使用 Private Link 來啟用 Azure 監視器代理程式的網路隔離
根據預設,Azure 監視器代理程式會連線到公用端點,以連線到您的 Azure 監視器環境。 本文說明如何使用 Azure Private Link 為您的代理程式啟用網路隔離。
必要條件
- 資料收集規則,定義 Azure 監視器代理程式收集的資料,以及代理程式傳送資料的目的地。
將資料收集端點連結至 Azure 監視器 Private Link 範圍
為每個區域建立一個資料收集端點以供代理程式連線,而不是使用公用端點。 代理程式只能連線到相同區域中的資料收集端點。 若您在多個區域中都有代理程式,則必須在每個區域中建立一個資料收集端點。
設定您的私人連結。 您將使用私人連結,將資料收集端點連線到一組 Azure 監視器資源,以定義監視網路的界限。 這組被稱為 Azure 監視器私人連結範圍。
將資料收集端點新增至您的 Azure 監視器私人連結範圍資源。 此流程會將資料收集端點新增至您的私人 DNS 區域 (請參閱如何驗證) 並允許透過私人連結進行通訊。 您可以從 AMPLS 資源或在現有資料收集端點資源上的 [網路隔離] 索引標籤執行此工作。
重要
其他 Azure 監視器資源 (例如您想要傳送資料的資料收集規則中所設定的 Log Analytics 工作區) 必須屬於這個相同的 AMPLS 資源。
針對資料收集端點,請在 Azure 入口網站端點資源的 [網路隔離] 索引標籤上,確定 [接受未透過私人連結範圍連線的公用網路存取] 選項設為 [否]。 此設定可確保已停用公用網際網路存取,而且只會透過私人連結進行網路通訊。
藉由編輯 Azure 入口網站中的資料收集規則,將資料收集端點與目標資源產生關聯。 在 [資源] 索引標籤上,選取 [啟用資料收集端點]。 為每個虛擬機器選取資料收集端點。 請參閱設定 Azure 監視器代理程式的資料收集。
