Konfigurieren einer privaten Verbindung für Azure Monitor
Dieser Artikel enthält eine Schritt-für-Schritt-Anleitung zum Erstellen und Konfigurieren eines Azure Monitor-Private Link-Bereich (Azure Monitor Private Link Scope, AMPLS) mithilfe des Azure-Portals. Im Artikel sind auch alternative Methoden zum Arbeiten mit AMPLS über die CLI, PowerShell und ARM-Vorlagen enthalten.
Zum Konfigurieren einer Instanz von Azure Private Link sind folgende Schritte erforderlich. Die einzelnen Schritte werden in den nachfolgenden Abschnitten erläutert.
- Erstellen eines Azure Monitor-Private Link-Bereichs (AMPLS)
- Herstellen einer Verbindung zwischen Ressourcen und dem AMPLS
- Herstellen einer Verbindung zwischen dem AMPLS und einem privaten Endpunkt
- Konfigurieren des Zugriffs auf AMPLS-Ressourcen
In diesem Artikel wird beschrieben, wie die Konfiguration über das Microsoft Azure-Portal erfolgt. Zur Automatisierung des Prozesses wird eine Azure Resource Manager-Beispielvorlage (ARM-Vorlage) bereitgestellt.
Erstellen eines Azure Monitor-Private Link-Bereichs (AMPLS)
Wählen Sie im Menü Überwachen im Azure-Portal die Option Private Link-Bereiche und dann Erstellen aus.
Wählen Sie ein Abonnement und eine Ressourcengruppe aus, und geben Sie dem AMPLS einen aussagekräftigen Namen wie AppServerProdTelem.
Klicken Sie auf Überprüfen + erstellen.
Warten Sie die Überprüfung ab, und wählen Sie Erstellen aus.
Herstellen einer Verbindung zwischen Ressourcen und dem AMPLS
Wählen Sie im Menü für Ihren AMPLS Azure Monitor-Ressourcen und dann Hinzufügen aus.
Wählen Sie die Komponente und dann Anwenden aus, um die entsprechende Ressource dem Bereich hinzuzufügen. Es sind nur Azure Monitor-Ressourcen wie Log Analytics-Arbeitsbereiche, Application Insights-Komponenten und Datensammlungsendpunkte (Data Collection Endpoints, DCEs) verfügbar.
Hinweis
Um Azure Monitor-Ressourcen löschen zu können, müssen Sie diese zunächst von allen AMPLS-Objekten trennen, mit denen sie verbunden sind. Es ist nicht möglich, Ressourcen zu löschen, die mit einem AMPLS verbunden sind.
Herstellen einer Verbindung zwischen dem AMPLS und einem privaten Endpunkt
Nachdem Sie Ressourcen mit Ihrem AMPLS verbunden haben, können Sie einen privaten Endpunkt für die Verbindung mit dem Netzwerk erstellen.
Wählen Sie im Menü für Ihren AMPLS Verbindungen mit privatem Endpunkt und anschließend Privater Endpunkt aus. Sie können hier auch Verbindungen genehmigen, die in Private Link Center gestartet wurden, indem Sie die entsprechende Verbindung und dann Genehmigen auswählen.
Registerkarte Grundlagen
- Wählen Sie das Abonnement und die Ressourcengruppe aus, und geben Sie unter Name einen Namen für den Endpunkt und unter Name der Netzwerkschnittstelle einen Netzwerkschnittstellennamen ein.
- Wählen Sie die Region aus, in der der privater Endpunkt erstellt werden soll. Bei der Region muss es sich dieselbe Region handeln, in der sich das virtuelle Netzwerk befindet, mit dem eine Verbindung hergestellt wird.
Registerkarte Ressource
- Wählen Sie das Abonnement aus, das Ihre Ressource für den Azure Monitor-Private Link-Bereich enthält.
- Wählen Sie als Ressourcentyp die Option Microsoft.insights/privateLinkScopes aus.
- Wählen Sie in der Dropdownliste Ressource den Private Link-Bereich aus, den Sie erstellt haben.
Registerkarte Virtuelles Netzwerk
- Wählen Sie das virtuelle Netzwerk und das Subnetz aus, mit denen Sie Ihre Azure Monitor-Ressourcen verbinden möchten.
- Wählen Sie unter Netzwerkrichtlinie für private Endpunkte die Option Bearbeiten aus, wenn Sie Netzwerksicherheitsgruppen oder Routingtabellen auf das Subnetz anwenden möchten, das den privaten Endpunkt enthält. Ausführlichere Informationen finden Sie unter Verwalten von Netzwerkrichtlinien für private Endpunkte.
- Für Konfiguration der privaten IP-Adresse ist standardmäßig IP-Adresse dynamisch zuweisen ausgewählt. Wenn Sie eine statische IP-Adresse zuweisen möchten, wählen Sie IP-Adresse statisch zuweisen aus, und geben Sie dann einen Namen und eine private IP-Adresse ein.
- Sie können optional eine Anwendungssicherheitsgruppe auswählen oder erstellen. Sie können Anwendungssicherheitsgruppen zum Gruppieren von VMs verwenden und basierend auf diesen Gruppen Netzwerksicherheitsrichtlinien definieren.
Registerkarte DNS
- Wählen Sie für In private DNS-Zone integrieren die Option Ja aus. Dadurch wird die neue private DNS-Zone automatisch erstellt. Die tatsächlichen DNS-Zonen können von der Darstellung im folgenden Screenshot abweichen.
Hinweis
Wenn Sie Nein auswählen und die DNS-Einträge lieber manuell verwalten möchten, müssen Sie zunächst die Einrichtung der privaten Verbindung abschließen. Schließen Sie diesen privaten Endpunkt und die AMPLS-Konfiguration ein, und konfigurieren Sie anschließend Ihr DNS gemäß den Anweisungen unter DNS-Konfiguration für private Azure-Endpunkte . Stellen Sie sicher, dass Sie keine leeren Datensätze zur Vorbereitung Ihrer Private Link-Einrichtung erstellen. Die von Ihnen erstellten DNS-Einträge können bestehende Einstellungen überschreiben und sich auf die Konnektivität mit Azure Monitor auswirken.
Registerkarte „Überprüfen und erstellen“
- Wenn die Validierung erfolgreich war, wählen Sie Erstellen aus.
Konfigurieren des Zugriffs auf AMPLS-Ressourcen
Wählen Sie im Menü für Ihren AMPLS Netzwerkisolation aus, um zu steuern, welche Netzwerke über eine private Verbindung auf die Ressource zugreifen können und ob andere Netzwerke mit der Ressource kommunizieren dürfen.
Verbundener AMPLS
Auf diesem Bildschirm können Sie die Ressourcenverbindungen mit dem AMPLS überprüfen und konfigurieren. Durch das Herstellen einer Verbindung mit einem AMPLS kann Datenverkehr vom verbundenen virtuellen Netzwerk an die Ressource fließen. Dieser Vorgang hat den gleichen Effekt wie das Herstellen einer Verbindung aus dem Bereich, wie unter Herstellen einer Verbindung mit Azure Monitor-Ressourcen beschrieben.
Um eine neue Verbindung hinzuzufügen, wählen Sie Hinzufügen und Sie AMPLS aus. Ihre Ressource kann eine Verbindung mit fünf AMPLS-Objekten herstellen, wie unter AMPLS-Grenzwerte beschrieben.
Konfiguration des VNET-Zugriffs
Diese Einstellungen steuern den Zugriff von öffentlichen Netzwerken, die nicht mit den aufgeführten Bereichen verbunden sind. Dazu gehört der Zugriff auf Protokolle, Metriken und den Livemetrikstream. Darüber hinaus gehören zusätzliche Komponenten, die auf diesen Daten basieren, wie Arbeitsmappen, Dashboards, Abfrage-API-basierte Clientumgebungen und Erkenntnisse im Azure-Portal dazu. Funktionen außerhalb des Microsoft Azure-Portals und solche, die Log Analytics-Daten abfragen, müssen auch innerhalb des über Private Link verbundenen virtuellen Netzwerks ausgeführt werden.
- Wenn Sie Datenerfassung aus öffentlichen Netzwerken akzeptieren, die nicht über einen Private Link-Bereich verbunden sind auf Nein festlegen, können Clients wie Computer oder SDKs außerhalb der verbundenen Bereiche keine Daten hochladen oder Protokolle an die Ressource senden.
- Wenn Sie Abfragen aus öffentlichen Netzwerken akzeptieren, die nicht über einen Private Link-Bereich verbunden sind auf Nein festlegen, können Clients wie Computer oder SDKs außerhalb der verbundenen Bereiche keine Daten in der Ressource abfragen.
Arbeiten mit AMPLS über die CLI
Erstellen eines AMPLS mit Open-Zugriffsmodi
Der folgende CLI-Befehl erstellt eine neue AMPLS-Ressource namens "my-scope", bei der sowohl der Abfrage- als auch der Erfassungszugriffsmodus auf Open festgelegt ist.
az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"
Festlegen von Ressourcenzugriffsflags
Verwenden Sie zum Verwalten der Zugriffsflags für Ihren Arbeitsbereich oder Ihre Komponente die Flags [--ingestion-access {Disabled, Enabled}] und [--query-access {Disabled, Enabled}] in az monitor log-analytics workspace oder az monitor app-insights component.
Arbeiten mit AMPLS unter Verwendung von PowerShell
Erstellen eines AMPLS
Das folgende PowerShell-Skript erstellt eine neue AMPLS-Ressource namens "my-scope", bei der der Abfragezugriffsmodus auf Open, der Erfassungszugriffsmodus jedoch auf PrivateOnly festgelegt ist. Diese Einstellung bedeutet, dass die Erfassung nur in Ressourcen im AMPLS zulässig ist.
# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
accessModeSettings = @{
queryAccessMode = "Open";
ingestionAccessMode = "PrivateOnly"
}
}
# login
Connect-AzAccount
# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId
# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force
Festlegen von AMPLS-Zugriffsmodi
Verwenden Sie zum Festlegen der Zugriffsmodusflags für Ihren AMPLS nach seiner Erstellung den folgenden PowerShell-Code:
# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"
# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force
ARM-Vorlagen
Erstellen eines AMPLS
Die folgende ARM-Vorlage führt Folgendes aus:
- Einen AMPLS namens
"my-scope", bei dem Abfrage- und Erfassungszugriffsmodus aufOpenfestgelegt sind - Einen Log Analytics-Arbeitsbereich namens
"my-workspace" - Fügt dem AMPLS
"my-scope"eine bereichsbezogene Ressource namens"my-workspace-connection"hinzu.
{
"$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
"contentVersion": "1.0.0.0",
"parameters": {
"private_link_scope_name": {
"defaultValue": "my-scope",
"type": "String"
},
"workspace_name": {
"defaultValue": "my-workspace",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "microsoft.insights/privatelinkscopes",
"apiVersion": "2021-07-01-preview",
"name": "[parameters('private_link_scope_name')]",
"location": "global",
"properties": {
"accessModeSettings":{
"queryAccessMode":"Open",
"ingestionAccessMode":"Open"
}
}
},
{
"type": "microsoft.operationalinsights/workspaces",
"apiVersion": "2020-10-01",
"name": "[parameters('workspace_name')]",
"location": "westeurope",
"properties": {
"sku": {
"name": "pergb2018"
},
"publicNetworkAccessForIngestion": "Enabled",
"publicNetworkAccessForQuery": "Enabled"
}
},
{
"type": "microsoft.insights/privatelinkscopes/scopedresources",
"apiVersion": "2019-10-17-preview",
"name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
"dependsOn": [
"[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
"[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
],
"properties": {
"linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
}
}
]
}
Überprüfen der AMPLS-Konfiguration
Führen Sie die Schritte in diesem Abschnitt aus, um Ihr Private Link-Setup zu überprüfen und zu validieren.
Überprüfen der DNS-Einstellungen des Endpunkts
Für den in diesem Artikel erstellten privaten Endpunkt sollten die folgenden fünf DNS-Zonen konfiguriert werden:
privatelink.monitor.azure.comprivatelink.oms.opinsights.azure.comprivatelink.ods.opinsights.azure.comprivatelink.agentsvc.azure-automation.netprivatelink.blob.core.windows.net
Jede dieser Zonen ordnet bestimmte Azure Monitor-Endpunkte privaten IP-Adressen aus dem IP-Adresspool des virtuellen Netzwerks zu. Die IP-Adressen, die in den folgenden Abbildungen gezeigt werden, sind lediglich Beispiele. Ihre Konfiguration sollte stattdessen private IP-Adressen aus Ihrem eigenen Netzwerk enthalten.
privatelink-monitor-azure-com
Diese Zone deckt die globalen Endpunkte ab, die von Azure Monitor verwendet werden, d. h. Endpunkte, die Anforderungen nicht ressourcenspezifisch, sondern global/regional bedienen. Dieser Zone sollten Endpunkte für Folgendes zugeordnet sein:
- in.ai: Application Insights-Erfassungsendpunkt (globaler und regionaler Eintrag)
- api: Application Insights- und Log Analytics-API-Endpunkt
- live: Application Insights-Livemetrikendpunkt
- profiler: Application Insights-Profiler-Endpunkt
- snapshot: Application Insights-Momentaufnahmeendpunkt
- diagservices-query: Application Insights Profiler und Momentaufnahmedebugger (beim Zugreifen auf Profiler-/Debuggerergebnisse im Azure-Portal verwendet)
Diese Zone deckt auch die ressourcenspezifischen Endpunkte für die folgenden DCEs ab:
<unique-dce-identifier>.<regionname>.handler.control: Privater Konfigurationsendpunkt, Teil einer DCE-Ressource<unique-dce-identifier>.<regionname>.ingest: Privater Erfassungsendpunkt, Teil einer DCE-Ressource
Log Analytics-Endpunkte
Log Analytics verwendet die folgenden vier DNS-Zonen:
privatelink-oms-opinsights-azure-com: Deckt die arbeitsbereichsspezifische Zuordnung zu OMS-Endpunkten ab. Es sollte ein Eintrag für jeden Arbeitsbereich angezeigt werden, der mit dem mit diesem privaten Endpunkt verbundenen AMPLS verknüpft ist.privatelink-ods-opinsights-azure-com: Deckt die arbeitsbereichsspezifische Zuordnung zu ODS-Endpunkten ab, den Erfassungsendpunkten von Log Analytics. Es sollte ein Eintrag für jeden Arbeitsbereich angezeigt werden, der mit dem mit diesem privaten Endpunkt verbundenen AMPLS verknüpft ist.privatelink-agentsvc-azure-automation-net*: Deckt die arbeitsbereichsspezifische Zuordnung zu den Automatisierungsendpunkten des Agent-Diensts ab. Es sollte ein Eintrag für jeden Arbeitsbereich angezeigt werden, der mit dem mit diesem privaten Endpunkt verbundenen AMPLS verknüpft ist.privatelink-blob-core-windows-net: Konfiguriert die Konnektivität mit dem Speicherkonto der Lösungspakete der globalen Agents. Dadurch können Agents neue oder aktualisierte Lösungspakete, auch Management Packs genannt, herunterladen. Für die Behandlung von Log Analytics-Agents ist unabhängig von der Anzahl der verwendeten Arbeitsbereiche nur ein einzelner Eintrag erforderlich. Dieser Eintrag wird nur den Private Links-Setups hinzugefügt, die am oder nach dem 19. April 2021 (oder ab Juni 2021 in Azure Sovereign Clouds) erstellt wurden.
Der folgende Screenshot zeigt Endpunkte, die einem AMPLS mit zwei Arbeitsbereichen in „USA, Osten“ und einem Arbeitsbereich in „Europa, Westen“ zugeordnet sind. Beachten Sie, dass die Arbeitsbereiche „USA, Osten“ die IP-Adressen gemeinsam nutzen. Der Arbeitsbereich „Europa, Westen“ ist einer anderen IP-Adresse zugeordnet. Der Blobendpunkt ist konfiguriert, aber in dieser Abbildung nicht sichtbar.
Überprüfen der Kommunikation über den AMPLS
Um zu überprüfen, ob Anforderungen nun über den privaten Endpunkt gesendet werden, überprüfen Sie diese mit Ihrem Browser oder einem Tool für die Netzwerknachverfolgung. Wenn Sie beispielsweise versuchen, Ihren Arbeitsbereich oder Ihre Anwendung abzufragen, stellen Sie sicher, dass die Anforderung an die private IP-Adresse gesendet wird, die dem API-Endpunkt zugeordnet ist. In diesem Beispiel lautet sie 172.17.0.9.
Hinweis
Einige Browser verwenden möglicherweise andere DNS-Einstellungen. Weitere Informationen finden Sie unter Browser-DNS-Einstellungen. Stellen Sie sicher, dass Ihre DNS-Einstellungen gültig sind.
Um sicherzustellen, dass Ihre Arbeitsbereiche oder Komponente keine Anforderungen von öffentlichen Netzwerken (die nicht über AMPLS verbunden sind) empfangen, legen Sie die Ressourcenflags für öffentliche Erfassung und Abfragen auf Nein fest, wie unter Konfigurieren des Zugriffs auf Ihre Ressourcen erläutert.
Verwenden Sie von einem Client in Ihrem geschützten Netzwerk aus
nslookupfür einen in Ihren DNS-Zonen aufgelisteten Endpunkt. Dieser sollte von Ihrem DNS-Server in die zugeordnete private IP-Adresse, anstelle der standardmäßig verwendeten öffentlichen IP-Adresse aufgelöst werden.
Lokales Testen
Um private Verbindungen lokal zu testen, ohne andere Clients in Ihrem Netzwerk zu beeinträchtigen, stellen Sie sicher, dass Sie Ihr DNS nicht aktualisieren, wenn Sie Ihren privaten Endpunkt erstellen. Bearbeiten Sie stattdessen die Datei „hosts“ auf Ihrem Computer, damit er Anforderungen an die Endpunkte Ihrer privaten Verbindung sendet:
- Richten Sie eine private Verbindung ein, aber wählen Sie bei der Verbindung mit einem privaten Endpunkt aus, dass keine automatische Integration mit dem DNS erfolgen soll.
- Konfigurieren Sie die relevanten Endpunkte in den Hostdateien Ihrer Computer.
Zusätzliche Konfiguration
Größe des Netzwerk-Subnetzes
Das kleinste unterstützte IPv4-Subnetz ist /27 unter Verwendung von CIDR-Subnetzdefinitionen. Obwohl virtuelle Azure-Netzwerke so klein wie /29 sein können, reserviert Azure fünf IP-Adressen. Die Einrichtung privater Azure Monitor-Verbindungen erfordert mindestens 11 weitere IP-Adressen, auch wenn Sie nur eine Verbindung mit einem einzelnen Arbeitsbereich herstellen. Prüfen Sie die DNS-Einstellungen Ihres Endpunkts für die Liste der Endpunkte der privaten Azure Monitor-Verbindung.
Azure-Portal
Um Azure Monitor-Portalfunktionalität für Application Insights, Log Analytics und DCEs zu verwenden, lassen Sie den Zugriff auf das Azure-Portal und die Azure Monitor-Erweiterungen in den privaten Netzwerken zu. Fügen Sie Ihrer Netzwerksicherheitsgruppe die Diensttags AzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstParty und AzureFrontdoor.Frontend hinzu.
Programmgesteuerter Zugriff
Fügen Sie Ihrer Firewall die Diensttags AzureActiveDirectory und AzureResourceManager hinzu, um die REST-API, die Azure-CLI oder PowerShell mit Azure Monitor in privaten Netzwerken zu verwenden.
Browser-DNS-Einstellungen
Wenn Sie eine Verbindung mit den Azure Monitor-Ressourcen über eine private Verbinden herstellen, muss der Datenverkehr zu diesen Ressourcen über den privaten Endpunkt erfolgen, der in Ihrem Netzwerk konfiguriert ist. Um den privaten Endpunkt zu aktivieren, aktualisieren Sie Ihre DNS-Einstellungen, wie unter Herstellen einer Verbindung mit einem privaten Endpunkt beschrieben. Einige Browser verwenden eigene DNS-Einstellungen anstelle der von Ihnen festgelegten DNS-Einstellungen. Der Browser versucht möglicherweise, eine Verbindung mit öffentlichen Azure Monitor-Endpunkten herzustellen und die private Verbindung vollständig zu umgehen. Vergewissern Sie sich, dass Ihre Browsereinstellungen keine alten DNS-Einstellungen überschreiben oder zwischenspeichern.
Einschränkung bei Abfragen: externaldata-Operator
- Der externaldata-Operator wird über eine private Verbindung nicht unterstützt, da er zwar Daten aus Speicherkonten liest, jedoch nicht sicherstellt, dass der Zugriff auf den Speicher privat ist.
- Der Azure Data Explorer-Proxy (ADX-Proxy) ermöglicht Protokollabfragen zum Abfragen von Azure Data Explorer. Der ADX-Proxy wird über private Verbindungen nicht unterstützt, weil er nicht garantiert, dass der Zugriff auf die Zielressource privat ist.
Nächste Schritte
- Erfahren Sie mehr über privaten Speicher für benutzerdefinierte Protokolle und kundenseitig verwaltete Schlüssel.
- Erfahren Sie mehr über die neuen Datensammlungsendpunkte.
Zum Erstellen und Verwalten von Private Link-Bereichen verwenden Sie die REST-API oder die Azure-Befehlszeilenschnittstelle (az monitor private-link-scope).