Ağları Azure İzleyici'ye bağlamak için Azure Özel Bağlantı'yı kullanma

  • Makale

Azure Özel Bağlantı ile özel uç noktaları kullanarak Azure hizmet olarak platform (PaaS) kaynaklarını sanal ağınıza güvenli bir şekilde bağlayabilirsiniz. Azure İzleyici, iş yüklerinizi izlemek için birlikte çalışan farklı birbirine bağlı hizmetlerin bir bağlantı kümesidir. Azure İzleyici özel bağlantısı, izleme ağınızın sınırlarını tanımlamak için özel uç noktayı bir dizi Azure İzleyici kaynağına bağlar. Bu küme, Azure İzleyici Özel Bağlantı Kapsamı (AMPLS) olarak adlandırılır.

Dekont

Azure İzleyici özel bağlantıları, kullanabileceğiniz diğer hizmetlere yönelik özel bağlantılardan farklı yapılandırılır. Azure İzleyici, sanal ağın bağlan olduğu her kaynak için bir tane olmak üzere birden çok özel bağlantı oluşturmak yerine, sanal ağdan AMPLS'ye tek bir özel bağlantı kullanır. AMPLS, sanal ağın özel bağlantı üzerinden bağlandığı tüm Azure İzleyici kaynakları kümesidir.

Avantajlar

Özel Bağlantı ile:

  • Herhangi bir genel ağ erişimi açmadan Azure İzleyici'ye özel olarak Bağlan.
  • İzleme verilerinize yalnızca yetkili özel ağlar üzerinden erişildiğinden emin olun.
  • Özel uç noktanız üzerinden bağlanan belirli Azure İzleyici kaynaklarını tanımlayarak özel ağlarınızdan veri sızdırmayı önleyin.
  • Azure ExpressRoute ve Özel Bağlantı kullanarak özel şirket içi ağınızı Azure İzleyici'ye güvenli bir şekilde bağlayın.
  • Tüm trafiği Azure omurga ağı içinde tutun.

Daha fazla bilgi için bkz. Özel Bağlantı temel avantajları.

Nasıl çalışır: Ana ilkeler

Azure İzleyici özel bağlantısı, özel uç noktayı Log Analytics çalışma alanlarından ve Uygulama Analizler kaynaklarından oluşan bir Azure İzleyici kaynakları kümesine bağlar. Bu küme, Azure İzleyici Özel Bağlantı Kapsamı olarak adlandırılır.

Diagram that shows basic resource topology.

An AMPLS:

  • Özel IP'leri kullanır: Sanal ağınızdaki özel uç nokta, bu uç noktaların genel IP'lerini kullanmak yerine ağınızın havuzundan özel IP'ler aracılığıyla Azure İzleyici uç noktalarına ulaşmasını sağlar. Bu nedenle, sanal ağınızı sorgulanmayan giden trafiğe açmadan Azure İzleyici kaynaklarınızı kullanmaya devam edebilirsiniz.
  • Azure omurgası üzerinde çalışır: Özel uç noktadan Azure İzleyici kaynaklarınıza giden trafik Azure omurgasını aşacak ve genel ağlara yönlendirilmeyecektir.
  • Hangi Azure İzleyici kaynaklarına ulaşabileceğinizi denetler: AMPLS'nizi tercih ettiğiniz erişim moduyla yapılandırın. Trafiğe yalnızca Özel Bağlantı kaynaklara veya hem Özel Bağlantı hem de Özel Bağlantı olmayan kaynaklara (AMPLS dışındaki kaynaklar) izin vekleyebilirsiniz.
  • Azure İzleyici kaynaklarınıza ağ erişimini denetler: Çalışma alanlarınızın veya bileşenlerinizin her birini genel ağlardan gelen trafiği kabul etmek veya engellemek için yapılandırın. Alma ve sorgu istekleri için farklı ayarlar uygulayabilirsiniz.

Özel bağlantı bağlantısı ayarladığınızda, DNS bölgeleriniz özel bağlantı üzerinden trafik göndermek için Azure İzleyici uç noktalarını özel IP'lerle eşler. Azure İzleyici, AMPLS'nizdeki çalışma alanlarına ve bileşenlere ulaşmak için hem kaynağa özgü uç noktaları hem de paylaşılan genel/bölgesel uç noktaları kullanır.

Uyarı

Azure İzleyici bazı paylaşılan uç noktaları (kaynağa özgü olmayan uç noktalar anlamına gelir) kullandığından, tek bir kaynak için bile özel bağlantı ayarlamak, trafiği tüm kaynaklara etkileyen DNS yapılandırmasını değiştirir. Başka bir deyişle, tüm çalışma alanlarına veya bileşenlere yönelik trafik tek bir özel bağlantı kurulumundan etkilenir.

Paylaşılan uç noktaların kullanılması, aynı DNS'yi paylaşan tüm ağlar için tek bir AMPLS kullanmanız gerektiği anlamına da gelir. Birden çok AMPLS kaynağı oluşturmak, Azure İzleyici DNS bölgelerinin birbirini geçersiz kılıp mevcut ortamları bozmasına neden olur. Daha fazla bilgi edinmek için bkz . Ağ topolojisine göre planlama.

Paylaşılan genel ve bölgesel uç noktalar

Özel Bağlantı tek bir kaynak için bile yapılandırdığınızda, aşağıdaki uç noktalara giden trafik ayrılan özel IP'ler aracılığıyla gönderilir:

  • Tüm Uygulama Analizler uç noktaları: Alımı işleyen uç noktalar, canlı ölçümler, Profil Oluşturucu ve Uygulama Analizler uç noktalarına hata ayıklayıcı geneldir.
  • Sorgu uç noktası: Hem Uygulama Analizler hem de Log Analytics kaynaklarına yönelik sorguları işleyen uç nokta geneldir.

Önemli

Özel bağlantı oluşturmak yalnızca AMPLS'nizdeki kaynakları değil, tüm izleme kaynaklarına yönelik trafiği etkiler. Etkili bir şekilde, tüm sorgu isteklerinin ve Application Analizler bileşenlerinin özel IP'lerden geçmesine neden olur. Bu, özel bağlantı doğrulamasının tüm bu istekler için geçerli olduğu anlamına gelmez.

AMPLS'ye eklenmeyen kaynaklara yalnızca AMPLS erişim modu Açık olduğunda ve hedef kaynak genel ağlardan gelen trafiği kabul ederse erişilebilir. Özel IP'yi kullandığınızda, özel bağlantı doğrulamaları AMPLS'de bulunmayan kaynaklar için geçerli değildir. Daha fazla bilgi edinmek için bkz. Özel Bağlantı erişim modları.

Yönetilen Prometheus ve Azure İzleyici çalışma alanınıza veri alma için Özel Bağlantı ayarları, başvuruda bulunan kaynağın Veri Toplama Uç Noktaları'nda yapılandırılır. Özel Bağlantı üzerinden Azure İzleyici çalışma alanınızı sorgulamak için Ayarlar doğrudan Azure İzleyici çalışma alanında yapılır ve AMPLS aracılığıyla işlenmez.

Kaynağa özgü uç noktalar

Log Analytics uç noktaları, daha önce ele alınan sorgu uç noktası dışında çalışma alanına özeldir. Sonuç olarak, AMPLS'ye belirli bir Log Analytics çalışma alanı eklendiğinde özel bağlantı üzerinden bu çalışma alanına alım istekleri gönderilir. Diğer çalışma alanlarına alma işlemi genel uç noktaları kullanmaya devam edecektir.

Veri toplama uç noktaları da kaynağa özeldir. Bunları, yeni Azure İzleyici Aracısı ve veri toplama kurallarını kullandığınızda makinelerinizden (veya makine kümelerinden) konuk işletim sistemi telemetri verilerini toplamak için alım ayarlarını benzersiz olarak yapılandırmak için kullanabilirsiniz. Bir makine kümesi için veri toplama uç noktasının yapılandırılması, yeni aracıyı kullanan diğer makinelerden konuk telemetri verilerinin alımını etkilemez.

Önemli

1 Aralık 2021'den itibaren, özel uç noktalar DNS yapılandırması aynı bölgedeki tüm çalışma alanları için tek bir özel IP adresi ayıran Uç Nokta Sıkıştırma mekanizmasını kullanacaktır. Desteklenen ölçeği (AMPLS başına 300 çalışma alanına ve 1.000 bileşene kadar) geliştirir ve ağın IP havuzundan alınan toplam IP sayısını azaltır.

Azure İzleyici özel bağlantılarında açıklandığı gibi DNS'nize dayanır, aynı DNS'yi paylaşan tüm ağlar için yalnızca tek bir AMPLS kaynağı oluşturulmalıdır. Sonuç olarak, tek bir genel veya bölgesel DNS kullanan kuruluşların, tüm küresel veya bölgesel ağlarda tüm Azure İzleyici kaynaklarına gelen trafiği yönetmek için tek bir özel bağlantısı vardır.

Eylül 2021'de oluşturulan özel bağlantılar için şu anlama gelir:

  • Günlük alımı yalnızca AMPLS'deki kaynaklar için çalışır. Abonelik veya kiracıdan bağımsız olarak diğer tüm kaynaklara (aynı DNS'yi paylaşan tüm ağlarda) veri alımı reddedilir.
  • Sorgular, sorgu isteklerinin AMPLS'de olmayan kaynaklara bile ulaşmasını sağlayan daha açık bir davranışa sahiptir. Buradaki amaç, AMPLS'de olmayan kaynaklarda müşteri sorgularının kesilmesini önlemek ve kaynak odaklı sorguların sonuç kümesinin tamamını döndürmesine izin vermekti.

AmpLS'de olmayan kaynakların alımını kırdığı için bu davranışın bazı müşteriler için çok kısıtlayıcı olduğu kanıtlandı. Ancak, AMPLS'de olmayan kaynakların sorgulanmasına izin verdiğinden başkaları için çok izinli oldu.

Eylül 2021'den itibaren, özel bağlantıların ağ trafiğini nasıl etkilemesi gerektiğini açıkça ayarlayan yeni zorunlu AMPLS ayarları vardır. Yeni bir AMPLS kaynağı oluşturduğunuzda, artık alım ve sorgular için istediğiniz erişim modlarını ayrı ayrı seçmeniz gerekir:

Log Analytics sorgu istekleri AMPLS erişim modu ayarından etkilense de, Log Analytics alma istekleri kaynağa özgü uç noktaları kullanır ve AMPLS erişim modu tarafından denetlenemez. Log Analytics alım isteklerinin AMPLS dışında çalışma alanlarına erişemediğinden emin olmak için, AMPLS erişim modlarından bağımsız olarak ağ güvenlik duvarını genel uç noktalara giden trafiği engelleyecek şekilde ayarlayın.

Dekont

Log Analytics'i Özel Bağlantı ile yapılandırdıysanız, ağ güvenlik grubu kurallarını ile giden trafiğe ServiceTag:AzureMonitorizin verecek şekilde ayarladıysanız, bağlı VM'ler günlükleri genel uç nokta üzerinden gönderir. Daha sonra, giden trafiği ServiceTag:AzureMonitortarafından reddedecek şekilde kuralları değiştirirseniz, bağlı VM'ler siz VM'leri yeniden başlatana veya oturumları kesene kadar günlükleri göndermeye devam eder. İstenen yapılandırmanın hemen etkili olduğundan emin olmak için bağlı VM'leri yeniden başlatın.

Sonraki adımlar