Använda Azure Private Link för att ansluta nätverk till Azure Monitor

  • Artikel

Med Azure Private Link kan du på ett säkert sätt länka Azure Platform as a Service-resurser (PaaS) till ditt virtuella nätverk med hjälp av privata slutpunkter. Azure Monitor är en konstellation av olika sammankopplade tjänster som fungerar tillsammans för att övervaka dina arbetsbelastningar. En privat Azure Monitor-länk ansluter en privat slutpunkt till en uppsättning Azure Monitor-resurser för att definiera gränserna för ditt övervakningsnätverk. Den uppsättningen kallas för ett Azure Monitor Private Link-omfång (AMPLS).

Kommentar

Privata Azure Monitor-länkar är strukturerade på ett annat sätt än privata länkar till andra tjänster som du kan använda. I stället för att skapa flera privata länkar, en för varje resurs som det virtuella nätverket ansluter till, använder Azure Monitor en enda privat länkanslutning, från det virtuella nätverket till en AMPLS. AMPLS är uppsättningen med alla Azure Monitor-resurser som ett virtuellt nätverk ansluter till via en privat länk.

Fördelar

Med Private Link kan du:

  • Anslut privat till Azure Monitor utan att öppna någon offentlig nätverksåtkomst.
  • Se till att dina övervakningsdata endast nås via auktoriserade privata nätverk.
  • Förhindra dataexfiltrering från dina privata nätverk genom att definiera specifika Azure Monitor-resurser som ansluter via din privata slutpunkt.
  • Anslut ditt privata lokala nätverk på ett säkert sätt till Azure Monitor med hjälp av Azure ExpressRoute och Private Link.
  • Behåll all trafik i Azure-stamnätverket.

Mer information finns i Viktiga fördelar med Private Link.

Så här fungerar det: Huvudprinciper

En privat Azure Monitor-länk ansluter en privat slutpunkt till en uppsättning Azure Monitor-resurser som består av Log Analytics-arbetsytor och Application Insights-resurser. Den uppsättningen kallas azure monitor private link-omfång.

Diagram that shows basic resource topology.

En AMPLS:

  • Använder privata IP-adresser: Den privata slutpunkten i ditt virtuella nätverk gör att den kan nå Azure Monitor-slutpunkter via privata IP-adresser från nätverkets pool, i stället för att använda offentliga IP-adresser för dessa slutpunkter. Därför kan du fortsätta att använda dina Azure Monitor-resurser utan att öppna det virtuella nätverket för opålitlig utgående trafik.
  • Körs på Azure-stamnätet: Trafik från den privata slutpunkten till dina Azure Monitor-resurser går via Azure-stamnätet och dirigeras inte till offentliga nätverk.
  • Styr vilka Azure Monitor-resurser som kan nås: Konfigurera AMPLS till önskat åtkomstläge. Du kan antingen endast tillåta trafik till Private Link-resurser eller till både Private Link- och icke-Private-Link-resurser (resurser från AMPLS).
  • Styr nätverksåtkomsten till dina Azure Monitor-resurser: Konfigurera var och en av dina arbetsytor eller komponenter för att acceptera eller blockera trafik från offentliga nätverk. Du kan använda olika inställningar för inmatning och frågebegäranden.

När du konfigurerar en privat länkanslutning mappar DNS-zonerna Azure Monitor-slutpunkter till privata IP-adresser för att skicka trafik via den privata länken. Azure Monitor använder både resursspecifika slutpunkter och delade globala/regionala slutpunkter för att nå arbetsytorna och komponenterna i AMPLS.

Varning

Eftersom Azure Monitor använder vissa delade slutpunkter (vilket innebär slutpunkter som inte är resursspecifika) ändrar konfigurationen av en privat länk även för en enskild resurs DNS-konfigurationen som påverkar trafiken till alla resurser. Med andra ord påverkas trafik till alla arbetsytor eller komponenter av en enda konfiguration av en privat länk.

Användningen av delade slutpunkter innebär också att du bör använda en enda AMPLS för alla nätverk som delar samma DNS. Om du skapar flera AMPLS-resurser åsidosätter Azure Monitor DNS-zoner varandra och bryter befintliga miljöer. Mer information finns i Planera efter nätverkstopologi.

Delade globala och regionala slutpunkter

När du konfigurerar Private Link även för en enskild resurs skickas trafik till följande slutpunkter via de allokerade privata IP-adresserna:

  • Alla Application Insights-slutpunkter: Slutpunkter som hanterar inmatning, livemått, Profiler och felsökningsprogrammet till Application Insights-slutpunkter är globala.
  • Frågeslutpunkten: Slutpunkten som hanterar frågor till både Application Insights- och Log Analytics-resurser är global.

Viktigt!

Att skapa en privat länk påverkar trafiken till alla övervakningsresurser, inte bara resurser i AMPLS. I praktiken leder det till att alla frågebegäranden och inmatning till Application Insights-komponenter går igenom privata IP-adresser. Det betyder inte att valideringen av den privata länken gäller för alla dessa begäranden.

Resurser som inte har lagts till i AMPLS kan bara nås om AMPLS-åtkomstläget är Öppet och målresursen accepterar trafik från offentliga nätverk. När du använder den privata IP-adressen gäller inte verifiering av privata länkar för resurser som inte finns i AMPLS. Mer information finns i Åtkomstlägen för Private Link.

Private Link-inställningar för Managed Prometheus och inmatning av data till din Azure Monitor-arbetsyta konfigureras på datainsamlingsslutpunkterna för den refererade resursen. Inställningar för att fråga din Azure Monitor-arbetsyta via Private Link görs direkt på Azure Monitor-arbetsytan och hanteras inte via AMPLS.

Resursspecifika slutpunkter

Log Analytics-slutpunkter är specifika för arbetsytan, förutom den frågeslutpunkt som beskrevs tidigare. Därför skickar tillägg av en specifik Log Analytics-arbetsyta till AMPLS inmatningsbegäranden till den här arbetsytan via den privata länken. Inmatning till andra arbetsytor fortsätter att använda de offentliga slutpunkterna.

Slutpunkter för datainsamling är också resursspecifika. Du kan använda dem för att unikt konfigurera inmatningsinställningar för insamling av telemetridata för gästoperativsystem från dina datorer (eller uppsättningar datorer) när du använder de nya reglerna för Azure Monitor-agent och datainsamling. Att konfigurera en datainsamlingsslutpunkt för en uppsättning datorer påverkar inte inmatning av gästtelemetri från andra datorer som använder den nya agenten.

Viktigt!

Från och med den 1 december 2021 använder DNS-konfigurationen för privata slutpunkter mekanismen Slutpunktskomprimering, som allokerar en enskild privat IP-adress för alla arbetsytor i samma region. Den förbättrar skalan som stöds (upp till 300 arbetsytor och 1 000 komponenter per AMPLS) och minskar det totala antalet IP-adresser som tas från nätverkets IP-pool.

Som beskrivs i privata Azure Monitor-länkar förlitar sig på din DNS bör endast en enskild AMPLS-resurs skapas för alla nätverk som delar samma DNS. Därför har organisationer som använder en enda global eller regional DNS en enda privat länk för att hantera trafik till alla Azure Monitor-resurser i alla globala eller regionala nätverk.

För privata länkar som skapats före september 2021 innebär det:

  • Logginmatning fungerar endast för resurser i AMPLS. Inmatning till alla andra resurser nekas (i alla nätverk som delar samma DNS), oavsett prenumeration eller klientorganisation.
  • Frågor har ett mer öppet beteende som gör att frågebegäranden kan nå även resurser som inte finns i AMPLS. Avsikten här var att undvika att bryta kundfrågor till resurser som inte finns i AMPLS och tillåta resurscentrerade frågor att returnera den fullständiga resultatuppsättningen.

Det här beteendet visade sig vara för restriktivt för vissa kunder eftersom det bryter inmatningen till resurser som inte finns i AMPLS. Men det var för tillåtande för andra eftersom det tillåter frågor mot resurser som inte finns i AMPLS.

Från och med september 2021 har privata länkar nya obligatoriska AMPLS-inställningar som uttryckligen anger hur de ska påverka nätverkstrafiken. När du skapar en ny AMPLS-resurs måste du nu välja de åtkomstlägen som du vill använda för inmatning och frågor separat:

  • Läget Endast privat: Tillåter endast trafik till Private Link-resurser.
  • Öppet läge: Använder Private Link för att kommunicera med resurser i AMPLS, men tillåter även trafik att fortsätta till andra resurser. Mer information finns i Kontrollera hur privata länkar gäller för dina nätverk.

Även om Log Analytics-frågebegäranden påverkas av AMPLS-åtkomstlägesinställningen använder Log Analytics-inmatningsbegäranden resursspecifika slutpunkter och styrs inte av AMPLS-åtkomstläget. För att säkerställa att Log Analytics-inmatningsbegäranden inte kan komma åt arbetsytor från AMPLS ställer du in nätverksbrandväggen för att blockera trafik till offentliga slutpunkter, oavsett AMPLS-åtkomstlägen.

Kommentar

Om du har konfigurerat Log Analytics med Private Link genom att först ange reglerna för nätverkssäkerhetsgruppen så att utgående trafik tillåts av ServiceTag:AzureMonitorskickar de anslutna virtuella datorerna loggarna via en offentlig slutpunkt. Om du senare ändrar reglerna för att neka utgående trafik med ServiceTag:AzureMonitorfortsätter de anslutna virtuella datorerna att skicka loggar tills du startar om de virtuella datorerna eller klipper ut sessionerna. Starta om de anslutna virtuella datorerna för att se till att den önskade konfigurationen börjar gälla omedelbart.

Nästa steg