Compartir vía


Configuración de Private Link para Azure Monitor

En este artículo se proporcionan detalles paso a paso para crear y configurar un ámbito de Private Link (AMPLS) de Azure Monitor mediante Azure Portal. También se incluyen en el artículo métodos alternativos para trabajar con AMPLS mediante la CLI, PowerShell y las plantillas de ARM.

La configuración de una instancia de Azure Private Link requiere los siguientes pasos. Cada uno de estos pasos se detallan en las secciones siguientes.

  • Creación de un ámbito de Private Link de Azure Monitor (AMPLS).
  • Conecte los recursos a AMPLS.
  • Conectar AMPLS a un punto de conexión privado.
  • Configuración del acceso a los recursos de AMPLS.

En este artículo se revisa cómo se realiza la configuración a través del Azure Portal. Proporciona un ejemplo de plantilla de Azure Resource Manager (plantilla de ARM) para automatizar el proceso.

  1. En el menú Monitor de Azure Portal, seleccione Ámbitos de Private Link y, a continuación, Crear.

    Captura de pantalla que muestra la opción de crear un ámbito de Private Link de Azure Monitor.

  2. Seleccione una suscripción y un grupo de recursos y asigne un nombre descriptivo al AMPLS, como AppServerProdTelem.

  3. Seleccione Revisar + crear.

    Captura de pantalla que muestra la creación de un ámbito de Private Link de Azure Monitor.

  4. Deje que se supere la validación y seleccione Crear.

Conecte los recursos a AMPLS

  1. Desde el menú de AMPLS, seleccione Recursos de Azure Monitor y luego Agregar.

  2. Seleccione el componente y seleccione Aplicar para agregarlo al ámbito. Solo están disponibles los recursos de Azure Monitor, incluidas las áreas de trabajo de Log Analytics, componentes de Application Insights y los puntos de conexión de recopilación de datos (DCE).

    Captura de pantalla que muestra la selección de un ámbito.

Nota:

La eliminación de recursos de Azure Monitor requiere que se desconecten primero de cualquier objeto AMPLS al que estén conectados. No es posible eliminar recursos conectados a un objeto AMPLS.

Conectar AMPLS a un punto de conexión privado

Cuando los recursos conectados a su AMPLS, puede crear a un punto de conexión privado para conectar su red.

  1. Desde el menú de AMPLS, seleccione Conexiones de punto de conexión privado y, a continuación, Punto de conexión privado. Aquí también puede aprobar las conexiones que se iniciaron en el Private Link Center seleccionándolas y, después, seleccionando Aprobar.

    Captura de pantalla que muestra las conexiones de punto de conexión privado.

  2. Pestaña Aspectos básicos

    1. Seleccione la suscripción y el grupo de recursos y escriba un nombre para el punto de conexión y un nombre de interfaz de red.
    2. Seleccione la región en la que deba crearse el punto de conexión privado. La región debe ser la misma región que la red virtual a la que la conectará.

    Captura de pantalla en la que se muestra la pestaña Aspectos básicos para Crear un punto de conexión privado.

  3. Pestaña Recurso

    1. Seleccione la suscripción que contiene el recurso de ámbito de Private Link de Azure Monitor.
    2. Para Tipo de recurso, seleccione Microsoft.insights/privateLinkScopes.
    3. En la lista desplegable Recurso, seleccione el ámbito de Private Link que creó.

    Captura de pantalla que muestra la página Crear un punto de conexión privado en el Azure Portal con la pestaña Recurso seleccionada.

  4. Pestaña Red virtual

    1. Seleccione la red virtual y la subred a las que desea conectar los recursos de Azure Monitor.
    2. En Directiva de red para puntos de conexión privados, seleccione Editar si desea aplicar grupos de seguridad de red o Tablas de rutas a la subred que contiene el punto de conexión privado. Para más detalles, consulte Administración de directivas de red para puntos de conexión privados.
    3. En Configuración de IP privada, Asignar dirección IP de forma dinámica está seleccionado de manera predeterminada. Si desea asignar una dirección IP estática, seleccione Asignar dirección IP de forma estática y, a continuación, escriba un nombre y una IP privada.
    4. Opcionalmente, seleccione o cree un grupo de seguridad de la aplicación. Puede usar los grupos de seguridad de la aplicación para agrupar máquinas virtuales y definir directivas de seguridad de red basadas en dichos grupos.

    Captura de pantalla de la página Crear un punto de conexión privado en el Azure Portal con la pestaña Red virtual seleccionada.

  5. Pestaña DNS

    1. Seleccione para Integrar con la zona DNS privada, que creará automáticamente una nueva zona DNS privada. Las zonas DNS reales pueden ser diferentes de las que se muestran en la captura de pantalla siguiente.

    Nota:

    Si seleccione No y prefiere gestionar los registros DNS manualmente, primero termine de configurar su vínculo privado. Incluya este punto de conexión privado y la configuración de AMPLS y, a continuación, configure DNS según las instrucciones que se indican en Configuración de DNS para puntos de conexión privados de Azure. Asegúrese de no crear registros vacíos como preparación para la configuración de vínculo privado. Los registros de DNS que se crean pueden invalidar la configuración existente y afectar la conectividad con Azure Monitor.

    Tanto si selecciona como No y usa sus propios servidores DNS personalizados, deberá configurar los reenviadores condicionales para los reenviadores de zona DNS públicos mencionados en Configuración de DNS de punto de conexión privado de Azure. Los reenviadores condicionales deben reenviar las consultas DNS a Azure DNS.

    Captura de pantalla de la página Crear un punto de conexión privado en el Azure Portal con la pestaña DNS seleccionada.

  6. Pestaña Revisar y crear

    1. Una vez pasada la validación, seleccione Crear.

Configuración del acceso a los recursos de AMPLS

Desde el menú de AMPLS, seleccione Aislamiento de red para controlar qué redes pueden acceder al recurso mediante un vínculo privado y si otras redes pueden hacerlo o no.

Captura de pantalla que muestra el aislamiento de red.

AMPLS conectados

Esta pantalla permite revisar y configurar las conexiones del recurso a AMPLS. La conexión a un AMPLS permite que el tráfico desde la red virtual conectada para llegar al recurso. Tiene el mismo efecto que realizar la conexión desde el ámbito descrito en Conexión de recursos de Azure Monitor.

Para agregar una nueva conexión, seleccione Agregar y seleccione AMPLS. El recurso puede conectarse a cinco objetos AMPLS, como se describe en límites de AMPLS.

Configuración de acceso a redes virtuales

Esta configuración controla el acceso desde redes públicas no conectadas a los ámbitos enumerados. Esto incluye el acceso a registros, métricas y el flujo de métricas en directo. También incluye experiencias integrada sobre estos datos, como libros, paneles, experiencias de cliente basadas en API de consulta y conclusiones en el Azure Portal. Las experiencias que se ejecutan fuera de Azure Portal y que consultan datos de Log Analytics también se deben ejecutar dentro de la red virtual vinculada privada.

  • Si establece Aceptar la ingesta de datos desde redes públicas no conectadas por un ámbito de Private Link en No, los clientes como máquinas o SDK de fuera de los ámbitos conectados no podrán cargar datos ni enviar registros al recurso.
  • Si establece Aceptar las consultas desde redes públicas no conectadas por un ámbito de Private Link en No, los clientes como máquinas, o SDK de fuera de los ámbitos conectados no podrán consultar datos en el recurso.

Trabajar con AMPLS mediante la CLI

Creación de un AMPLS con modos de acceso abierto

El siguiente comando de la CLI crea un nuevo recurso de AMPLS llamado "my-scope", con los modos de acceso de consulta y de ingesta establecidos en Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Establecer marcas de acceso a recursos

Para administrar las marcas de acceso del área de trabajo o el componente, use las marcas [--ingestion-access {Disabled, Enabled}] y [--query-access {Disabled, Enabled}] en az monitor log-analytics workspace o az monitor app-insights component.

Trabajar con AMPLS mediante PowerShell

Crear un AMPLS

El siguiente script de PowerShell crea un nuevo recurso AMPLS llamado"my-scope", con el modo de acceso de consulta establecido en Open pero los modos de acceso de ingestión establecidos en PrivateOnly. Esta configuración significa que permitirá la ingesta solo en los recursos de AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Establecer modo de acceso de AMPLS

Use el siguiente código de PowerShell Para establecer las marcas del modo de acceso en AMPLS, una vez creado.

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

Plantillas de ARM

Crear un AMPLS

La siguiente plantilla de ARM realiza lo siguiente:

  • AMPLS denominado "my-scope", con los modos de acceso de consulta e ingesta establecidos en Open.
  • Un área de trabajo de Log Analytics denominada "my-workspace".
  • Agrega un recurso con ámbito al "my-scope" AMPLS denominado "my-workspace-connection".
{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Revisar y validar la configuración AMPLS

Siga los pasos de esta sección para revisar y validar la configuración de vínculo privado.

Revisar la configuración de DNS del punto de conexión

El punto de conexión privado creado en este artículo no debería tener las siguientes zonas DNS configuradas:

  • privatelink.monitor.azure.com
  • privatelink.oms.opinsights.azure.com
  • privatelink.ods.opinsights.azure.com
  • privatelink.agentsvc.azure-automation.net
  • privatelink.blob.core.windows.net

Cada una de estas zonas asigna puntos de conexión de Azure Monitor específicos a direcciones IP privadas desde el grupo de direcciones IP de la red virtual. Las direcciones IP que se muestran en las imágenes siguientes son solo ejemplos. En su lugar, la configuración debería mostrar direcciones IP privadas de su propia red.

privatelink-monitor-azure-com

Esta zona abarca los puntos de conexión globales que usa Azure Monitor, es decir, los puntos de conexión que atienden solicitudes a nivel global o regional, no solicitudes específicas de los recursos. Esta zona debe tener puntos de conexión asignados para lo siguiente:

  • in.ai: punto de conexión de ingesta de Application Insights (una entrada global y una regional).
  • api: punto de conexión de Application Insights y API de Log Analytics.
  • live: punto de conexión de métricas en directo de Application Insights.
  • generador de perfiles: Application Insights Profiler para el punto de conexión de .NET.
  • snapshot: punto de conexión de instantánea de Application Insights.
  • diagservices-query: Application Insights Profiler para .NET y Snapshot Debugger (se usa para acceder a los resultados del generador de perfiles o depurador en Azure Portal).

Esta zona también abarca los puntos de conexión específicos del recurso para los siguientes DCE:

  • <unique-dce-identifier>.<regionname>.handler.control: punto de conexión de configuración privado, parte de un recurso DCE.

  • <unique-dce-identifier>.<regionname>.ingest: punto de conexión de ingesta privado, parte de un recurso DCE.

    Captura de pantalla de la zona DNS privada monitor-azure-com.

Puntos de conexión de Log Analytics

Log Analytics usa las siguientes cuatro zonas DNS:

  • privatelink-oms-opinsights-azure-com: cubre la asignación específica del área de trabajo a los puntos de conexión de OMS. Debería ver una entrada para cada área de trabajo vinculada al AMPLS conectado a este punto de conexión privado.
  • privatelink-ods-opinsights-azure-com: cubre la asignación específica del área de trabajo a los puntos de conexión de ODS, que son puntos de conexión de ingesta de Log Analytics. Debería ver una entrada para cada área de trabajo vinculada al AMPLS conectado a este punto de conexión privado.
  • privatelink-agentsvc-azure-automation-net*: cubre la asignación específica del área de trabajo a los puntos de conexión de automatización del servicio del agente. Debería ver una entrada para cada área de trabajo vinculada al AMPLS conectado a este punto de conexión privado.
  • privatelink-blob-core-windows-net: configura la conectividad con la cuenta de almacenamiento de paquetes de soluciones de los agentes globales. A través de ella, los agentes pueden descargar paquetes de soluciones nuevos o actualizados, que también son conocidos como módulos de administración. Solo se necesita una entrada para controlar los agentes de Log Analytics, independientemente del número de áreas de trabajo que se utilicen. Esta entrada solo se agrega a las configuraciones de vínculos privados creadas a partir del 19 de abril de 2021 (o a partir de junio de 2021 en nubes soberanas de Azure).

En la captura de pantalla siguiente se muestran los puntos de conexión asignados para un AMPLS con dos áreas de trabajo en el Este de EE. UU. y una en el Oeste de Europa. Observe que las áreas de trabajo del Este de EE. UU. comparten las direcciones IP. El punto de conexión del área de trabajo del Oeste de Europa está asignado a una dirección IP diferente. El punto de conexión del blob está configurado, pero no aparece en esta imagen.

Captura de pantalla de los puntos de conexión comprimidos de vínculo privado.

Validar la comunicación en AMPLS

  • Para validar que las solicitudes ya se envían a través del punto de conexión privado, revíselas con su explorador o con una herramienta de seguimiento de red. Por ejemplo, al intentar consultar el área de trabajo o la aplicación, asegúrese de que la solicitud se envía a la dirección IP privada asignada al punto de conexión de la API. En este ejemplo, es 172.17.0.9.

    Nota:

    Algunos exploradores pueden usar otras configuraciones de DNS. Para obtener más información, consulte Configuración de DNS de explorador. Asegúrese de que se aplica la configuración de DNS.

  • Para asegurarse de que las áreas de trabajo o los componentes no reciben solicitudes de redes públicas (no conectadas por medio de AMPLS), establezca la ingesta pública del recurso y las marcas de consulta en No, como se explica en Configuración del acceso a los recursos.

  • Desde un cliente de la red protegida, use nslookup para cualquiera de los puntos de conexión enumerados en las zonas DNS. El servidor DNS debe resolverlo en las direcciones IP privadas asignadas en lugar de las direcciones IP públicas que se usan de manera predeterminada.

Pruebas de manera local

Para probar los vínculos privados localmente sin afectar a otros clientes de la red, asegúrese de no actualizar el DNS al crear el punto de conexión privado. En su lugar, edite el archivo de hosts en la máquina para que envíe solicitudes a los puntos de conexión de vínculo privado:

  • Configure una instancia de vínculo privado, pero, al conectarla a un punto de conexión privado, elija la opción para no integrarla automáticamente con el DNS.
  • Configure los puntos de conexión pertinentes en los archivos de hosts de las máquinas.

Configuración adicional

Tamaño de subred de la red

La subred IPv4 más pequeña admitida es /27 con definiciones de subred CIDR. Aunque las redes virtuales de Azure pueden ser tan pequeñas como /29, Azure reserva cinco direcciones IP. La configuración del vínculo privado de Azure Monitor requiere al menos 11 direcciones IP más, incluso si se conecta a una sola área de trabajo. Revise la configuración de DNS del punto de conexión para obtener la lista de puntos de conexión de vínculo privado de Azure Monitor.

Azure portal

Para usar las experiencias del portal de Azure Monitor para Application Insights, Log Analytics y DCE, permita que se pueda acceder a las extensiones de Azure Portal y Azure Monitor en las redes privadas. Agregue las etiquetas de servicio AzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstParty y AzureFrontdoor.Frontend al grupo de seguridad de red.

Acceso mediante programación

Para usar la API REST, la CLI de Azure o PowerShell con Azure Monitor en redes privadas, agregue las etiquetas de servicio AzureActiveDirectory y AzureResourceManager al firewall.

Configuración de DNS del explorador

Si se va a conectar a los recursos de Azure Monitor a través de un vínculo privado, el tráfico a estos recursos debe pasar por el punto de conexión privado que está configurado en la red. Para habilitar el extremo privado, actualice la configuración de DNS tal como se describe en Conectarse a un punto de conexión privado. Algunos exploradores usan su propia configuración de DNS en lugar de las que se establecen. Es posible que el explorador intente conectarse a los puntos de conexión públicos de Azure Monitor y omitir por completo el vínculo privado. Compruebe que la configuración de su explorador no invalide ni guarde en caché la configuración de DNS anterior.

Limitación de consultas: operador externaldata

  • No se admite el operador externaldata a través de un vínculo privado, ya que lee los datos de las cuentas de almacenamiento, pero no garantiza que se tenga acceso al almacenamiento de forma privada.
  • El proxy de Azure Data Explorer (proxy ADX) permite que las consultas de registro consulten a Azure Data Explorer. El proxy ADX no es compatible por medio de un vínculo privado, ya que no garantiza el acceso privado al recurso de destino.

Pasos siguientes

Para crear y administrar ámbitos de Private Link, use la API REST o la CLI de Azure (az monitor private-link-scope).