使用 Azure Private Link 將網路連線到 Azure 監視器
透過 Azure Private Link,您即可使用私人端點,安全地將 Azure 平台即服務 (PaaS) 資源連結至虛擬網路。 Azure 監視器是一組相互連線的個別服務,能夠共同監視您的工作負載。 Azure 監視器 Private Link 會將私人端點連線至一組 Azure 監視器資源,以定義監視網路的界限。 該集合稱為 Azure 監視器私人連結範圍 (AMPLS)。
注意
Azure 監視器私人連結的結構與您可能使用的其他服務的私人連結不同。 Azure 監視器會使用從虛擬網路至 AMPLS 的單一私人連結連線,而不是建立多個私人連結,每個虛擬網路連線的資源一個私人連結。 AMPLS 是虛擬網路透過私人連結連線到的所有 Azure 監視器資源集。
優點
有了私人連結,您可以:
- 私下連線到 Azure 監視器,而不需要開啟任何公用網路存取。
- 確保您的監視資料只能透過授權的私人網路存取。
- 藉由定義透過私人端點連線的特定 Azure 監視器資源,防止資料從您的私人網路外洩。
- 使用 Azure ExpressRoute 和 Private Link,將您的私人內部部署網路安全地連線至 Azure 監視器。
- 讓所有的流量都在 Azure 骨幹網路內。
如需詳細資訊,請參閱私人連結的主要優點。
運作方式:主要原則
Azure 監視器私人連結會將私人端點連線到一組由 Log Analytics 工作區與 Application Insights 資源組成的 Azure 監視器資源。 該集合稱為 Azure 監視器私人連結範圍。
一個 AMPLS:
- 使用私人 IP:虛擬網路上的私人端點可讓其透過您網路集區的私人 IP,而不是使用這些端點的公用 IP 來連線到 Azure 監視器端點。 基於這個原因,您可以繼續使用 Azure 監視器資源,而無須向不必要的輸出流量開啟虛擬網路。
- 在 Azure 骨幹上執行:從私人端點到 Azure 監視器資源的流量將會通過 Azure 骨幹,且不會路由至公用網路。
- 控制可以連線哪些 Azure 監視器資源:將您的 AMPLS 設定為您偏好的存取模式。 您可以只允許 Private Link 資源的流量,也可以允許 Private Link 和非 Private Link 資源 (來自 AMPLS 的資源) 的流量。
- 控制對您 Azure 監視器資源的網路存取:設定每個工作區或元件,以接受或封鎖來自公用網路的流量。 您可以針對擷取和查詢要求套用不同的設定。
Azure 監視器私人連結會依賴您的 DNS
當您設定私人連結連線時,您的 DNS 區域會將 Azure 監視器端點對應至私人 IP,以透過私人連結來傳送流量。 Azure 監視器會使用資源特定的端點和共用的全域/區域端點來連線到 AMPLS 中的工作區和元件。
警告
由於 Azure 監視器會使用某些共用端點 (表示不是資源特定的端點),因此即使針對單一資源設定私人連結,也會變更影響所有資源流量的 DNS 設定。 換句話說,所有工作區或元件的流量都會受到單一私人連結設定的影響。
使用共用端點也表示您應該針對共用相同 DNS 的所有網路使用單一 AMPLS。 建立多個 AMPLS 資源會導致 Azure 監視器 DNS 區域互相覆寫,並中斷現有的環境。 若要深入了解,請參閱依網路拓撲規劃。
共用的全域和區域端點
當您即使是針對單一資源設定私人連結時,也會透過配置的私人 IP 來傳送下列端點的流量:
- 所有 Application Insights 端點:為 Application Insights 端點處理其擷取、即時計量、分析工具和偵錯工具的端點皆為全域端點。
- 查詢端點:為 Application Insights 和 Log Analytics 資源處理其查詢的端點皆為全域端點。
重要
建立私人連結會影響所有監視資源而不只是您 AMPLS 中資源的流量。 實際上,其會導致所有對 Application Insights 元件的查詢要求和擷取透過私人 IP 進行。 這並不表示私人連結驗證適用於所有這些要求。
只有在 AMPLS 存取模式為「開放」,且目標資源接受來自公用網路的流量時,才能連線到未新增至 AMPLS 的資源。 當您使用私人 IP 時,私人連結驗證不適用於不在 AMPLS 中的資源。 若要深入了解,請參閱 Private Link 存取模式。
針對受控 Prometheus 並將資料擷取至您 Azure 監視器工作區的 Private Link 設定,其是在資料收集端點上針對所參考資源設定的。 透過 Private Link 查詢您 Azure 監視器工作區的設定會直接在 Azure 監視器工作區上進行,而不會透過 AMPLS 處理。
資源特定端點
Log Analytics 端點是工作區特定的,但稍早討論的查詢端點除外。 因此,將特定的 Log Analytics 工作區新增至 AMPLS,將會透過私人連結將擷取要求傳送至這個工作區。 對其他工作區的擷取將會繼續使用公用端點。
資料收集端點也是資源特定的。 您可以使用這些端點來獨特地設定擷取設定,以在您使用 Azure 監視器代理程式和資料收集規則時,從您的電腦 (或一組電腦) 收集客體作業系統遙測資料。 設定一組電腦的資料收集端點不會影響從使用新代理程式的其他電腦擷取客體遙測資料。
重要
從 2021 年 12 月 1 日開始,私人端點 DNS 設定會使用端點壓縮機制,以便為相同區域中的所有工作區配置單一私人 IP 位址。 其可改善支援的規模 (每個 AMPLS 最多 300 個工作區和 1000 個元件),並減少從網路 IP 集區取得的 IP 總數。
Private Link 存取模式:僅限私人與開啟
如 Azure 監視器私人連結依賴您的 DNS 中所討論,只能針對共用相同 DNS 的所有網路建立單一 AMPLS 資源。 因此,使用單一全域或區域 DNS 的組織會有單一私人連結,可跨所有全域或區域網路管理所有 Azure 監視器資源的流量。
針對在 2021 年 9 月之前建立的私人連結,這表示:
- 記錄擷取僅適用於 AMPLS 中的資源。 不論訂用帳戶或租用戶為何,對所有其他資源的擷取都會遭拒絕 (共用相同 DNS 的所有網路)。
- 查詢具有更開放的行為,可讓查詢要求甚至連線到不在 AMPLS 中的資源。 這裡的意圖是要避免中斷對不在 AMPLS 中資源的客戶查詢,並允許以資源為中心的查詢傳回完整的結果集。
此行為已證明對某些客戶來說太嚴格,因為其會中斷對不在 AMPLS 中資源的擷取。 但其對其他客戶來說太寬鬆,因為其允許查詢不在 AMPLS 中的資源。
從 2021 年 9 月開始,私人連結會有新的強制 AMPLS 設定,明確設定其應該如何影響網路流量。 建立新的 AMPLS 資源時,您現在必須針對擷取和查詢分別選取所需的存取模式:
- 僅限私人模式:只允許 Private Link 資源的流量。
- 開放模式:使用 Private Link 與 AMPLS 中的資源通訊,但也允許流量繼續前往其他資源。 若要深入了解,請參閱控制私人連結套用至您網路的方式。
雖然 Log Analytics 查詢要求會受到 AMPLS 存取模式設定的影響,但是 Log Analytics 擷取要求會使用資源特定的端點,而不會受到 AMPLS 存取模式控制。 為了確保 Log Analytics 擷取要求無法從 AMPLS 以外存取工作區,請將網路防火牆設定為不論 AMPLS 存取模式為何,皆封鎖公用端點的流量。
注意
如果您一開始將網路安全性群組規則設定為允許 ServiceTag:AzureMonitor
的輸出流量,以使用 Private Link 來設定 Log Analytics,則連線的 VM 會透過公用端點傳送記錄。 稍後,如果您變更規則以拒絕 ServiceTag:AzureMonitor
的輸出流量,連線的 VM 仍會持續傳送記錄,直到您重新開機 VM 或剪下工作階段為止。 為了確保所需的設定立即生效,請將連線的 VM 重新開機。
下一步
- 設計您的 Azure Private Link 設定。
- 了解如何設定您的私人連結。
- 了解自訂記錄和客戶自控金鑰的私人儲存體。