Aracılığıyla paylaş

Azure İzleyici için özel bağlantıyı yapılandırma

  • Makale

Bu makalede, Azure portalını kullanarak Azure İzleyici Özel Bağlantı Kapsamı (AMPLS) oluşturma ve yapılandırmaya yönelik adım adım ayrıntılar sağlanır. Makalede ayrıca CLI, PowerShell ve ARM şablonları kullanarak AMPLS ile çalışmaya yönelik alternatif yöntemler de yer almaktadır.

Azure Özel Bağlantı örneğinin yapılandırılması için aşağıdaki adımlar gerekir. Bu adımların her biri aşağıdaki bölümlerde ayrıntılı olarak yer almaktadır.

  • Azure İzleyici Özel Bağlantı Kapsamı (AMPLS) oluşturun.
  • Kaynakları AMPLS'ye bağlayın.
  • AMPLS'yi özel bir uç noktaya bağlayın.
  • AMPLS kaynaklarına erişimi yapılandırın.

Bu makalede Azure portalı aracılığıyla yapılandırmanın nasıl yapıldığı inceleniyor. İşlemi otomatikleştirmek için örnek bir Azure Resource Manager şablonu (ARM şablonu) sağlar.

  1. Azure portalındaki İzleyici menüsünden Özel Bağlantı Kapsamlar'ı ve ardından Oluştur'u seçin.

    Oluşturma seçeneğini ve Azure İzleyici Özel Bağlantı Kapsamını gösteren ekran görüntüsü.

  2. Bir abonelik ve kaynak grubu seçin ve AMPLS'ye AppServerProdTelem gibi anlamlı bir ad verin.

  3. Gözden geçir ve oluştur’u seçin.

    Azure İzleyici Özel Bağlantı Kapsamı oluşturmayı gösteren ekran görüntüsü.

  4. Doğrulamanın geçmesine izin verin ve Oluştur'u seçin.

Kaynakları AMPLS'ye bağlama

  1. AMPLS'nizin menüsünden Azure İzleyici Kaynakları'nı ve ardından Ekle'yi seçin.

  2. Bileşeni seçin ve kapsamınıza eklemek için Uygula'yı seçin. Yalnızca Log Analytics çalışma alanları, Application Insights bileşenleri ve veri toplama uç noktaları (DCEs) gibi Azure İzleyici kaynakları kullanılabilir.

    Kapsam seçmeyi gösteren ekran görüntüsü.

Not

Azure İzleyici kaynaklarını silmek için önce bağlı oldukları AMPLS nesneleriyle bağlantınızı kesmeniz gerekir. AMPLS'ye bağlı kaynakları silmek mümkün değildir.

AMPLS'yi özel uç noktaya bağlama

Kaynaklar AMPLS'nize bağlandıktan sonra ağınıza bağlanmak için özel bir uç nokta oluşturabilirsiniz.

  1. AMPLS'nizin menüsünden Özel Uç Nokta bağlantıları'nı ve ardından Özel Uç Nokta'yı seçin. Ayrıca buradaki Özel Bağlantı Merkezi'nde başlatılan bağlantıları seçip Onayla'yı seçerek de onaylayabilirsiniz.

    Özel Uç Nokta bağlantılarını gösteren ekran görüntüsü.

  2. Temel Bilgiler sekmesi

    1. Abonelik ve Kaynak grubunu seçin ve ardından uç nokta için bir Ad ve bir Ağ Arabirimi Adı girin.
    2. Özel uç noktanın oluşturulacağı Bölgeyi seçin. Bölge, bağlandığınız sanal ağ ile aynı bölge olmalıdır.

    Özel uç nokta oluşturma temel bilgileri sekmesini gösteren ekran görüntüsü.

  3. Kaynak sekmesi

    1. Azure İzleyici Özel Bağlantı Kapsamı kaynağınızı içeren Aboneliği seçin.
    2. Kaynak türü için Microsoft.insights/privateLinkScopes'u seçin.
    3. Kaynak açılan listesinde, oluşturduğunuz Özel Bağlantı Kapsamını seçin.

    Kaynak sekmesinin seçili olduğu Azure portalında Özel uç nokta oluştur sayfasını gösteren ekran görüntüsü.

  4. Sanal Ağ sekmesi

    1. Azure İzleyici kaynaklarınıza bağlamak istediğiniz Sanal ağı ve Alt Ağı seçin.
    2. Özel uç noktaların Ağ ilkesi için, ağ güvenlik gruplarını uygulamak veya tabloları özel uç noktayı içeren alt ağa yönlendirmek istiyorsanız düzenle'yi seçin. Diğer ayrıntılar için bkz . Özel uç noktalar için ağ ilkelerini yönetme.
    3. Özel IP yapılandırması için varsayılan olarak Dinamik olarak IP adresi ayır seçilidir. Statik IP adresi atamak istiyorsanız, Statik OLARAK IP adresi ayır'ı seçin, ardından bir ad ve özel IP girin.
    4. İsteğe bağlı olarak, bir Uygulama güvenlik grubu seçin veya oluşturun. Sanal makineleri gruplandırmak ve bu grupları temel alan ağ güvenlik ilkeleri tanımlamak için uygulama güvenlik gruplarını kullanabilirsiniz.

    Sanal Ağ sekmesinin seçili olduğu Azure portalında Özel uç nokta oluştur sayfasını gösteren ekran görüntüsü.

  5. DNS sekmesi

    1. Otomatik olarak yeni bir özel DNS bölgesi oluşturacak olan Özel DNS bölgesiyle tümleştirme için Evet'i seçin. Gerçek DNS bölgeleri aşağıdaki ekran görüntüsünde gösterilenden farklı olabilir.

    Not

    Hayır'ı seçerseniz ve DNS kayıtlarını el ile yönetmeyi tercih ediyorsanız, önce özel bağlantınızı ayarlamayı tamamlayın. Bu özel uç noktayı ve AMPLS yapılandırmasını ekleyin, ardından DNS'nizi Azure özel uç nokta DNS yapılandırmasındaki yönergelere göre yapılandırın. Özel bağlantı kurulumunuz için hazırlık olarak boş kayıtlar oluşturmamaya dikkat edin. Oluşturduğunuz DNS kayıtları mevcut ayarları geçersiz kılabilir ve Azure İzleyici ile bağlantınızı etkileyebilir.

    İster Evet'i ister Hayır'ı seçin ve kendi özel DNS sunucularınızı kullanıyor olun, Azure özel uç nokta DNS yapılandırmasında bahsedilen Genel DNS bölgesi ileticileri için koşullu ileticiler ayarlamanız gerekir. Koşullu ileticilerin DNS sorgularını Azure DNS'ye iletmesi gerekir.

    DNS sekmesinin seçili olduğu Azure portalında Özel uç nokta oluştur sayfasını gösteren ekran görüntüsü.

  6. Gözden geçirme ve oluşturma sekmesi

    1. Doğrulama geçtikten sonra Oluştur'u seçin.

AMPLS kaynaklarına erişimi yapılandırma

AMPLS'nizin menüsünden Ağ Yalıtımı'nı seçerek özel bir bağlantı üzerinden kaynağa hangi ağların ulaşabileceğini ve diğer ağların ulaşıp ulaşamayacağını denetleyin.

Ağ Yalıtımı'nın gösterildiği ekran görüntüsü.

Bağlı AMPLS

Bu ekran, kaynağın AMPLS bağlantılarını gözden geçirmenize ve yapılandırmanıza olanak tanır. AMPLS'ye bağlanmak, bağlı sanal ağdan gelen trafiğin kaynağa ulaşmasını sağlar. Azure İzleyici kaynaklarını bağlama bölümünde açıklanan kapsamdan bağlamakla aynı etkiye sahiptir.

Yeni bağlantı eklemek için Ekle'yi ve ardından AMPLS'yi seçin. Kaynağınız, AMPLS sınırlarında açıklandığı gibi beş AMPLS nesnesine bağlanabilir.

Sanal ağlar erişim yapılandırması

Bu ayarlar, listelenen kapsamlara bağlı olmayan genel ağlardan erişimi denetler. Buna günlüklere, ölçümlere ve canlı ölçüm akışına erişim dahildir. Ayrıca çalışma kitapları, panolar, sorgu API'sine dayalı istemci deneyimleri ve Azure portalındaki içgörüler gibi bu verilerin üzerinde oluşturulmuş deneyimler de içerir. Azure portalı dışında çalışan ve Log Analytics verilerini sorgulayan deneyimlerin özel bağlantılı sanal ağ içinde de çalışıyor olması gerekir.

  • Özel Bağlantı Kapsamı üzerinden bağlı olmayan genel ağlardan veri alımını kabul et seçeneğini Hayır olarak ayarlarsanız, bağlı kapsamların dışındaki makineler veya SDK'lar gibi istemciler verileri karşıya yükleyemez veya kaynağa günlük gönderemez.
  • Özel Bağlantı Kapsamı üzerinden bağlı olmayan genel ağlardan gelen sorguları kabul et seçeneğini Hayır olarak ayarlarsanız, bağlı kapsamların dışındaki makineler veya SDK'lar gibi istemciler kaynaktaki verileri sorgulayamaz.

CLI kullanarak AMPLS ile çalışma

Açık erişim modlarıyla AMPLS oluşturma

Aşağıdaki CLI komutu, hem sorgu hem de alma erişim modlarının olarak ayarlandığı Openadlı "my-scope"yeni bir AMPLS kaynağı oluşturur.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Kaynak erişim bayraklarını ayarlama

Çalışma alanı veya bileşen erişim bayraklarını yönetmek için, az monitor log-analytics çalışma alanında veya az monitor app-insights bileşeninde ve bayraklarını [--ingestion-access {Disabled, Enabled}] [--query-access {Disabled, Enabled}]kullanın.

PowerShell kullanarak AMPLS ile çalışma

AMPLS oluşturma

Aşağıdaki PowerShell betiği, sorgu erişim modu olarak ancak alma erişim modları olarak ayarlanmış Open PrivateOnlyolarak adlı "my-scope"yeni bir AMPLS kaynağı oluşturur. Bu ayar, yalnızca AMPLS'deki kaynaklara veri alımına izin verileceği anlamına gelir.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

AMPLS erişim modlarını ayarlama

Oluşturulduktan sonra AMPLS'nizde erişim modu bayraklarını ayarlamak için aşağıdaki PowerShell kodunu kullanın.

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

ARM şablonları

AMPLS oluşturma

Aşağıdaki ARM şablonu aşağıdakileri gerçekleştirir:

  • sorgu ve alma erişim modlarının olarak ayarlandığı Openadlı "my-scope"bir AMPLS.
  • adlı "my-workspace"bir Log Analytics çalışma alanı.
  • AMPLS'ye "my-scope" adlı "my-workspace-connection"kapsamlı bir kaynak ekler.
{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

AMPLS yapılandırmasını gözden geçirme ve doğrulama

Özel bağlantı kurulumunuzu gözden geçirmek ve doğrulamak için bu bölümdeki adımları izleyin.

Uç noktanın DNS ayarlarını gözden geçirme

Bu makalede oluşturulan özel uç noktanın yapılandırılmış beş DNS bölgesi olmalıdır:

  • privatelink.monitor.azure.com
  • privatelink.oms.opinsights.azure.com
  • privatelink.ods.opinsights.azure.com
  • privatelink.agentsvc.azure-automation.net
  • privatelink.blob.core.windows.net

Bu bölgelerin her biri, belirli Azure İzleyici uç noktalarını sanal ağın IP havuzundan özel IP'lerle eşler. Aşağıdaki görüntülerde gösterilen IP adresleri yalnızca örnektir. Yapılandırmanız bunun yerine kendi ağınızdaki özel IP'leri göstermelidir.

privatelink-monitor-azure-com

Bu bölge, Azure İzleyici tarafından kullanılan genel uç noktaları kapsar; bu da uç noktaların isteklere kaynağa özgü isteklere değil genel/bölgesel olarak hizmet verdiği anlamına gelir. Bu bölgede aşağıdakiler için eşlenmiş uç noktalar olmalıdır:

  • in.ai: Application Insights alım uç noktası (hem genel hem de bölgesel giriş).
  • api: Application Insights ve Log Analytics API uç noktası.
  • live: Application Insights canlı ölçüm uç noktası.
  • profiler: .NET uç noktası için Application Insights Profil Oluşturucu.
  • anlık görüntü: Application Insights anlık görüntü uç noktası.
  • diagservices-query: .NET ve Snapshot Debugger için Application Insights Profil Oluşturucu (Azure portalında profil oluşturucu/hata ayıklayıcı sonuçlarına erişilirken kullanılır).

Bu bölge, aşağıdaki DCE'ler için kaynağa özgü uç noktaları da kapsar:

  • <unique-dce-identifier>.<regionname>.handler.control: DCE kaynağının parçası olan özel yapılandırma uç noktası.

  • <unique-dce-identifier>.<regionname>.ingest: DCE kaynağının parçası olan özel alma uç noktası.

    Özel DNS bölge monitor-azure-com'un gösterildiği ekran görüntüsü.

Log Analytics uç noktaları

Log Analytics aşağıdaki dört DNS bölgesini kullanır:

  • privatelink-oms-opinsights-azure-com: OMS uç noktalarına çalışma alanına özgü eşlemeyi kapsar. Bu özel uç noktaya bağlı AMPLS'ye bağlı her çalışma alanı için bir giriş görmeniz gerekir.
  • privatelink-ods-opinsights-azure-com: Log Analytics'in alım uç noktaları olan ODS uç noktalarına çalışma alanına özgü eşlemeyi kapsar. Bu özel uç noktaya bağlı AMPLS'ye bağlı her çalışma alanı için bir giriş görmeniz gerekir.
  • privatelink-agentsvc-azure-automation-net*: Aracı hizmeti otomasyon uç noktalarına çalışma alanına özgü eşlemeyi kapsar. Bu özel uç noktaya bağlı AMPLS'ye bağlı her çalışma alanı için bir giriş görmeniz gerekir.
  • privatelink-blob-core-windows-net: Genel aracıların çözüm paketleri depolama hesabına bağlantıyı yapılandırılır. Aracılar bu aracılığıyla yönetim paketleri olarak da bilinen yeni veya güncelleştirilmiş çözüm paketlerini indirebilir. Kaç çalışma alanı kullanılırsa kullansın, tüm Log Analytics aracılarını işlemek için yalnızca bir giriş gereklidir. Bu giriş yalnızca 19 Nisan 2021 veya sonrasında oluşturulan (veya Azure bağımsız bulutlarında Haziran 2021'den itibaren) özel bağlantı kurulumlarına eklenir.

Aşağıdaki ekran görüntüsünde Doğu ABD'de iki çalışma alanı ve Batı Avrupa'da bir çalışma alanı olan bir AMPLS ile eşlenen uç noktalar gösterilmektedir. Doğu ABD çalışma alanlarının IP adreslerini paylaştığına dikkat edin. Batı Avrupa çalışma alanı uç noktası farklı bir IP adresine eşlenir. Blob uç noktası bu görüntüde görünmese de yapılandırılır.

Özel bağlantı sıkıştırılmış uç noktalarını gösteren ekran görüntüsü.

AMPLS üzerinden iletişimi doğrulama

  • İsteklerinizin artık özel uç nokta üzerinden gönderildiğini doğrulamak için, bunları tarayıcınızla veya bir ağ izleme aracıyla gözden geçirin. Örneğin, çalışma alanınızı veya uygulamanızı sorgulamaya çalıştığınızda isteğin API uç noktasına eşlenen özel IP'ye gönderildiğinden emin olun. Bu örnekte 172.17.0.9'dır.

    Not

    Bazı tarayıcılar diğer DNS ayarlarını kullanabilir. Daha fazla bilgi için bkz . Tarayıcı DNS ayarları. DNS ayarlarınızın geçerli olduğundan emin olun.

  • Çalışma alanlarınızın veya bileşenlerinizin ortak ağlardan (AMPLS aracılığıyla bağlı değil) istek almadığından emin olmak için kaynaklarınıza erişimi yapılandırma bölümünde açıklandığı gibi kaynağın genel alımını ve sorgu bayraklarını Hayır olarak ayarlayın.

  • Korumalı ağınızdaki bir istemciden, DNS bölgelerinizde listelenen uç noktalardan herhangi birine kullanın nslookup . Dns sunucunuz tarafından varsayılan olarak kullanılan genel IP'ler yerine eşlenmiş özel IP'lere çözümlenmelidir.

Yerel olarak test etme

Ağınızdaki diğer istemcileri etkilemeden özel bağlantıları yerel olarak test etmek için, özel uç noktanızı oluştururken DNS'nizi güncelleştirmediğinizden emin olun. Bunun yerine makinenizdeki hosts dosyasını düzenleyerek özel bağlantı uç noktalarına istek göndermesini sağlayın:

  • Özel bir bağlantı ayarlayın, ancak özel bir uç noktaya bağlandığınızda DNS ile otomatik olarak tümleştirmemeyi seçin.
  • Makinelerinizin konak dosyalarındaki ilgili uç noktaları yapılandırın.

Ek yapılandırma

Ağ alt ağı boyutu

Desteklenen en küçük IPv4 alt ağı, CIDR alt ağ tanımlarını kullanan /27 alt ağıdır. Azure sanal ağları /29 kadar küçük olsa da, Azure beş IP adresi ayırır. Azure İzleyici özel bağlantı kurulumu, tek bir çalışma alanına bağlanıyor olsanız bile en az 11 IP adresi daha gerektirir. Azure İzleyici özel bağlantı uç noktalarının listesi için uç noktanızın DNS ayarlarını gözden geçirin.

Azure portal

Application Insights, Log Analytics ve DCE'ler için Azure İzleyici portalı deneyimlerini kullanmak için Azure portalı ve Azure İzleyici uzantılarının özel ağlarda erişilebilir olmasını sağlayın. AzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstParty ve AzureFrontdoor.Frontend hizmet etiketlerini ağ güvenlik grubunuza ekleyin.

Program aracılığıyla erişim

Rest API, Azure CLI veya PowerShell'i özel ağlarda Azure İzleyici ile kullanmak için güvenlik duvarınıza AzureActiveDirectory ve AzureResourceManager hizmet etiketlerini ekleyin.

Tarayıcı DNS ayarları

Azure İzleyici kaynaklarınıza özel bir bağlantı üzerinden bağlanıyorsanız, bu kaynaklara giden trafiğin ağınızda yapılandırılan özel uç noktadan geçmesi gerekir. Özel uç noktayı etkinleştirmek için DNS ayarlarınızı Özel uç noktaya bağlanma bölümünde açıklandığı gibi güncelleştirin. Bazı tarayıcılar, ayarladığınız ayarlar yerine kendi DNS ayarlarını kullanır. Tarayıcı, Azure İzleyici genel uç noktalarına bağlanmayı ve özel bağlantıyı tamamen atlamayı dener. Tarayıcı ayarlarınızın eski DNS ayarlarını geçersiz kılmadığını veya önbelleğe almadığını doğrulayın.

Sorgulama sınırlaması: externaldata işleci

  • Dış veri işleci, depolama hesaplarından verileri okuduğundan ancak depolamaya özel olarak erişildiğinden emin olmadığından özel bağlantı üzerinden desteklenmez.
  • Azure Veri Gezgini ara sunucusu (ADX ara sunucusu), günlük sorgularının Azure Veri Gezgini sorgulamasına olanak tanır. Hedeflenen kaynağa özel olarak erişildiğinden emin olmadığından ADX ara sunucusu özel bağlantı üzerinden desteklenmez.

Sonraki adımlar

Özel Bağlantı Kapsamları oluşturmak ve yönetmek için REST API'yi veya Azure CLI'yı kullanın (az monitor private-link-scope).