Använda privata slutpunkter för Managed Prometheus och Azure Monitor-arbetsytan
Använd privata slutpunkter för Managed Prometheus och din Azure Monitor-arbetsyta för att tillåta klienter i ett virtuellt nätverk (VNet) att på ett säkert sätt köra frågor mot data via en Privat länk. Den privata slutpunkten använder en separat IP-adress i det virtuella nätverkets adressutrymme för din Azure Monitor-arbetsyteresurs. Nätverkstrafik mellan klienterna i det virtuella nätverket och arbetsyteresursen passerar det virtuella nätverket och en privat länk i Microsofts stamnätverk, vilket eliminerar exponeringen från det offentliga Internet.
Kommentar
Om du använder Azure Managed Grafana för att köra frågor mot dina data konfigurerar du en hanterad privat slutpunkt för att säkerställa att frågorna från Managed Grafana till Din Azure Monitor-arbetsyta använder Microsofts stamnätverk utan att gå via Internet.
Med privata slutpunkter för din arbetsyta kan du:
- Skydda din arbetsyta genom att konfigurera inställningen för offentligt åtkomstnätverk för att blockera alla anslutningar på den offentliga frågeslutpunkten för arbetsytan.
- Öka säkerheten för det virtuella nätverket genom att göra det möjligt för dig att blockera exfiltrering av data från det virtuella nätverket.
- Anslut säkert till arbetsytor från lokala nätverk som ansluter till det virtuella nätverket med hjälp av VPN eller ExpressRoutes med privat peering.
Begreppsmässig översikt
En privat slutpunkt är ett särskilt nätverksgränssnitt för en Azure-tjänst i ditt virtuella nätverk (VNet). När du skapar en privat slutpunkt för din arbetsyta ger den säker anslutning mellan klienter i ditt virtuella nätverk och din arbetsyta. Den privata slutpunkten tilldelas en IP-adress från IP-adressintervallet för ditt virtuella nätverk. Anslutningen mellan den privata slutpunkten och arbetsytan använder en säker privat länk.
Program i det virtuella nätverket kan ansluta till arbetsytan via den privata slutpunkten sömlöst, med samma anslutningssträng och auktoriseringsmekanismer som de skulle använda annars.
Privata slutpunkter kan skapas i undernät som använder tjänstslutpunkter. Klienter i undernätet kan sedan ansluta till en arbetsyta med hjälp av en privat slutpunkt, samtidigt som tjänstslutpunkter används för att få åtkomst till andra tjänster.
När du skapar en privat slutpunkt för en arbetsyta i ditt virtuella nätverk skickas en begäran om medgivande för godkännande till arbetsytans kontoägare. Om användaren som begär att den privata slutpunkten ska skapas också är ägare till arbetsytan godkänns begäran om medgivande automatiskt.
Azure Monitor-arbetsyteägare kan hantera begäranden om medgivande och privata slutpunkter via fliken "Privat åtkomst" på sidan Nätverk för arbetsytan i Azure Portal.
Dricks
Om du bara vill begränsa åtkomsten till din arbetsyta via den privata slutpunkten väljer du "Inaktivera offentlig åtkomst och använd privat åtkomst" på fliken Offentlig åtkomst på sidan Nätverk för arbetsytan i Azure Portal.
Skapa en privat slutpunkt
Information om hur du skapar en privat slutpunkt med hjälp av Azure Portal, PowerShell eller Azure CLI finns i följande artiklar. Artiklarna innehåller en Azure-webbapp som måltjänst, men stegen för att skapa en privat länk är desamma för en Azure Monitor-arbetsyta.
När du skapar en privat slutpunkt gör du följande val från listrutorna på den grundläggande fliken:
- Resurstyp – Välj
Microsoft.Monitor/accounts
. Ange den Azure Monitor-arbetsyta som den ansluter till. - Underresurs för mål – Välj
prometheusMetrics
.
Skapa en privat slutpunkt med hjälp av följande artiklar:
Ansluta till en privat slutpunkt
Klienter i ett virtuellt nätverk som använder den privata slutpunkten bör använda samma frågeslutpunkt för Azure Monitor-arbetsytan som klienter som ansluter till den offentliga slutpunkten. Vi förlitar oss på DNS-matchning för att automatiskt dirigera anslutningarna från det virtuella nätverket till arbetsytan via en privat länk.
Som standard skapar vi en privat DNS-zon som är kopplad till det virtuella nätverket med nödvändiga uppdateringar för de privata slutpunkterna. Men om du använder din egen DNS-server kan du behöva göra ytterligare ändringar i DNS-konfigurationen. I avsnittet om DNS-ändringar nedan beskrivs de uppdateringar som krävs för privata slutpunkter.
DNS-ändringar för privata slutpunkter
Kommentar
Mer information om hur du konfigurerar DNS-inställningar för privata slutpunkter finns i DNS-konfigurationen för azure private endpoint.
När du skapar en privat slutpunkt uppdateras DNS CNAME-resursposten för arbetsytan till ett alias i en underdomän med prefixet privatelink
. Som standard skapar vi också en privat DNS-zon som motsvarar underdomänen privatelink
med DNS A-resursposterna för de privata slutpunkterna.
När du löser frågans slutpunkts-URL utanför det virtuella nätverket med den privata slutpunkten matchas den till arbetsytans offentliga slutpunkt. När den matchas från det virtuella nätverk som är värd för den privata slutpunkten matchas frågeslutpunkts-URL:en till den privata slutpunktens IP-adress.
I exemplet nedan använder k8s02-workspace
vi i regionen USA, östra. Resursnamnet är inte garanterat unikt, vilket kräver att vi lägger till några tecken efter namnet för att göra URL-sökvägen unik. till exempel k8s02-workspace-<key>
. Den här unika frågeslutpunkten visas på översiktssidan för Azure Monitor-arbetsytan.
DNS-resursposterna för Azure Monitor-arbetsytan när de matchas utanför det virtuella nätverk som är värd för den privata slutpunkten är:
Namn | Typ | Värde |
---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
CNAME | <Offentlig slutpunkt för AMW-regional tjänst> |
<Offentlig slutpunkt för AMW-regional tjänst> | A | <Offentlig IP-adress för AMW-regional tjänst> |
Som tidigare nämnts kan du neka eller kontrollera åtkomst för klienter utanför det virtuella nätverket via den offentliga slutpunkten med hjälp av fliken Offentlig åtkomst på sidan Nätverk på arbetsytan.
DNS-resursposterna för "k8s02-workspace" när de matchas av en klient i det virtuella nätverk som är värd för den privata slutpunkten är:
Namn | Typ | Värde |
---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
A | <IP-adress för privat slutpunkt> |
Den här metoden ger åtkomst till arbetsytan med samma frågeslutpunkt för klienter på det virtuella nätverket som är värd för de privata slutpunkterna samt klienter utanför det virtuella nätverket.
Om du använder en anpassad DNS-server i nätverket måste klienterna kunna matcha FQDN för arbetsytans frågeslutpunkt till IP-adressen för den privata slutpunkten. Du bör konfigurera DNS-servern för att delegera din privata länkunderdomän till den privata DNS-zonen för det virtuella nätverket eller konfigurera A-posterna för med ip-adressen för k8s02-workspace
den privata slutpunkten.
Dricks
När du använder en anpassad eller lokal DNS-server bör du konfigurera DNS-servern för att matcha namnet på arbetsytans frågeslutpunkt i underdomänen privatelink
till IP-adressen för den privata slutpunkten. Du kan göra detta genom att delegera underdomänen privatelink
till den privata DNS-zonen för det virtuella nätverket eller genom att konfigurera DNS-zonen på DNS-servern och lägga till DNS A-posterna.
De rekommenderade DNS-zonnamnen för privata slutpunkter för en Azure Monitor-arbetsyta är:
Resurs | Målunderresurs | Zonnamn |
---|---|---|
Azure Monitor-arbetsyta | prometheusMetrics | privatelink.<region>.prometheus.monitor.azure.com |
Mer information om hur du konfigurerar din egen DNS-server för att stödja privata slutpunkter finns i följande artiklar:
Prissättning
Prisinformation finns i Priser för Azure Private Link.
Kända problem
Tänk på följande kända problem med privata slutpunkter för Azure Monitor-arbetsytan.
Begränsningar för åtkomst till arbetsytor för klienter i virtuella nätverk med privata slutpunkter
Klienter i virtuella nätverk med befintliga privata slutpunkter har begränsningar vid åtkomst till andra Azure Monitor-arbetsytor som har privata slutpunkter. Anta till exempel att ett VNet N1 har en privat slutpunkt för en arbetsyta A1. Om arbetsytan A2 har en privat slutpunkt i ett VNet N2 måste klienter i VNet N1 även fråga efter arbetsytedata i konto A2 med hjälp av en privat slutpunkt. Om arbetsytan A2 inte har några konfigurerade privata slutpunkter kan klienter i VNet N1 fråga efter data från den arbetsytan utan en privat slutpunkt.
Den här begränsningen är ett resultat av DE DNS-ändringar som görs när arbetsytan A2 skapar en privat slutpunkt.