設定私人存取

在本指導方針中，您將了解如何停用 Azure 受控 Grafana 工作區的公用存取，並設定私人端點。 在 Azure 受控 Grafana 中設定私人端點，可將流入流量限制到特定網路，進而提高安全性。

必要條件

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
• 標準層中的現有 Azure 受控 Grafana 執行個體。 若您還沒有執行個體，請加以建立。

停用工作區的公用存取

建立 Azure Grafana 工作區時，預設會啟用公用存取。 停用公用存取可防止所有流量存取資源，除非您透過私人端點。

注意

啟用私人存取時，無法再使用釘選至 Grafana 功能來釘選圖表，因為 Azure 入口網站無法存取私人 IP 位址上的 Azure 受控 Grafana 工作區。

入口網站

1. 在 Azure 入口網站中導覽至您的 Azure 受控 Grafana 工作區。

2. 在左側功能表的 [設定] 下，選取 [網路]。

3. 在 [公用存取] 下選取 [已停用]，以停用 Azure 受控 Grafana 工作區的公用存取，並只允許透過私人端點存取。 如果您已經停用公用存取，卻想啟用 Azure 受控 Grafana 工作區的公用存取，則可選取 [已啟用]。

4. 選取 [儲存]。

   

Azure CLI

在 CLI 中，執行 az grafana update 命令，並將預留位置 <grafana-workspace> 和 <resource-group> 取代為您自己的資訊：

az grafana update --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled

建立私人端點

停用公用存取之後，請使用 Azure Private Link 設定私人端點。 私人端點允許從虛擬網路使用私人 IP 位址來存取 Azure 受控 Grafana 工作區。

入口網站

1. 在 [網路] 中，選取 [私人存取] 索引標籤，然後選取 [新增]，以開始設定新的私人端點。

   

2. 在 [基本] 索引標籤中填寫下列資訊：

   參數	描述	範例
   訂用帳戶	選取 Azure 訂用帳戶。 您的私人端點必須與虛擬網路位於相同的訂用帳戶中。 您稍後會在本操作指南中選取虛擬網路。	MyAzureSubscription
   資源群組	選取資源群組或建立新的資源群組。	MyResourceGroup
   名稱	輸入 Azure 受控 Grafana 工作區的新私人端點名稱。	MyPrivateEndpoint
   網路介面名稱	此欄位會自動完成。 選擇性地編輯網路介面的名稱。	MyPrivateEndpoint-nic
   區域	選取區域。 您的私人端點必須與虛擬網路位於相同的區域中。	(US) 美國中西部

   

3. 選取 [下一步：資源 >]。 Private Link 提供一些選項，可為不同類型的 Azure 資源建立私人端點。 目前的 Azure 受控 Grafana 工作區會自動填入 [資源] 欄位。

   1. 資源類型 Microsoft.Dashboard/grafana 和目標子資源 grafana 意味著在為 Azure 受控 Grafana 工作區建立端點。

   2. 工作區的名稱列在 [資源] 底下。

      

4. 選取 [下一步: 虛擬網路 >]。

   1. 選取要部署私人端點的現有 [虛擬網路]。 如果您沒有虛擬網路，請建立虛擬網路。

   2. 從清單中選取 [子網路]。

   3. 預設會停用私人端點的網路原則。 選擇性地選取 [編輯]，以新增網路安全性群組或路由表原則。 這項變更會影響與所選子網路相關聯的所有私人端點。

   4. 在 [私人 IP 組態] 之下，選取用以動態配置 IP 位址的選項。 如需詳細資訊，請參閱私人 IP 位址。

   5. 您可以選擇性地選取或建立 [應用程式安全性群組]。 應用程式安全性群組可讓您將虛擬機器分組，並根據這些群組定義網路安全性原則。

      

5. 選取 [下一步：DNS >] 以設定 DNS 記錄。 如果您不想變更預設設定，可往前移至下一個索引標籤。

   1. 針對 [與私人 DNS 區域整合]，選取 [是] 可將您的私人端點與私人 DNS 區域整合。 您也可以使用自己的 DNS 伺服器，或利用虛擬機器上的主機檔案來建立 DNS 記錄。

   2. 系統會預先選取私人 DNS 區域的訂用帳戶和資源群組。 您可以選擇性加以變更。

   若要深入了解 DNS 設定，請移至 Azure 虛擬網路中資源的名稱解析，以及私人端點的 DNS 設定。 Azure 受控 Grafana 的 Azure 私人端點私人 DNS 區域值會列在 Azure 服務 DNS 區域中。

   

6. 選取 [下一步：標籤 >] 並選擇性地建立標籤。 籤標籤為成對的名稱和數值，可讓您透過將相同標籤套用至多個資源與資源群組，進而分類資源並檢視合併的帳單。

7. 選取 [下一步：檢閱 + 建立 >]，以檢閱 Azure 受控 Grafana 工作區、私人端點、虛擬網路和 DNS 的相關資訊。 您也可以選取 [下載範本以進行自動化]，以便稍後重複使用此表單的 JSON 資料。

8. 選取 建立。

部署完成後，您會收到已建立端點的通知。 如果已自動核准，您可以開始私下存取工作區。 否則，必須等候核准。

Azure CLI

1. 若要設定私人端點，您需要虛擬網路。 如果還沒有虛擬網路，請使用 az network vnet create 加以建立。 將預留位置文字 <vnet>、<resource-group>、<subnet> 和 <vnet-location> 取代為新虛擬網路的名稱、資源群組、名稱和 vnet 位置。

   az network vnet create --name <vnet> --resource-group <resource-group> --subnet-name <subnet> --location <vnet-location>
   

   預留位置	描述:	範例
   <vnet>	輸入新虛擬網路的名稱。 虛擬網路可讓 Azure 資源彼此以及與網際網路進行私密通訊。	MyVNet
   <resource-group>	輸入虛擬網路的現有資源群組名稱。	MyResourceGroup
   <subnet>	輸入新子網路的名稱。 子網路是網路內的網路。 這是指派私人 IP 位址的位置。	MySubnet
   <vnet-location>	輸入 Azure 區域。 您的虛擬網路必須與私人端點位於相同的區域中。	centralus

2. 執行 az grafana show 命令，以擷取您要為其設定私人存取的 Azure 受控 Grafana 工作區的屬性。 將預留位置 <grafana-workspace> 取代為您的工作區名稱。

   az grafana show --name <grafana-workspace>
   

   此命令會產生輸出，其中包含 Azure 受控 Grafana 工作區的相關資訊。 記下 id 值。 例如：/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana。

3. 執行 az network private-endpoint create 命令，為您的 Azure 受控 Grafana 工作區建立私人端點。 以您自己的資訊，取代預留位置文字 <resource-group>、<private-endpoint>、<vnet>、<private-connection-resource-id>、<connection-name> 和 <location>。

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint> --vnet-name <vnet> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id grafana
   

   預留位置	描述:	範例
   <resource-group>	輸入私人端點的現有資源群組名稱。	MyResourceGroup
   <private-endpoint>	輸入新的私人端點名稱。	MyPrivateEndpoint
   <vnet>	輸入現有 VNet 的名稱。	Myvnet
   <private-connection-resource-id>	輸入您的 Azure 受控 Grafana 工作區的私人連線資源識別碼。 這是您在上一個步驟的輸出中儲存的識別碼。	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana
   <connection-name>	輸入連線名稱。	MyConnection
   <location>	輸入 Azure 區域。 您的私人端點必須與虛擬網路位於相同的區域中。	centralus

管理私人連結連線

入口網站

移至 Azure 受控 Grafana 工作區的 [網路] >[私人存取]，以存取連結至工作區的私人端點。

1. 檢查私人連結連線的連線狀態。 當您建立私人端點時，必須核准連線。 如果您要建立私人端點的資源位於您的目錄中，而且您有足夠的權限，就會自動核准連線要求。 否則，您必須等待該資源的擁有者核准您的連線要求。 如需連線核准模型的詳細資訊，請前往管理 Azure 私人端點。

2. 若要手動核准、拒絕或移除連線，請選取您要編輯的端點旁的核取方塊，並從頂端功能表中選取動作項目。

3. 選取私人端點的名稱以開啟私人端點資源，並存取更多資訊或編輯私人端點。

   

Azure CLI

檢閱私人端點連線詳細資料

執行 az network private-endpoint-connection list 命令，以檢閱連結至 Azure 受控 Grafana 工作區的所有私人端點連線，並檢查其連線狀態。 將預留位置 <resource-group> 和 <grafana-workspace> 取代為資源群組和 Azure 受控 Grafana 工作區的名稱。

az network private-endpoint-connection list --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

或者，若要取得特定私人端點的詳細資料，請使用 az network private-endpoint-connection show 命令。 將預留位置文字 <resource-group> 和 <grafana-workspace> 取代為資源群組的名稱和 Azure 受控 Grafana 工作區的名稱。

az network private-endpoint-connection show --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

取得連線核准

當您建立私人端點時，必須核准連線。 如果您要建立私人端點的資源位於您的目錄中，而且您有足夠的權限，就會自動核准連線要求。 否則，您必須等待該資源的擁有者核准您的連線要求。

若要核准私人端點連線，請使用 az network private-endpoint-connection approve 命令。 將預留位置文字 <resource-group>、<private-endpoint> 和 <grafana-workspace> 取代為資源群組的名稱、私人端點的名稱和 Azure 受控 Grafana 資源的名稱。

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.Dashboard/grafana --resource-name <grafana-workspace>

如需連線核准模型的詳細資訊，請前往管理 Azure 私人端點。

刪除私人端點連線

若要刪除私人端點連線，請使用 az network private-endpoint-connection delete 命令。 以資源群組的名稱和私人端點的名稱，取代預留位置文字 <resource-group> 和 <private-endpoint>。

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

如需更多 CLI 命令，請移至 az network private-endpoint-connection

如果您有私人端點的問題，請查看下列指南：針對 Azure 私人端點連線問題進行疑難排解。

下一步

在本操作指南中，您已了解如何設定使用者對 Azure 受控 Grafana 工作區的私人存取。 若要了解如何設定受控 Grafana 工作區與資料來源之間的私人存取，請參閱私下連線到資料來源 (部份機器翻譯)。