Configurer une liaison privée pour Azure Monitor
Cet article fournit des détails pas à pas pour créer et configurer une étendue de liaison privée Azure Monitor (AMPLS) en utilisant le portail Azure. L’article présente également d’autres méthodes pour travailler avec AMPLS en utilisant l’interface CLI, PowerShell et des modèles ARM.
La configuration d’une instance Azure Private Link nécessite les étapes suivantes. Chacune de ces étapes est détaillée dans les sections ci-dessous.
- Créer une étendue de liaison privée Azure Monitor (AMPLS).
- Connecter des ressources à l’AMPLS.
- Connecter l’AMPLS à un point de terminaison privé.
- Configurer l’accès aux ressources de l’AMPLS.
Cet article passe en revue la façon dont la configuration est effectuée via le Portail Azure. Il fournit un exemple de modèle Azure Resource Manager Azure (modèle ARM) pour automatiser le processus.
Créer une étendue de liaison privée Azure Monitor (AMPLS)
Dans le menu Surveiller du portail Azure, sélectionnez Étendues de liaison privée, puis Créer.
Sélectionnez un abonnement et un groupe de ressources, puis donnez à l’AMPLS un nom explicite, comme AppServerProdTelem.
Sélectionnez Revoir + créer.
Laissez le processus de validation se terminer, puis sélectionnez Créer.
Connecter des ressources à l’AMPLS
Dans le menu de votre AMPLS, sélectionnez Ressources Azure Monitor, puis Ajouter.
Sélectionnez le composant, puis sélectionnez Appliquer pour l’ajouter à votre étendue. Seules des ressources Azure Monitor, notamment les espaces de travail Log Analytics, les composants Application Insights et les points de terminaison de collecte de données sont disponibles.
Notes
Pour supprimer des ressources Azure Monitor, vous devez d’abord les déconnecter des objets AMPLS auxquels elles sont connectées. Vous ne pouvez pas supprimer des ressources connectées à un AMPLS.
Connecter l’AMPLS à un point de terminaison privé
Une fois que des ressources sont connectées à votre AMPLS, vous pouvez créer un point de terminaison privé pour connecter votre réseau.
Dans le menu de votre AMPLS, sélectionnez Connexions de point de terminaison privé, puis Point de terminaison privé. Vous pouvez également approuver ici des connexions qui ont été démarrées dans le Centre Private Link en les sélectionnant, puis en choisissant Approuver.
Onglet Informations de base
- Sélectionnez l’Abonnement et le Groupe de ressources, puis entrez un Nom pour le point de terminaison et un Nom de l’interface réseau.
- Sélectionnez la Région où le point de terminaison privé doit être créé. La région doit être la même que celle du réseau virtuel auquel vous le connectez.
Onglet Ressource
- Sélectionnez l’Abonnement qui contient votre ressource Étendue de liaison privée Azure Monitor.
- Pour le Type de ressource, sélectionnez Microsoft.insights/privateLinkScopes.
- Dans la liste déroulante Ressource, sélectionnez l’étendue de liaison privée que vous avez créée.
Onglet Réseau virtuel
- Sélectionnez le Réseau virtuel et le Sous-réseau que vous voulez connecter à vos ressources Azure Monitor.
- Pour Stratégie réseau pour les points de terminaison privés, sélectionnez Modifier si vous voulez appliquer des groupes de sécurité réseau ou des tables de routage au sous-réseau qui contient le point de terminaison privé. Pour plus d’informations, consultez Gérer les stratégies réseau pour les points de terminaison privés.
- Pour Configuration d’adresse IP privée, Allouer dynamiquement l’adresse IP est sélectionnée par défaut. Si vous voulez affecter une adresse IP statique, sélectionnez Allouer statiquement l’adresse IP, puis entrez un nom et une adresse IP privée.
- Si vous le souhaitez, vous pouvez sélectionner ou créer un Groupe de sécurité d’application. Vous pouvez utiliser des groupes de sécurité d’application pour regrouper des machines virtuelles et définir des stratégies de sécurité réseau basées sur ces groupes.
Onglet DNS
- Sélectionnez Oui pour Intégrer à une zone DNS privée, ce qui va automatiquement créer une zone DNS privée. Les zones DNS réelles peuvent être différentes de ce qui est affiché dans la capture d’écran suivante.
Notes
Si vous sélectionnez Non et que vous préférez gérer manuellement des enregistrement DNS, terminez d’abord la configuration de votre liaison privée. Incluez ce point de terminaison privé et la configuration de l’AMPLS, puis configurez votre DNS conformément aux instructions de Configuration DNS d’un point de terminaison privé Azure. Veillez à ne pas créer d’enregistrements vides en préparation de votre configuration de liaison privée. Les enregistrements DNS que vous créez peuvent remplacer les paramètres existants et affecter votre connectivité avec Azure Monitor.
Si vous sélectionnez Oui ou Non et que vous utilisez vos propres serveurs DNS personnalisés, vous devez configurer des redirecteurs conditionnels pour les redirecteurs de la zone DNS publics mentionnés dans la Configuration DNS des points de terminaison privés Azure. Les redirecteurs conditionnels doivent transférer les requêtes DNS vers Azure DNS.
Onglet Vérifier + créer
- Une fois la validation réussie, sélectionnez Créer.
Configurer l’accès aux ressources de l’AMPLS
Dans le menu de votre AMPLS, sélectionnez Isolement réseau pour contrôler quels réseaux peuvent atteindre la ressource via une liaison privée, et si d’autres réseaux peuvent l’atteindre ou non.
AMPLS connectée
Cet écran vous permet d’examiner et de configurer les connexions de la ressource à l’AMPLS. La connexion à une AMPLS permet au trafic provenant du réseau virtuel connecté d’atteindre la ressource. Elle a le même effet que si elle était connectée depuis l’étendue décrite dans Connecter des ressources Azure Monitor.
Pour ajouter une nouvelle connexion, sélectionnez Ajouter, puis sélectionnez l’étendue AMPLS. Votre ressource peut se connecter à cinq objets AMPLS, comme décrit dans Limites d’AMPLS.
Configuration de l’accès des réseaux virtuels
Ces paramètres contrôlent l’accès depuis des réseaux publics non connectés aux étendues listées. Ceci inclut l’accès aux journaux, aux métriques et au flux de métriques en direct. Il inclut également des expériences basées sur ces données, comme des classeurs, des tableaux de bord, des expériences client basées sur une API de requête et des insights dans le portail Azure. Les expériences qui s’exécutent en dehors du Portail Azure et qui interrogent des données Log Analytics doivent également être exécutées au sein du réseau virtuel connecté par liaison privée.
- Si vous définissez Accepter l’ingestion des données à partir de réseaux publics non connectés via une étendue de liaison privée sur Non, les clients comme les machines ou les Kits de développement logiciel (SDK) en dehors des étendues connectées ne peuvent pas charger de données ni envoyer des journaux à la ressource.
- Si vous définissez Accepter les requêtes des réseaux publics non connectés via une étendue de liaison privée sur Non, les clients comme les machines ou les Kits de développement logiciel (SDK) en dehors des étendues connectées ne peuvent pas interroger de données dans la ressource.
Utiliser des AMPLS avec l’interface CLI
Créer une AMPLS avec les modes d’accès Ouvert
La commande CLI suivante crée une ressource AMPLS appelée "my-scope", avec les modes d’accès requête et ingestion définis sur Open.
az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"
Définir les drapeaux d'accès aux ressources
Pour gérer l’indicateur d’accès au réseau sur votre espace de travail ou composant, utilisez les indicateurs [--ingestion-access {Disabled, Enabled}] et [--query-access {Disabled, Enabled}] sur l’espace de travail az monitor log-analytics ou le composant az monitor app-insights.
Utiliser des AMPLS avec PowerShell
Créer une AMPLS
Le script PowerShell suivant crée une ressource AMPLS appelée "my-scope", avec le mode d’accès de requête défini sur Open, mais avec les modes d’accès de l’ingestion définis sur PrivateOnly. Ce paramètre signifie qu’il autorise l’ingestion uniquement aux ressources de l’étendue AMPLS.
# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
accessModeSettings = @{
queryAccessMode = "Open";
ingestionAccessMode = "PrivateOnly"
}
}
# login
Connect-AzAccount
# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId
# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force
Définir les modes d’accès d’une AMPLS
Utilisez le code PowerShell suivant pour définir les indicateurs de mode d’accès sur votre AMPLS après sa création.
# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"
# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force
Modèles ARM
Créer une AMPLS
Le modèle ARM suivant effectue les opérations suivantes :
- Une étendue AMPLS appelée
"my-scope", avec les modes d’accès de requête et d’ingestion définis surOpen. - Un nom d’espace de travail Log Analytics appelé
"my-workspace". - Il ajoute une ressource délimitée à l’AMPLS
"my-scope"nommée"my-workspace-connection".
{
"$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
"contentVersion": "1.0.0.0",
"parameters": {
"private_link_scope_name": {
"defaultValue": "my-scope",
"type": "String"
},
"workspace_name": {
"defaultValue": "my-workspace",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "microsoft.insights/privatelinkscopes",
"apiVersion": "2021-07-01-preview",
"name": "[parameters('private_link_scope_name')]",
"location": "global",
"properties": {
"accessModeSettings":{
"queryAccessMode":"Open",
"ingestionAccessMode":"Open"
}
}
},
{
"type": "microsoft.operationalinsights/workspaces",
"apiVersion": "2020-10-01",
"name": "[parameters('workspace_name')]",
"location": "westeurope",
"properties": {
"sku": {
"name": "pergb2018"
},
"publicNetworkAccessForIngestion": "Enabled",
"publicNetworkAccessForQuery": "Enabled"
}
},
{
"type": "microsoft.insights/privatelinkscopes/scopedresources",
"apiVersion": "2019-10-17-preview",
"name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
"dependsOn": [
"[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
"[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
],
"properties": {
"linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
}
}
]
}
Vérifier et valider la configuration d’une AMPLS
Suivez les étapes de cette section pour passer en revue et valider votre configuration de liaison privée.
Examiner les paramètres DNS d’un point de terminaison
Le point de terminaison privé créé dans cet article doit avoir les cinq zones DNS suivantes configurées :
privatelink.monitor.azure.comprivatelink.oms.opinsights.azure.comprivatelink.ods.opinsights.azure.comprivatelink.agentsvc.azure-automation.netprivatelink.blob.core.windows.net
Chacune de ces zones mappe des points de terminaison Azure Monitor spécifiques à des adresses IP privées à partir du pool d’adresses IP du réseau virtuel. Les adresses IP figurant dans les images ci-dessous ne sont que des exemples. À la place, votre configuration devrait afficher des adresses IP privées de votre propre réseau.
privatelink-monitor-azure-com
Cette zone couvre les points de terminaison globaux utilisés par Azure Monitor, ce qui signifie que les points de terminaison traitent les requêtes de manière globale/régionale, et non pas les requêtes propres aux ressources. Cette zone doit avoir des points de terminaison mappés pour :
- in.ai : point de terminaison d’ingestion Application Insights (une entrée globale et une entrée régionale).
- api : point de terminaison de l’API Application Insights et Log Analytics.
- live : point de terminaison de métriques en direct Application Insights.
- profiler : point de terminaison d’Application Insights Profiler pour .NET.
- capture instantanée : point de terminaison d’instantané Application Insights.
- diagservices-query : Application Informations Profiler pour .NET et Débogueur de capture instantanée (utilisés lors de l’accès aux résultats du profileur/débogueur dans le Portail Azure).
Cette zone couvre également les points de terminaison spécifiques aux ressources pour les points de terminaison de collecte de données suivants :
<unique-dce-identifier>.<regionname>.handler.control: point de terminaison de configuration privé, faisant partie d’une ressource DCE.<unique-dce-identifier>.<regionname>.ingest: point de terminaison d’ingestion privé, faisant partie d’une ressource DCE.
Points de terminaison Log Analytics
Log Analytics utilise les quatre zones DNS suivantes :
privatelink-oms-opinsights-azure-com: couvre le mappage spécifique de l’espace de travail aux points de terminaison OMS. Vous devriez voir une entrée pour chaque espace de travail lié à l’étendue AMPLS connectée avec ce point de terminaison privé.privatelink-ods-opinsights-azure-com: couvre le mappage spécifique de l’espace de travail aux points de terminaison ODS, qui sont les points de terminaison d’ingestion de Log Analytics. Vous devriez voir une entrée pour chaque espace de travail lié à l’étendue AMPLS connectée avec ce point de terminaison privé.privatelink-agentsvc-azure-automation-net*: couvre le mappage spécifique de l’espace de travail aux points de terminaison d’automatisation du service de l’agent. Vous devriez voir une entrée pour chaque espace de travail lié à l’étendue AMPLS connectée avec ce point de terminaison privé.privatelink-blob-core-windows-net: configure la connectivité au compte de stockage des packs de solutions des agents globaux. Par son intermédiaire, les agents peuvent télécharger des packs de solutions nouveaux ou mis à jour, également appelés packs d’administration. Une seule entrée est requise pour gérer tous les agents Log Analytics, quel que soit le nombre d’espaces de travail utilisés. Cette entrée est uniquement ajoutée aux configurations de liaison privée créées à partir du 19 avril 2021 (ou de juin 2021 sur les clouds souverains Azure).
La capture d’écran suivante montre les points de terminaison mappés pour une étendue AMPLS avec deux espaces de travail dans la région USA Est et un espace de travail dans la région Europe Ouest. Notez que les espaces de travail de la région USA Est partagent les adresses IP. Le point de terminaison de l’espace de travail de la région Europe Ouest est mappé vers une autre adresse IP. Le point de terminaison d’objet blob est configuré, bien qu’il n’apparaisse pas dans cette image.
Valider la communication sur l’AMPLS
Pour vérifier que vos requêtes sont maintenant envoyées via le point de terminaison privé, examinez-les avec votre navigateur ou un outil de suivi du réseau. Par exemple, lorsque vous tentez d’interroger votre espace de travail ou votre application, assurez-vous que la requête est envoyée à l’adresse IP privée mappée au point de terminaison de l’API. Dans cet exemple, il s’agit de 172.17.0.9.
Notes
Certains navigateurs peuvent utiliser d’autres paramètres DNS. Pour en savoir plus, consultez Paramètres DNS du navigateur. Vérifiez que vos paramètres DNS s’appliquent.
Pour veiller à ce que votre espace de travail ou composant ne reçoivent pas de requêtes de réseaux publics (non connectés via l’étendue AMPLS), définissez les indicateurs de requête et d’ingestion publique de la ressource sur Non, comme expliqué dans Configurer l’accès à vos ressources.
À partir d’un client sur votre réseau protégé, utilisez
nslookupsur l’un des points de terminaison répertoriés dans vos zones DNS. La demande devrait être résolue par votre serveur DNS en adresses IP privées mappées au lieu des adresses IP publiques utilisées par défaut.
Tester localement
Pour tester les liaisons privées localement sans affecter les autres clients sur votre réseau, veillez à ne pas mettre à jour votre DNS lorsque vous créez votre point de terminaison privé. Modifiez plutôt le fichier hosts sur votre machine afin qu’il envoie des requêtes aux points de terminaison de liaison privée :
- Configurez une liaison privée. Cependant, quand vous vous connectez à un point de terminaison privé, choisissez de ne pas effectuer une intégration automatique au DNS.
- Configurez les points de terminaison appropriés sur les fichiers hosts de vos machines.
Configuration supplémentaire
Taille de sous-réseau du réseau
Le plus petit sous-réseau IPv4 pris en charge est /27 avec des définitions de sous-réseau CIDR. Bien que les réseaux virtuels Azure puissent être aussi petits qu’un sous-réseau /29, Azure réserve cinq adresses IP. La configuration de la liaison privée Azure Monitor nécessite au moins 11 adresses IP supplémentaires, même si vous vous connectez à un seul espace de travail. Passez en revue les paramètres DNS de votre point de terminaison pour obtenir la liste des points de terminaison de la liaison privée Azure Monitor.
Portail Azure
Pour utiliser les expérience du portail Azure Monitor pour Application Insights, Log Analytics et des points de terminaison de collecte de données, autorisez l’accès au portail Azure et aux extensions Azure Monitor sur les réseaux privés. Ajoutez les étiquettes de service AzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstParty et AzureFrontdoor.Frontend à votre groupe de sécurité réseau.
Accès programmatique
Pour utiliser l’API REST, l’interface Azure CLI ou PowerShell avec Azure Monitor sur des réseaux privés, ajoutez les étiquettes de service AzureActiveDirectory et AzureResourceManager à votre pare-feu.
Paramètres DNS du navigateur
Si vous vous connectez à vos ressources Azure Monitor via une liaison privée, le trafic vers ces ressources doit passer par le point de terminaison privé configuré sur votre réseau. Pour activer le point de terminaison privé, mettez à jour vos paramètres DNS comme décrit dans Se connecter à un point de terminaison privé. Certains navigateurs utilisent leurs propres paramètres DNS à la place de ceux que vous définissez. Le navigateur peut tenter de se connecter à des points de terminaison publics d’Azure Monitor et contourner totalement la liaison privée. Vérifiez que les paramètres de votre navigateur ne remplacent pas ou ne mettent pas en cache d’anciens paramètres DNS.
Limitation d’interrogation : opérateur externaldata
- L’opérateur externaldata n’est pas pris en charge sur une liaison privée, car il lit les données des comptes de stockage mais ne garantit pas que l’accès au stockage est privé.
- Le proxy Azure Data Explorer (proxy ADX) permet aux requêtes de journal d’interroger Azure Data Explorer. Le proxy ADX n’est pas pris en charge sur une liaison privée, car il ne garantit pas l’accès à la ressource cible de manière privée.
Étapes suivantes
- En savoir plus sur le stockage privé pour les journaux personnalisés et les clés gérées par le client (CMK).
- En savoir plus sur les nouveaux points de terminaison de collecte de données.
Pour créer et gérer des étendues de liaisons privées, utilisez l’API REST ou Azure CLI (az monitor private-link-scope).