Sdílet prostřednictvím

Konfigurace privátního propojení pro Azure Monitor

  • Článek

Tento článek obsahuje podrobné podrobnosti o vytvoření a konfiguraci oboru služby Azure Monitor Private Link (AMPLS) pomocí webu Azure Portal. Součástí článku jsou také alternativní metody pro práci se amply pomocí rozhraní příkazového řádku, PowerShellu a šablon ARM.

Konfigurace instance služby Azure Private Link vyžaduje následující kroky. Každý z těchto kroků je podrobně popsaný v následujících částech.

  • Vytvořte obor služby Azure Monitor Private Link (AMPLS).
  • Připojte prostředky k ampls.
  • Připojte ampls k privátnímu koncovému bodu.
  • Nakonfigurujte přístup k prostředkům AMPLS.

Tento článek popisuje, jak se konfigurace provádí prostřednictvím webu Azure Portal. Poskytuje ukázkovou šablonu Azure Resource Manageru (šablonu ARM) pro automatizaci procesu.

  1. V nabídce Monitorování na webu Azure Portal vyberte Obory služby Private Link a pak vytvořte.

    Snímek obrazovky znázorňující možnost vytvoření a rozsahu služby Private Link ve službě Azure Monitor

  2. Vyberte předplatné a skupinu prostředků a zadejte výstižný název, například AppServerProdTelem.

  3. Vyberte Zkontrolovat a vytvořit.

    Snímek obrazovky znázorňující vytvoření oboru služby Private Link ve službě Azure Monitor

  4. Nechte ověření proběhnout a vyberte Vytvořit.

Připojení prostředků k ampls

  1. V nabídce pro ampls vyberte prostředky služby Azure Monitor a pak přidejte.

  2. Vyberte komponentu a výběrem možnosti Použít ji přidejte do svého oboru. K dispozici jsou jenom prostředky Azure Monitoru, včetně pracovních prostorů služby Log Analytics, komponent Application Insights a koncových bodů shromažďování dat (DCE).

    Snímek obrazovky znázorňující výběr oboru

Poznámka:

Odstranění prostředků Služby Azure Monitor vyžaduje, abyste je nejprve odpojili od všech objektů ampls, ke kterým jsou připojené. Prostředky připojené k ampls není možné odstranit.

Připojení ampls k privátnímu koncovému bodu

Jakmile jsou prostředky připojené k vaší službě AMPLS, můžete vytvořit privátní koncový bod pro připojení k síti.

  1. V nabídce pro ampls vyberte připojení privátního koncového bodu a pak privátní koncový bod. Můžete také schválit připojení, která byla spuštěna v Centru služby Private Link, a to tak, že je vyberete a vyberete Schválit.

    Snímek obrazovky znázorňující připojení privátního koncového bodu

  2. Karta Základní informace

    1. vyberte předplatné a skupinu prostředků a zadejte název koncového bodu a název síťového rozhraní.
    2. Vyberte oblast, ve které se má privátní koncový bod vytvořit. Oblast musí být stejná jako virtuální síť, ke které ji připojujete.

    Snímek obrazovky znázorňující kartu Základy vytvoření privátního koncového bodu

  3. Karta Zdroj

    1. Vyberte předplatné, které obsahuje váš prostředek oboru služby Azure Monitor Private Link.
    2. Jako typ prostředku vyberte Microsoft.insights/privateLinkScopes.
    3. V rozevíracím seznamu Prostředek vyberte obor private linku, který jste vytvořili.

    Snímek obrazovky znázorňující stránku Vytvořit privátní koncový bod na webu Azure Portal s vybranou kartou Prostředek

  4. Karta Virtuální síť

    1. Vyberte virtuální síť a podsíť, které chcete připojit k prostředkům služby Azure Monitor.
    2. V případě zásad sítě pro privátní koncové body vyberte možnost Upravit , pokud chcete použít skupiny zabezpečení sítě nebo směrovat tabulky do podsítě, která obsahuje privátní koncový bod. Další podrobnosti najdete v tématu Správa zásad sítě pro privátní koncové body .
    3. Pro konfiguraci privátní IP adresy je ve výchozím nastavení vybraná dynamicky přidělovat IP adresu . Pokud chcete přiřadit statickou IP adresu, vyberte Staticky přidělit IP adresu a zadejte název a privátní IP adresu.
    4. Volitelně můžete vybrat nebo vytvořit skupinu zabezpečení aplikace. Skupiny zabezpečení aplikací můžete použít k seskupení virtuálních počítačů a definování zásad zabezpečení sítě na základě těchto skupin.

    Snímek obrazovky znázorňující stránku Vytvořit privátní koncový bod na webu Azure Portal s vybranou kartou Virtuální síť

  5. Karta DNS

    1. Vyberte Ano pro integraci s privátní zónou DNS, která automaticky vytvoří novou privátní zónu DNS. Skutečné zóny DNS se můžou lišit od toho, co je vidět na následujícím snímku obrazovky.

    Poznámka:

    Pokud vyberete Možnost Ne a chcete záznamy DNS spravovat ručně, nejprve dokončete nastavení privátního propojení. Zahrňte tento privátní koncový bod a konfiguraci služby AMPLS a pak nakonfigurujte DNS podle pokynů v konfiguraci DNS privátního koncového bodu Azure. Nezapomeňte vytvořit prázdné záznamy jako přípravu pro nastavení privátního propojení. Vytvořené záznamy DNS můžou přepsat stávající nastavení a ovlivnit připojení ke službě Azure Monitor.

    Bez ohledu na to, jestli vyberete Ano nebo Ne a používáte vlastní servery DNS, musíte nastavit podmíněné předávání pro služby předávání veřejných zón DNS uvedené v konfiguraci DNS privátního koncového bodu Azure. Podmíněné služby předávání musí předávat dotazy DNS do Azure DNS.

    Snímek obrazovky znázorňující stránku Vytvořit privátní koncový bod na webu Azure Portal s vybranou kartou DNS

  6. Karta Zkontrolovat a vytvořit

    1. Jakmile ověření projde, vyberte Vytvořit.

Konfigurace přístupu k prostředkům AMPLS

V nabídce pro ampls vyberte izolaci sítě, abyste mohli řídit, které sítě se můžou spojit s prostředkem prostřednictvím privátního propojení a jestli se k němu můžou dostat i jiné sítě.

Snímek obrazovky znázorňující izolaci sítě

Připojené ampls

Tato obrazovka umožňuje zkontrolovat a nakonfigurovat připojení prostředku k seznamům ALS. Připojení k ampls umožňuje přístup k prostředku z připojené virtuální sítě. Má stejný účinek jako připojování z oboru popsaného v tématu Připojení prostředků Azure Monitoru.

Pokud chcete přidat nové připojení, vyberte Přidat a vyberte ampls. Váš prostředek se může připojit k pěti objektům AMPLS, jak je popsáno v limitech ampls.

Konfigurace přístupu k virtuálním sítím

Tato nastavení řídí přístup z veřejných sítí, které nejsou připojené k uvedeným oborům. To zahrnuje přístup k protokolům, metrikám a živému streamu metrik. Zahrnuje také prostředí založená na těchto datech, jako jsou sešity, řídicí panely, dotazování na prostředí klienta založené na rozhraní API a přehledy na webu Azure Portal. Prostředí spuštěná mimo Azure Portal a dotazování dat Log Analytics musí být spuštěná také v rámci privátní propojené virtuální sítě.

  • Pokud nastavíte příjem dat z veřejných sítí, které nejsou připojené prostřednictvím oboru služby Private Link na ne, klienti, jako jsou počítače nebo sady SDK mimo připojené obory, nemůžou do prostředku nahrávat data ani odesílat protokoly.
  • Pokud nastavíte možnost Přijímat dotazy z veřejných sítí, které nejsou připojené prostřednictvím oboru privátního propojení na ne, klienti, jako jsou počítače nebo sady SDK mimo připojené obory, nemůžou dotazovat data v prostředku.

Práce se ampls pomocí rozhraní příkazového řádku

Vytvoření ampls s režimy otevření přístupu

Následující příkaz rozhraní příkazového řádku vytvoří nový prostředek AMPLS s "my-scope"režimy přístupu k dotazům i příjmu dat nastaveným na Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Nastavení příznaků přístupu k prostředkům

Ke správě příznaků přístupu k pracovnímu prostoru nebo komponentě použijte příznaky [--ingestion-access {Disabled, Enabled}] a [--query-access {Disabled, Enabled}]na az monitor log-analytics workspace nebo az monitor app-insights component.

Práce se službami AMPLS pomocí PowerShellu

Vytvoření služby AMPLS

Následující skript PowerShellu vytvoří nový prostředek AMPLS s názvem "my-scope"režim přístupu dotazu nastaveným na Open režim přístupu k ingestování, ale režimy přístupu pro příjem dat nastavené na PrivateOnly. Toto nastavení znamená, že příjem dat povolí pouze prostředkům ve službě AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Nastavení režimů přístupu k ampls

Pomocí následujícího kódu PowerShellu nastavte příznaky režimu přístupu na ampls po jeho vytvoření.

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

Šablony ARM

Vytvoření služby AMPLS

Následující šablona ARM provede následující:

  • Název AMPLS "my-scope"s režimy přístupu k dotazům a příjmu dat nastaveným na Openhodnotu .
  • Pracovní prostor služby Log Analytics s názvem "my-workspace".
  • Přidá prostředek s vymezeným oborem "my-scope" do ampls s názvem "my-workspace-connection".
{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Kontrola a ověření konfigurace služby AMPLS

Podle kroků v této části zkontrolujte a ověřte nastavení privátního propojení.

Kontrola nastavení DNS koncového bodu

Privátní koncový bod vytvořený v tomto článku by měl mít nakonfigurovaných následujících pět zón DNS:

  • privatelink.monitor.azure.com
  • privatelink.oms.opinsights.azure.com
  • privatelink.ods.opinsights.azure.com
  • privatelink.agentsvc.azure-automation.net
  • privatelink.blob.core.windows.net

Každá z těchto zón mapuje konkrétní koncové body služby Azure Monitor na privátní IP adresy z fondu IP adres virtuální sítě. Ip adresy zobrazené na následujících obrázcích jsou pouze příklady. Vaše konfigurace by měla místo toho zobrazovat privátní IP adresy z vaší vlastní sítě.

privatelink-monitor-azure-com

Tato zóna se zabývá globálními koncovými body používanými službou Azure Monitor, což znamená, že koncové body obsluhují požadavky globálně nebo regionálně, a ne požadavky specifické pro prostředky. Tato zóna by měla mít namapované koncové body pro následující:

  • in.ai: Koncový bod příjmu dat Application Insights (globální i regionální položka).
  • api: Koncový bod rozhraní API služby Application Insights a Log Analytics.
  • live: Koncový bod živé metriky Application Insights
  • profiler: Profiler Application Insights pro koncový bod .NET.
  • snímek: Koncový bod snímku Application Insights
  • diagservices-query: Application Insights Profiler pro .NET a Snapshot Debugger (používá se při přístupu k profileru nebo ladicímu programu na webu Azure Portal).

Tato zóna také pokrývá koncové body specifické pro prostředky pro následující řadiče domény:

  • <unique-dce-identifier>.<regionname>.handler.control: Koncový bod privátní konfigurace, součást prostředku DCE.

  • <unique-dce-identifier>.<regionname>.ingest: Koncový bod privátního příjmu dat, součást prostředku DCE.

    Snímek obrazovky znázorňující Privátní DNS zón monitor-azure-com

Koncové body Log Analytics

Log Analytics používá následující čtyři zóny DNS:

  • privatelink-oms-opinsights-azure-com: Pokrývá mapování specifické pro pracovní prostor na koncové body OMS. Měla by se zobrazit položka pro každý pracovní prostor propojený se službami AMPLS připojenými k tomuto privátnímu koncovému bodu.
  • privatelink-ods-opinsights-azure-com: Pokrývá mapování specifické pro pracovní prostor na koncové body ODS, což jsou koncové body příjmu dat služby Log Analytics. Měla by se zobrazit položka pro každý pracovní prostor propojený se službami AMPLS připojenými k tomuto privátnímu koncovému bodu.
  • privatelink-agentsvc-azure-automation-net*: Pokrývá mapování specifické pro pracovní prostor na koncové body automatizace služeb agenta. Měla by se zobrazit položka pro každý pracovní prostor propojený se službami AMPLS připojenými k tomuto privátnímu koncovému bodu.
  • privatelink-blob-core-windows-net: Konfiguruje připojení k účtu úložiště balíčků řešení globálních agentů. Díky tomu můžou agenti stahovat nové nebo aktualizované balíčky řešení, které se také označují jako sady Management Pack. Ke zpracování všech agentů Log Analytics se vyžaduje jenom jedna položka bez ohledu na to, kolik pracovních prostorů se používá. Tato položka se přidá jenom do nastavení privátních propojení vytvořených v 19. dubnu 2021 nebo po 19. dubnu 2021 (nebo od června 2021 v suverénních cloudech Azure).

Následující snímek obrazovky ukazuje koncové body namapované pro ampls se dvěma pracovními prostory v oblasti USA – východ a jedním pracovním prostorem v oblasti Západní Evropa. Všimněte si, že pracovní prostory USA – východ sdílejí IP adresy. Koncový bod pracovního prostoru Západní Evropa se mapuje na jinou IP adresu. Koncový bod objektu blob je nakonfigurovaný, i když se na tomto obrázku nezobrazuje.

Snímek obrazovky znázorňující komprimované koncové body privátního propojení

Ověření komunikace přes ampls

  • Pokud chcete ověřit, že se vaše požadavky odesílají prostřednictvím privátního koncového bodu, zkontrolujte je pomocí prohlížeče nebo nástroje pro sledování sítě. Například při pokusu o dotazování pracovního prostoru nebo aplikace se ujistěte, že se požadavek odešle do privátní IP adresy mapované na koncový bod rozhraní API. V tomto příkladu je to 172.17.0.9.

    Poznámka:

    Některé prohlížeče můžou používat jiná nastavení DNS. Další informace najdete v tématu Nastavení DNS prohlížeče. Ujistěte se, že platí vaše nastavení DNS.

  • Abyste měli jistotu, že vaše pracovní prostory nebo komponenty nepřijímají žádosti z veřejných sítí (nejsou připojené prostřednictvím ampls), nastavte veřejné ingestování prostředků a příznaky dotazů na Ne , jak je vysvětleno v části Konfigurace přístupu k vašim prostředkům.

  • Z klienta ve vaší chráněné síti použijte nslookup některý z koncových bodů uvedených v zónách DNS. Server DNS by ho měl přeložit na mapované privátní IP adresy místo veřejných IP adres používaných ve výchozím nastavení.

Místní testování

Pokud chcete otestovat privátní propojení místně, aniž by to mělo vliv na ostatní klienty ve vaší síti, nezapomeňte při vytváření privátního koncového bodu aktualizovat DNS. Místo toho upravte soubor hostitelů na vašem počítači tak, aby odesílal požadavky do koncových bodů privátního propojení:

  • Nastavte privátní propojení, ale když se připojíte k privátnímu koncovému bodu, zvolte možnost automatické integrace s DNS.
  • Nakonfigurujte relevantní koncové body na souborech hostitelů vašich počítačů.

Další konfigurace

Velikost podsítě sítě

Nejmenší podporovaná podsíť IPv4 je /27 pomocí definic podsítě CIDR. I když virtuální sítě Azure můžou být tak malé jako /29, Azure si vyhrazuje pět IP adres. Nastavení privátního propojení služby Azure Monitor vyžaduje alespoň 11 dalších IP adres, i když se připojujete k jednomu pracovnímu prostoru. Projděte si nastavení DNS vašeho koncového bodu pro seznam koncových bodů privátního propojení služby Azure Monitor.

portál Azure

Pokud chcete používat prostředí portálu Azure Monitor pro Application Insights, Log Analytics a DCE, povolte přístup k rozšířením azure Portal a Azure Monitoru v privátních sítích. Přidejte značky služby AzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstParty a AzureFrontdoor.Frontend do skupiny zabezpečení sítě.

Programový přístup

Pokud chcete používat rozhraní REST API, Azure CLI nebo PowerShell se službou Azure Monitor v privátních sítích, přidejte do brány firewall značky služeb AzureActiveDirectory a AzureResourceManager.

Nastavení DNS prohlížeče

Pokud se připojujete k prostředkům služby Azure Monitor přes privátní propojení, provoz do těchto prostředků musí projít privátním koncovým bodem nakonfigurovaným ve vaší síti. Pokud chcete privátní koncový bod povolit, aktualizujte nastavení DNS, jak je popsáno v části Připojení k privátnímu koncovému bodu. Některé prohlížeče používají vlastní nastavení DNS místo těch, které jste nastavili. Prohlížeč se může pokusit připojit k veřejným koncovým bodům služby Azure Monitor a zcela obejít privátní propojení. Ověřte, že nastavení prohlížeče nepřepíše nebo neuchovává stará nastavení DNS do mezipaměti.

Omezení dotazování: operátor externaldata

  • Operátor externaldata není podporován přes privátní propojení, protože čte data z účtů úložiště, ale nezaručuje, že k úložišti přistupuje soukromě.
  • Proxy server Azure Data Exploreru (proxy ADX) umožňuje dotazování dotazů protokolu do Azure Data Exploreru. Proxy server ADX se nepodporuje přes privátní propojení, protože nezaručuje, že cílový prostředek je přístupný soukromě.

Další kroky

  • Seznamte se s privátním úložištěm pro vlastní protokoly a klíče spravované zákazníkem.
  • Seznamte se s novými koncovými body shromažďování dat.

K vytváření a správě oborů služby Private Link použijte rozhraní REST API nebo Azure CLI (az monitor private-link-scope).