Uso de Private Link para conectar redes a Azure Monitor

Con Azure Private Link puede vincular de forma segura los recursos de plataforma como servicio (PaaS) de Azure a una red virtual mediante puntos de conexión privados. Los vínculos privados de Azure Monitor se estructuran de forma diferente a los vínculos privados a otros servicios. En este artículo se describen los principios principales de los vínculos privados de Azure Monitor y cómo funcionan.

Entre las ventajas de usar Private Link con Azure Monitor se incluyen las siguientes: Consulte Ventajas clave de Private Link para obtener más ventajas.

• Conéctese de forma privada a Azure Monitor sin permitir el acceso a ninguna red pública. Asegurarse de que solo se accede a los datos de supervisión a través de redes privadas autorizadas.
• Impedir la filtración de datos de las redes privadas mediante la definición de recursos de Azure Monitor específicos que se conectan a través del punto de conexión privado.
• Conectar de forma segura la red local privada a Azure Monitor mediante Azure ExpressRoute y Private Link.
• Mantener todo el tráfico dentro de la red troncal de Azure.

Conceptos básicos

En lugar de crear un vínculo privado para cada recurso al que se conecta la red virtual, Azure Monitor usa una única conexión de vínculo privado mediante un punto de conexión privado de la red virtual a un ámbito de Private Link (AMPLS) de Azure Monitor. AMPLS es un conjunto de recursos de Azure Monitor que definen los límites de la red de supervisión.

Entre los aspectos importantes de AMPLS se incluyen los siguientes:

• Usa direcciones IP privadas: el punto de conexión privado de la red virtual le permite acceder a los puntos de conexión de Azure Monitor a través de direcciones IP privadas desde el grupo de la red en lugar de usar las direcciones IP públicas de estos puntos de conexión. Esto le permite seguir usando los recursos de Azure Monitor sin abrir la red virtual para el tráfico saliente no requerido.
• Ejecución en la red troncal de Azure: el tráfico del punto de conexión privado a los recursos de Azure Monitor pasará por la red troncal de Azure, no se enrutará hacia las redes públicas.
• Controles a los que se pueden acceder los recursos de Azure Monitor: configure si se permite el tráfico solo a los recursos de Private Link o a los recursos que no son de Private Link fuera de AMPLS.
• Controla el acceso de red a los recursos de Azure Monitor: configure cada una de las áreas de trabajo o componentes para aceptar o bloquear el tráfico de redes públicas, lo que podría usar diferentes opciones para las solicitudes de ingesta y consulta de datos.

Zonas DNS

Al crear un AMPLS, las zonas DNS asignan puntos de conexión de Azure Monitor a direcciones IP privadas para enviar tráfico a través del vínculo privado. Azure Monitor usa los puntos de conexión específicos del recurso y los puntos de conexión globales o regionales compartidos para acceder a las áreas de trabajo y los componentes de AMPLS.

Dado que Azure Monitor usa algunos puntos de conexión compartidos, la configuración de un vínculo privado incluso para un único recurso cambia la configuración de DNS que afecta al tráfico a todos los recursos. El uso de puntos de conexión compartidos también significa que se debe utilizar un único AMPLS para todas las redes que comparten el mismo DNS. La creación de varios recursos de AMPLS hará que las zonas DNS de Azure Monitor se invaliden entre sí e interrumpan los entornos existentes. Consulte Planear por topología de red para obtener más información.

Puntos de conexión globales y regionales compartidos

Al configurar Private Link, incluso para un único recurso, el tráfico a los puntos de conexión siguientes se enviará a través de las IP privadas asignadas:

• Todos los puntos de conexión de Application Insights: los puntos de conexión que controlan la ingesta, las métricas en directo, el generador de perfiles y el depurador en los puntos de conexión de Application Insights son globales.
• Punto de conexión de consulta: el punto de conexión que controla las consultas a los recursos de Application Insights y Log Analytics es global.

Puntos de conexión específicos del recurso

Los puntos de conexión de Log Analytics son específicos del área de trabajo, excepto en el caso del punto de conexión de consulta mencionado anteriormente. En consecuencia, al agregar un área de trabajo de Log Analytics específica a AMPLS, se enviarán solicitudes de ingesta a esta área de trabajo a través del vínculo privado. La ingesta en otras áreas de trabajo seguirá usando los puntos de conexión públicos.

Los puntos de conexión de recopilación de datos también son específicos del recurso. Puede usarlos para configurar de forma única las opciones de ingesta para recopilar datos de telemetría del sistema operativo invitado de sus máquinas (o conjunto de máquinas) al usar las nuevas reglas de recopilación de datos y agente de Azure Monitor. La configuración de un punto de conexión de colección de datos para un conjunto de máquinas no afecta a la ingesta de telemetría de invitado proveniente de otras máquinas que usan el agente nuevo.

Pasos siguientes

• Diseño de la configuración de Azure Private Link.
• Aprenda a configurar su vínculo privado.
• Más información sobre el almacenamiento privado para registros personalizados y claves administradas por el cliente.