Uso de puntos de conexión privados para Prometheus administrado y el área de trabajo de Azure Monitor
Use puntos de conexión privados para Prometheus administrado y el área de trabajo de Azure Monitor para que los clientes de una red virtual (VNet) puedan acceder consultar de forma segura los datos a través de una instancia de Private Link. El punto de conexión privado usa una dirección IP independiente dentro del espacio de direcciones de red virtual del recurso del área de trabajo de Azure Monitor. El tráfico de red entre los clientes de la red virtual y el área de trabajo del recurso atraviesa la red virtual y un vínculo privado de la red troncal de Microsoft, lo que elimina la exposición a la red pública de Internet.
Nota:
Si usa Azure Managed Grafana para consultar los datos, configure un punto de conexión privado administrado para asegurarse de que las consultas de Managed Grafana en el área de trabajo de Azure Monitor usan la red troncal de Microsoft sin pasar por Internet.
El uso de puntos de conexión privados para el área de trabajo le permite:
- Proteja el área de trabajo estableciendo la configuración de red de acceso público para bloquear todas las conexiones en el punto de conexión de consulta pública del área de trabajo.
- Aumentar la seguridad de la red virtual, ya que permite bloquear la filtración de datos de la red virtual.
- Conectarse de forma segura desde las redes locales que se conectan a la red virtual mediante VPN o instancias de ExpressRoute con emparejamiento privado.
Información general conceptual
Un punto de conexión privado es una interfaz de red especial para un servicio de Azure de una red virtual. Cuando se crea un punto de conexión privado para el área de trabajo, este proporciona conectividad segura entre los clientes de la red virtual y la propia área de trabajo. Al punto de conexión privado se le asigna una dirección IP del intervalo de direcciones IP de la red virtual. La conexión entre el punto de conexión privado y el área de trabajo usa un vínculo privado seguro.
Las aplicaciones de la red virtual se pueden conectar al área de trabajo a través del punto de conexión privado sin problemas,usando las mismas cadenas de conexión y mecanismos de autorización que se usarían en cualquier otro caso.
Los puntos de conexión privados se pueden crear en subredes que usan puntos de conexión de servicio. Los clientes de la subred pueden conectarse a un área de trabajo mediante un punto de conexión privado, mientras usan puntos de conexión de servicio para acceder a otros servicios.
Cuando se crea un punto de conexión privado para un área de trabajo de la red virtual, se envía una solicitud de consentimiento para su aprobación al propietario de la cuenta del área de trabajo. Si el usuario que solicita la creación del punto de conexión privado también es propietario del área de trabajo, esta solicitud de consentimiento se aprueba automáticamente.
Los propietarios del área de trabajo de Azure Monitor pueden administrar las solicitudes de consentimiento y los puntos de conexión privados a través de la pestaña "Acceso privado" de la página Redes del área de trabajo en el Azure Portal.
Sugerencia
Si desea restringir el acceso al área de trabajo solo a través del punto de conexión privado, seleccione "Deshabilitar el acceso público y usar el acceso privado" en la pestaña "Acceso público" de la página Redes del área de trabajo en el Azure Portal.
Creación de un punto de conexión privado
Para crear un punto de conexión privado mediante Azure Portal, Azure PowerShell o la CLI de Azure, consulte los siguientes artículos. Los artículos presentan una aplicación web de Azure como servicio de destino, pero los pasos para crear un vínculo privado son los mismos que para un área de trabajo de Azure Monitor.
Cuando cree un punto de conexión privado, seleccione las siguientes opciones en las listas desplegables de la pestaña básica:
- Tipo de recurso: seleccione
Microsoft.Monitor/accounts
. Especifique el área de trabajo de Azure Monitor a la que se conecta. - Subrecurso de destino: seleccione
prometheusMetrics
.
Cree un punto de conexión privado con los siguientes artículos:
Creación de un punto de conexión privado mediante Azure Portal
Creación de un punto de conexión privado mediante la CLI de Azure
Creación de un punto de conexión privado mediante Azure PowerShell
Conexión a un punto de conexión privado
Los clientes de una red virtual que usen el punto de conexión privado deben utilizar el punto de conexión privado de consulta para el área de trabajo de supervisión de Azure que aquellos clientes que se conectan mediante el punto de conexión público. Confiamos en la resolución del DNS para enrutar automáticamente las conexiones desde la red virtual al área de trabajo a través de un vínculo privado.
De forma predeterminada, se crea una zona DNS privada conectada a la red virtual con las actualizaciones necesarias para los puntos de conexión privados. Sin embargo, si usa su propio servidor DNS, puede que tenga que realizar cambios adicionales en la configuración de DNS. En la sección Cambios de DNS que aparece a continuación se describen las actualizaciones necesarias para los puntos de conexión privados.
Cambios de DNS en puntos de conexión privados
Nota:
Para más información sobre cómo configurar las opciones de DNS para puntos de conexión privados, consulte Configuración de DNS para puntos de conexión privados de Azure.
Al crear un punto de conexión privado, el registro del recurso CNAME de DNS del área de trabajo se actualiza a un alias de un subdominio con el prefijo privatelink
. De forma predeterminada, también se crea una zona DNS privada, que se corresponde con el subdominio privatelink
, con los registros de recursos D de DNS para los puntos de conexión privados.
Cuando se resuelve la dirección URL del punto de conexión de consulta desde fuera de la red virtual con el punto de conexión privado, se resuelve en el punto de conexión público del área de trabajo. Cuando se resuelve desde la red virtual que hospeda el punto de conexión privado, la dirección URL del punto de conexión de consulta se resuelve en la dirección IP del punto de conexión privado.
En el ejemplo siguiente se usa k8s02-workspace
en la región Este de EE. UU. No se garantiza que el nombre del recurso sea único, por lo que tenemos que agregar algunos caracteres después del nombre para que la ruta de acceso URL sea única; por ejemplo, k8s02-workspace-<key>
. Este punto de conexión de consulta único se muestra en la página de información general del área de trabajo de Azure Monitor.
Los registros de recursos DNS para el área de trabajo de Azure Monitor cuando se resuelven desde fuera de la red virtual que hospeda el punto de conexión privado, son:
Nombre | Tipo | Value |
---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
CNAME | <Punto de conexión público del servicio regional de AMW> |
<Punto de conexión público del servicio regional de AMW> | A | <Dirección IP pública del servicio regional de AMW> |
Como se mencionó anteriormente, puede denegar o controlar el acceso de los clientes de fuera de la red virtual a través del punto de conexión público mediante la pestaña "Acceso público" de la página Redes del área de trabajo.
Los registros de recursos DNS para “k8s02-workspace“, cuando los resuelve un cliente en la red virtual que hospeda el punto de conexión privado, son:
Nombre | Tipo | Value |
---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
A | <Dirección IP del punto de conexión privado> |
Este enfoque permite el acceso al área de trabajo mediante la misma cadena de conexión para los clientes de la red virtual que hospeda los puntos de conexión privados y los clientes que están fuera de esta.
Si va a usar un servidor DNS personalizado en la red, los clientes deben ser capaces de resolver el FQDN del punto de conexión de consulta del área de trabajo en la dirección IP del punto de conexión privado. Debe configurar el servidor DNS para delegar el subdominio del vínculo privado en la zona DNS privada de la red virtual, o bien configurar los registros D para k8s02-workspace
con la dirección IP del punto de conexión privado.
Sugerencia
Cuando use un servidor DNS personalizado o local, debe configurarlo para resolver el punto de conexión de consulta del área de trabajo en el subdominio privatelink
en la dirección IP del punto de conexión privado. Para ello, puede delegar el subdominio privatelink
en la zona DNS privada de la red virtual, o bien configurar la zona DNS en el servidor DNS y agregar los registros D de DNS.
Los nombres de zona DNS recomendados para los puntos de conexión privados para un área de trabajo de Azure Monitor son:
Recurso | Recurso secundario de destino | Nombre de zona |
---|---|---|
Área de trabajo de Azure Monitor | prometheusMetrics | privatelink.<region>.prometheus.monitor.azure.com |
Para más información sobre cómo configurar su propio servidor DNS para que admita puntos de conexión privados, consulte los artículos siguientes:
- Resolución de nombres de recursos en redes virtuales de Azure
- Configuración de DNS para puntos de conexión privados
Precios
Para más información sobre los precios, consulte Precios de Azure Private Link.
Problemas conocidos
Tenga en cuenta los siguientes problemas conocidos relacionados con los puntos de conexión privados para el área de trabajo de Azure Monitor.
Restricciones de acceso al área de trabajo para los clientes de redes virtuales con puntos de conexión privados
Los clientes de redes virtuales con puntos de conexión privados se enfrentan a ciertas restricciones al acceder a otras área de trabajo de Azure Monitor que tienen puntos de conexión privados. Por ejemplo, imagine que la red virtual N1 tiene un punto de conexión privado para un área de trabajo A1. Si el área de trabajo A2 tiene un punto de conexión privado en una red virtual N2, los clientes de la red virtual N1 también deben acceder al área de trabajo de la cuenta A2 mediante un punto de conexión privado. Si el área de trabajo A2 no tiene ningún punto de conexión privado configurado, los clientes de la red virtual N1 pueden consultar datos de esa área de trabajo sin un punto de conexión privado.
Esta restricción es el resultado de los cambios de DNS realizados cuando el área de trabajo A2 crea un punto de conexión privado.