Usare Collegamento privato di Azure per connettere le reti a Monitoraggio di Azure

Con Collegamento privato di Azure è possibile accedere alle risorse Platform as a Service (PaaS) di Azure nella rete virtuale usando endpoint privati. I collegamenti privati di Monitoraggio di Azure sono strutturati in modo diverso dai collegamenti privati ad altri servizi. Questo articolo descrive i principi principali dei collegamenti privati di Monitoraggio di Azure e il relativo funzionamento.

I vantaggi dell'uso di collegamento privato con Monitoraggio di Azure includono quanto segue. Per altri vantaggi, vedere Vantaggi principali di collegamento privato.

• Connettersi privatamente a Monitoraggio di Azure senza consentire l'accesso alla rete pubblica. Assicurarsi che l'accesso ai dati di monitoraggio avvenga solo tramite reti private autorizzate.
• Impedire l'esfiltrazione di dati dalle reti private definendo specifiche risorse di Monitoraggio di Azure che si connettono tramite l'endpoint privato.
• Connettere in modo sicuro la rete locale privata a Monitoraggio di Azure usando Azure ExpressRoute e il Collegamento privato.
• Mantenere tutto il traffico all'interno della rete backbone di Azure.

Concetti fondamentali

Anziché creare un collegamento privato per ogni risorsa a cui si connette la rete virtuale, Monitoraggio di Azure usa una singola connessione di collegamento privato usando un endpoint privato dalla rete virtuale a un ambito di monitoraggio di Azure collegamento privato (AMPLS). AMPLS è un set di risorse di Monitoraggio di Azure che definiscono i limiti della rete di monitoraggio.

Gli aspetti rilevanti dell'AMPLS includono quanto segue:

• Usa indirizzi IP privati: l'endpoint privato nella rete virtuale consente di raggiungere gli endpoint di Monitoraggio di Azure tramite indirizzi IP privati dal pool della rete anziché usare gli indirizzi IP pubblici di questi endpoint. In questo modo è possibile continuare a usare le risorse di Monitoraggio di Azure senza aprire la rete virtuale per annullare il traffico in uscita.
• Viene eseguito nel backbone di Azure: il traffico dall'endpoint privato alle risorse di Monitoraggio di Azure passa al backbone di Azure e non viene instradato alle reti pubbliche.
• Controlla quali risorse di Monitoraggio di Azure possono essere raggiunte: configurare se consentire il traffico solo per collegamento privato risorse o per le risorse sia collegamento privato che non private-link all'esterno di AMPLS.
• Controlla l'accesso di rete alle risorse di Monitoraggio di Azure: configurare ognuna delle aree di lavoro o dei componenti per accettare o bloccare il traffico dalle reti pubbliche, usando potenzialmente impostazioni diverse per l'inserimento dati e le richieste di query.

Zone DNS

Quando si crea un ampls, le zone DNS eseguono il mapping degli endpoint di Monitoraggio di Azure agli indirizzi IP privati per inviare il traffico tramite il collegamento privato. Monitoraggio di Azure usa endpoint specifici delle risorse e endpoint globali/regionali condivisi per raggiungere le aree di lavoro e i componenti nell'AMPLS.

Poiché Monitoraggio di Azure usa alcuni endpoint condivisi, la configurazione di un collegamento privato anche per una singola risorsa modifica la configurazione DNS che influisce sul traffico verso tutte le risorse. L'uso di endpoint condivisi significa anche usare un singolo AMPLS per tutte le reti che condividono lo stesso DNS. La creazione di più risorse AMPLS causerà l'override delle zone DNS di Monitoraggio di Azure e l'interruzione degli ambienti esistenti. Per altri dettagli, vedere Pianificare la topologia di rete.

Endpoint globali e locali condivisi

Quando si configura il Collegamento privato anche per una singola risorsa, il traffico verso gli endpoint seguenti verrà inviato tramite gli indirizzi IP privati allocati:

• Tutti gli endpoint di Application Insights: gli endpoint che gestiscono l'inserimento, le metriche attive, il Profiler e il debugger negli endpoint di Application Insights sono globali.
• L'endpoint di query: l'endpoint che gestisce le query per le risorse di Application Insights e Log Analytics è globale.

Endpoint specifici delle risorse

Gli endpoint di Log Analytics sono specifici dell'area di lavoro, ad eccezione dell'endpoint di query descritto in precedenza. Di conseguenza, l'aggiunta di un'area di lavoro di Log Analytics specifica ad AMPLS invierà richieste di inserimento a questa area di lavoro tramite il collegamento privato. L'inserimento in altre aree di lavoro continuerà a usare gli endpoint pubblici.

Anche gli endpoint di raccolta dati sono specifici delle risorse. È possibile usarle per configurare in modo univoco le impostazioni di inserimento per la raccolta dei dati di telemetria del sistema operativo guest dai computer (o dal set di computer) quando si usa il nuovo Agente di Monitoraggio di Azure e le regole di raccolta dati. La configurazione di un endpoint di raccolta dati per un set di computer non influisce sull'inserimento di dati di telemetria guest da altri computer che usano il nuovo agente.

Passaggi successivi

• Progettare la configurazione del Collegamento privato di Azure.
• Informazioni su come configurare un collegamento privato.
• Informazioni sull'archiviazione privata per i log personalizzati e le chiavi gestite dal cliente.