберите Сохранить.

   

Azure CLI

В интерфейсе командной строки выполните команду az grafana update и замените заполнители и <resource-group> собственными сведениями<grafana-workspace>:

az grafana update --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled

Создание частной конечной точки

После отключения общедоступного доступа настройте частную конечную точку с Приватный канал Azure. Частные конечные точки позволяют получить доступ к рабочей области Azure Managed Grafana с помощью частного IP-адреса из виртуальной сети.

Портал

1. В сети выберите вкладку "Частный доступ" , а затем добавьте , чтобы начать настройку новой частной конечной точки.

   

2. Заполните вкладку "Основные сведения" следующими сведениями :

   Параметр	Описание	Пример
   Отток подписок	Выберите подписку Azure. Частная конечная точка должна находиться в той же подписке, что и виртуальная сеть. Вы выберете виртуальную сеть далее в этом практическом руководстве.	MyAzureSubscription
   Группа ресурсов	Выберите группу ресурсов или создайте новую.	MyResourceGroup
   Имя.	Введите имя новой частной конечной точки для рабочей области Azure Managed Grafana.	MyPrivateEndpoint
   Имя сетевого интерфейса	Это поле заполняется автоматически. При необходимости измените имя сетевого интерфейса.	MyPrivateEndpoint-nic
   Область/регион	выберите регион. Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть.	(США) Западная часть США

   

3. Выберите Далее: Ресурс >. Приватный канал предлагает варианты создания частных конечных точек для различных типов ресурсов Azure. Текущая рабочая область Azure Managed Grafana автоматически заполняется в поле "Ресурс ".

   1. Тип ресурса Microsoft.Dashboard/grafana и целевой подресурс grafana указывают, что вы создаете конечную точку для рабочей области Azure Managed Grafana.

   2. Имя рабочей области отображается в разделе "Ресурс".

      

4. Выберите Далее: Виртуальная сеть >.

   1. Выберите существующую виртуальную сеть, где нужно развернуть частную конечную точку. Если у вас нет виртуальной сети, создайте ее.

   2. Выберите Подсеть в списке.

   3. Политика сети для частных конечных точек по умолчанию отключена. При необходимости выберите изменение , чтобы добавить группу безопасности сети или политику таблицы маршрутов. Это изменение повлияет на все частные конечные точки, связанные с выбранной подсетью.

   4. В разделе Конфигурация частного IP-адреса выберите параметр для динамического выделения IP-адресов. Дополнительные сведения см. в разделе Частные IP-адреса.

   5. При необходимости можно выбрать или создать группу безопасности приложений. Группы безопасности приложений позволяют группировать виртуальные машины и определять политики безопасности сети на основе этих групп.

      

5. Выберите Далее: DNS >, чтобы настроить запись DNS. Если вы не хотите изменять параметры по умолчанию, можно перейти к следующей вкладке.

   1. Выберите значение Да для параметра Интеграция с частной зоной DNS, если хотите интегрировать частную конечную точку с частной зоной DNS. Вы также можете использовать собственные DNS-серверы или создавать записи DNS с помощью файлов узлов на виртуальных машинах.

   2. Для частной зоны DNS предварительно выбрана подписка и группа ресурсов. Вы можете изменить их при необходимости.

   Дополнительные сведения о конфигурации DNS см. в разделах Разрешение имен ресурсов в виртуальных сетях Azure и Конфигурация DNS для частных конечных точек. Значения частной зоны DNS частной конечной точки Azure для Управляемой Grafana перечислены в зоне DNS служб Azure.

   

6. Выберите Далее: Теги > и при необходимости создайте теги. Теги — это пары "имя-значение", которые можно назначать ресурсам и группам ресурсов для их категоризации, а также консолидированного отображения данных для выставления счетов.

7. Нажмите кнопку "Далее: проверка и создание > ", чтобы просмотреть сведения о рабочей области Azure Managed Grafana, частной конечной точке, виртуальной сети и DNS. Вы также можете выбрать Скачать шаблон для автоматизации, чтобы повторно использовать данные JSON из этой формы позже.

8. Нажмите кнопку создания.

После завершения развертывания вы получите уведомление о создании конечной точки. Если он утвержден автоматически, вы можете приватно получить доступ к рабочей области. В противном случае вам придется ждать утверждения.

Azure CLI

1. Чтобы настроить частную конечную точку, нужна виртуальная сеть. Если у вас ее нет, создайте виртуальную сеть с помощью команды az network vnet create. Замените замещающий текст <vnet>, <resource-group><subnet>и <vnet-location> именем новой виртуальной сети, группой ресурсов и именем и расположением виртуальной сети.

   az network vnet create --name <vnet> --resource-group <resource-group> --subnet-name <subnet> --location <vnet-location>
   

   Заполнитель	Описание:	Пример
   <vnet>	Укажите имя для новой виртуальной сети. Виртуальная сеть позволяет ресурсам Azure обмениваться данными в частном порядке и взаимодействовать через Интернет.	MyVNet
   <resource-group>	Введите имя существующей группы ресурсов для своей виртуальной сети.	MyResourceGroup
   <subnet>	Введите имя для новой подсети. Подсеть — это сеть внутри сети. В ней назначается частный IP-адрес.	MySubnet
   <vnet-location>	Введите регион Azure. Виртуальная сеть и частная конечная точка должны находиться в одном регионе.	centralus

2. Выполните команду az grafana show , чтобы получить свойства рабочей области Azure Managed Grafana, для которой требуется настроить частный доступ. Замените заполнитель <grafana-workspace> именем рабочей области.

   az grafana show --name <grafana-workspace>
   

   Эта команда создает выходные данные с информацией о рабочей области Azure Managed Grafana. id Запишите значение. Например: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana.

3. Выполните команду az network private-endpoint create , чтобы создать частную конечную точку для рабочей области Azure Managed Grafana. Замените замещающий текст <resource-group>, <private-endpoint>, <vnet>, <private-connection-resource-id>, <connection-name> и <location> своими собственными сведениями.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint> --vnet-name <vnet> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id grafana
   

   Заполнитель	Описание:	Пример
   <resource-group>	Введите имя существующей группы ресурсов для своей частной конечной точки.	MyResourceGroup
   <private-endpoint>	Введите имя для новой частной конечной точки.	MyPrivateEndpoint
   <vnet>	Введите имя существующей виртуальной сети.	Myvnet
   <private-connection-resource-id>	Введите идентификатор ресурса частного подключения рабочей области Azure Grafana. Это идентификатор, сохраненный из выходных данных предыдущего шага.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana
   <connection-name>	Введите имя подключения.	MyConnection
   <location>	Введите регион Azure. Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть.	centralus

Управление подключением Приватного канала

Портал

Перейдите к сетевому частному доступу > в рабочей области Azure Managed Grafana, чтобы получить доступ к частным конечным точкам, связанным с рабочей областью.

1. Проверьте состояние подключения своего приватного канала. При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в вашем каталоге и у вас есть достаточные разрешения, запрос на подключение будет утвержден автоматически. В противном случае необходимо дождаться, пока владелец ресурса утвердит ваш запрос на подключение. Дополнительные сведения о моделях утверждения подключений см. в разделе Управление частными конечными точками Azure.

2. Чтобы вручную утвердить, отклонить или удалить подключение, установите флажок рядом с конечной точкой, которую нужно изменить, и выберите элемент действия в верхнем меню.

3. Выберите имя частной конечной точки, чтобы открыть ресурс частной конечной точки и получить доступ к дополнительным сведениям или изменить частную конечную точку.

   

Azure CLI

Просмотр сведений о подключениях к частной конечной точке

Выполните команду az network private-endpoint-connection list, чтобы просмотреть все подключения частной конечной точки, связанные с рабочей областью Azure Managed Grafana, и проверка их состояние подключения. Замените заполнители <resource-group> и <grafana-workspace> именем группы ресурсов и рабочей области Azure Managed Grafana.

az network private-endpoint-connection list --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

При необходимости для получения сведений о конкретной частной конечной точке используйте команду az network private-endpoint-connection show. Замените текст заполнителя <resource-group> и именем группы ресурсов и <grafana-workspace> именем рабочей области Azure Managed Grafana.

az network private-endpoint-connection show --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Получение утверждения подключения

При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в вашем каталоге и у вас есть достаточные разрешения, запрос на подключение будет утвержден автоматически. В противном случае необходимо дождаться, пока владелец ресурса утвердит ваш запрос на подключение.

Чтобы утвердить подключение к частной конечной точке, используйте команду az network private-endpoint-connection approve. Замените текст <resource-group><private-endpoint>заполнителя и <grafana-workspace> именем группы ресурсов, именем частной конечной точки и именем ресурса Azure Managed Grafana.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.Dashboard/grafana --resource-name <grafana-workspace>

Дополнительные сведения о моделях утверждения подключений см. в разделе Управление частными конечными точками Azure.

Удаление подключения к частной конечной точке

Чтобы удалить подключение к частной конечной точке, используйте команду az network private-endpoint-connection delete. Замените замещающий текст <resource-group> и <private-endpoint> именем группы ресурсов и именем частной конечной точки.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Дополнительные команды CLI см. в описании az network private-endpoint-connection.

Если у вас возникли проблемы с частной конечной точкой, ознакомьтесь с руководством Устранение проблем с подключением к частной конечной точке Azure.

Следующие шаги

Из этого руководства вы узнали, как настроить частный доступ пользователей в рабочую область Azure Managed Grafana. Чтобы узнать, как настроить частный доступ между управляемой рабочей областью Grafana и источником данных, см. Подключение в источник данных в частном порядке.