Verwenden von Azure Private Link zum Verbinden von Netzwerken mit Azure Monitor
Mit Azure Private Link können Sie Azure-PaaS-Ressourcen (Platform-as-a-Service) über private Endpunkte sicher mit Ihrem virtuellen Netzwerk verknüpfen. Private Azure Monitor-Links sind anders strukturiert als private Links zu anderen Diensten. In diesem Artikel werden die wichtigsten Prinzipien privater Azure Monitor-Links und deren Funktionsweise beschrieben.
Die Vorteile der Verwendung von Private Link mit Azure Monitor umfassen Folgendes. Weitere Vorteile finden Sie in den wichtigsten Vorteilen von Private Link.
- Verbinden Sie sich privat mit Azure Monitor, ohne den Zugriff auf öffentliche Netzwerke zuzulassen. Sicherstellen, dass der Zugriff auf Überwachungsdaten nur über autorisierte private Netzwerke erfolgt.
- Verhindern von Datenexfiltration aus Ihren privaten Netzwerken durch Definieren bestimmter Azure Monitor-Ressourcen, die eine Verbindung über Ihren privaten Endpunkt herstellen.
- Sichere Verbindung zwischen Ihrem privaten lokalen Netzwerk und Azure Monitor über ExpressRoute und Private Link.
- Kapseln des gesamten Datenverkehrs innerhalb des Azure-Backbone-Netzwerks.
Grundlegende Konzepte
Anstatt für jede Ressource einen privaten Link zu erstellen, mit dem das virtuelle Netzwerk eine Verbindung herstellt, verwendet Azure Monitor eine einzelne Verbindung per privatem Link mithilfe eines privaten Endpunkts aus dem virtuellen Netzwerk zu einem Azure Monitor Private Link Scope (AMPLS). Der AMPLS ist eine Reihe von Azure Monitor-Ressourcen, die die Grenzen Ihres Überwachungsnetzwerks definieren.
Zu den wichtigsten Aspekten des AMPLS gehören:
- Verwendet private IP-Adressen: Der private Endpunkt in Ihrem virtuellen Netzwerk ermöglicht es, Azure Monitor-Endpunkte über private IP-Adressen aus dem Pool Ihres Netzwerks zu erreichen, anstatt die öffentlichen IP-Adressen dieser Endpunkte zu verwenden. So können Sie Ihre Azure Monitor-Ressourcen weiterhin verwenden, ohne Ihr virtuelles Netzwerk für unerwünschten ausgehenden Datenverkehr zu öffnen.
- Läuft auf Azure-Backbone: Der Datenverkehr vom privaten Endpunkt zu Ihren Azure Monitor-Ressourcen wird über das Azure-Backbone und nicht über öffentliche Netzwerke geroutet.
- Steuert, welche Azure Monitor-Ressourcen erreicht werden können: Konfigurieren Sie, ob Datenverkehr nur für Private Link-Ressourcen oder für Private Link-Ressourcen und Nicht-Private Link-Ressourcen außerhalb der AMPLS zulässig ist.
- Steuert den Netzwerkzugriff auf Ihre Azure Monitor-Ressourcen: Konfigurieren Sie jeden Ihrer Arbeitsbereiche oder Komponenten, um Datenverkehr aus öffentlichen Netzwerken zu akzeptieren oder zu blockieren, und verwenden Sie unter Umständen unterschiedliche Einstellungen für die Datenerfassung und Abfrageanforderungen.
DNS-Zonen
Wenn Sie einen AMPLS erstellen, ordnen Ihre DNS-Zonen Azure Monitor-Endpunkte zu privaten IPs zu, um Datenverkehr über den privaten Link zu senden. Azure Monitor verwendet sowohl ressourcenspezifische Endpunkte als auch freigegebene globale/regionale Endpunkte, um die Arbeitsbereiche und Komponenten in Ihrem AMPLS zu erreichen.
Da Azure Monitor einige freigegebene Endpunkte verwendet, ändert das Konfigurieren eines privaten Links selbst für eine einzelne Ressource die DNS-Konfiguration, die sich auf den Datenverkehr zu allen Ressourcen auswirkt. Die Verwendung freigegebener Endpunkte bedeutet auch, dass Sie eine einzelne AMPLS für alle Netzwerke verwenden sollten, die das gleiche DNS verwenden. Das Erstellen mehrerer AMPLS-Ressourcen führt dazu, dass die DNS-Zonen von Azure Monitor sich gegenseitig außer Kraft setzen und bestehende Umgebungen unterbrechen. Weitere Details finden Sie unter Planen nach Netzwerktopologie.
Freigegebene globale und regionale Endpunkte
Wenn Sie Private Link selbst für eine einzelne Ressource konfigurieren, wird Datenverkehr an die folgenden Endpunkte über die zugeordneten privaten IP-Adressen gesendet:
- Alle Application Insights-Endpunkte: Endpunkte für die Erfassung, Livemetriken, der .NET-Profiler und der Debugger für Application Insights-Endpunkte sind global.
- Der Abfrageendpunkt: Der Endpunkt für Abfragen sowohl an Application Insights- als auch an Log Analytics-Ressourcen ist global.
Ressourcenspezifische Endpunkte
Log Analytics-Endpunkte sind spezifisch für Arbeitsbereiche, mit Ausnahme des zuvor diskutierten Abfrageendpunkts. Daher werden beim Hinzufügen eines bestimmten Log Analytics-Arbeitsbereichs zu AMPLS Erfassungsanforderungen an diesen Arbeitsbereich über die private Verbindung gesendet. Für die Erfassung in andere Arbeitsbereiche werden weiterhin die öffentlichen Endpunkte verwendet.
Datensammlungsendpunkte sind ebenfalls ressourcenspezifisch. Sie können sie verwenden, um Erfassungseinstellungen für das Sammeln von Telemetriedaten von Gastbetriebssystemen Ihrer Computer (oder einer Gruppe von Computern) eindeutig zu konfigurieren, wenn Sie den neuen Azure Monitor-Agent und die Datensammlungsregeln verwenden. Das Konfigurieren eines Datensammlungsendpunkts für eine Gruppe von Computern wirkt sich nicht auf die Erfassung von Gasttelemetriedaten von anderen Computern aus, die den neuen Agent verwenden.
Nächste Schritte
- Entwerfen Ihres Azure Private Link-Setups.
- Erfahren Sie, wie Sie Ihre private Verbindung konfigurieren.
- Erfahren Sie mehr über privaten Speicher für benutzerdefinierte Protokolle und kundenseitig verwaltete Schlüssel.