Použití Azure Private Linku k propojení sítí k Azure Monitoru

Pomocí služby Azure Private Link můžete bezpečně propojit prostředky Platformy Azure jako služby (PaaS) s virtuální sítí pomocí privátních koncových bodů. Privátní propojení Azure Monitoru jsou strukturovaná jinak než privátní propojení s jinými službami. Tento článek popisuje hlavní principy privátních propojení služby Azure Monitor a jejich fungování.

Mezi výhody použití služby Private Link se službou Azure Monitor patří následující. Další výhody najdete v tématu Klíčové výhody služby Private Link .

• Připojte se soukromě ke službě Azure Monitor bez povolení přístupu k veřejné síti. Ujistěte se, že data monitorování jsou přístupná jenom prostřednictvím autorizovaných privátních sítí.
• Zabraňte exfiltraci dat z privátních sítí definováním konkrétních prostředků služby Azure Monitor, které se připojují přes privátní koncový bod.
• Zabezpečeně připojte privátní místní síť ke službě Azure Monitor pomocí Azure ExpressRoute a Private Linku.
• Udržujte veškerý provoz v páteřní síti Azure.

Základní koncepty

Místo vytvoření privátního propojení pro každý prostředek, ke který se virtuální síť připojuje, azure Monitor používá jedno připojení privátního propojení pomocí privátního koncového bodu z virtuální sítě k oboru služby Azure Monitor Private Link (AMPLS). AmpLS je sada prostředků služby Azure Monitor, které definují hranice vaší monitorovací sítě.

Mezi aspekty amplů ACL patří:

• Používá privátní IP adresy: Privátní koncový bod ve vaší virtuální síti umožňuje přístup ke koncovým bodům služby Azure Monitor prostřednictvím privátních IP adres z fondu vaší sítě místo použití veřejných IP adres těchto koncových bodů. Díky tomu můžete dál používat prostředky služby Azure Monitor, aniž byste otevřeli virtuální síť, aby se nevyvíral odchozí provoz.
• Běží na páteřní síti Azure: Provoz z privátního koncového bodu do vašich prostředků služby Azure Monitor bude přecházet přes páteřní síť Azure a nebude směrován do veřejných sítí.
• Řízení, ke kterým prostředkům Azure Monitoru je možné získat přístup: Nakonfigurujte, jestli chcete povolit provoz jenom do prostředků Služby Private Link, nebo do prostředků private Linku i jiných než privátních propojení mimo ampLS.
• Řídí síťový přístup k prostředkům služby Azure Monitor: Nakonfigurujte každý z vašich pracovních prostorů nebo komponent tak, aby přijímal nebo blokoval provoz z veřejných sítí, a potenciálně pomocí různých nastavení pro příjem dat a požadavky na dotazy.

Zóny DNS

Když vytvoříte ampls, zóny DNS mapují koncové body služby Azure Monitor na privátní IP adresy, aby se provoz odesílaly přes privátní propojení. Azure Monitor používá koncové body specifické pro prostředky i sdílené globální nebo regionální koncové body pro přístup k pracovním prostorům a komponentám ve službě AMPLS.

Vzhledem k tomu, že Azure Monitor používá některé sdílené koncové body, konfigurace privátního propojení i pro jeden prostředek změní konfiguraci DNS, která ovlivňuje provoz do všech prostředků. Použití sdílených koncových bodů také znamená, že byste měli použít jednu ampls pro všechny sítě, které sdílejí stejný DNS. Vytvoření více prostředků AMPLS způsobí, že se zóny DNS služby Azure Monitor přepíší navzájem a přeruší stávající prostředí. Další podrobnosti najdete v tématu Plánování podle topologie sítě.

Sdílené globální a regionální koncové body

Když nakonfigurujete Službu Private Link i pro jeden prostředek, provoz do následujících koncových bodů se odešle prostřednictvím přidělených privátních IP adres:

• Všechny koncové body Application Insights: Koncové body zpracovávající příjem dat, živé metriky, profiler .NET a ladicí program pro koncové body Application Insights jsou globální.
• Koncový bod dotazu: Koncový bod, který zpracovává dotazy na prostředky Application Insights i Log Analytics, je globální.

Koncové body specifické pro prostředky

Koncové body Log Analytics jsou specifické pro konkrétní pracovní prostor, s výjimkou koncového bodu dotazu, který jsme probírali dříve. V důsledku toho přidání konkrétního pracovního prostoru služby Log Analytics do ampls odešle žádosti o příjem dat do tohoto pracovního prostoru přes privátní propojení. Příjem dat do jiných pracovních prostorů bude dál používat veřejné koncové body.

Koncové body shromažďování dat jsou také specifické pro prostředky. Můžete je použít k jedinečné konfiguraci nastavení příjmu dat pro shromažďování telemetrických dat hostovaného operačního systému z vašich počítačů (nebo sady počítačů), když použijete nová pravidla pro shromažďování dat a agenta služby Azure Monitor. Konfigurace koncového bodu shromažďování dat pro sadu počítačů nemá vliv na příjem telemetrie hosta z jiných počítačů, které používají nového agenta.

Další kroky

• Navrhněte nastavení služby Azure Private Link.
• Zjistěte, jak nakonfigurovat privátní propojení.
• Seznamte se s privátním úložištěm pro vlastní protokoly a klíče spravované zákazníkem.