Configuratie van Azure Monitor Private Link ontwerpen

Wanneer u een Azure Monitor Private Link Scope (AMPLS) maakt, beperkt u de toegang tot Azure Monitor-resources tot alleen de netwerken die zijn verbonden met het privé-eindpunt. Dit artikel bevat richtlijnen voor het ontwerpen van de configuratie van uw Azure Monitor Private Link en andere overwegingen waarmee u rekening moet houden voordat u deze daadwerkelijk implementeert met behulp van de richtlijnen bij Private Link configureren voor Azure Monitor.

AMPLS-limieten

AMPLS-objecten hebben de volgende limieten:

• Een virtueel netwerk kan verbinding maken met slechts één AMPLS-object. Dat betekent dat het AMPLS-object toegang moet bieden tot alle Azure Monitor-resources waartoe het virtuele netwerk toegang moet hebben.
• Een AMPLS-object kan verbinding maken met maximaal 300 Log Analytics-werkruimten en maximaal 1000 Application Insights-onderdelen.
• Een Azure Monitor-resource kan verbinding maken met maximaal vijf AMPLS.
• Een AMPLS-object kan verbinding maken met maximaal 10 privé-eindpunten.

Plannen op netwerktopologie

In de volgende secties wordt beschreven hoe u de configuratie van uw Azure Monitor Private Link plant op basis van uw netwerktopologie.

Vermijd DNS-onderdrukkingen met behulp van één AMPLS

Sommige netwerken bestaan uit meerdere virtuele netwerken of andere verbonden netwerken. Als deze netwerken dezelfde DNS delen, zou het configureren van een privékoppeling op een van deze netwerken de DNS bijwerken en van invloed zijn op verkeer in alle netwerken.

In het volgende diagram maakt virtueel netwerk 10.0.1.x verbinding met AMPLS1, waarmee DNS-vermeldingen worden gemaakt die Azure Monitor-eindpunten toewijzen aan IP-adressen van bereik 10.0.1.x. Later maakt virtueel netwerk 10.0.2.x verbinding met AMPLS2, waardoor dezelfde DNS-vermeldingen worden overschreven door dezelfde globale/regionale eindpunten toe te koppelen aan IP-adressen van het bereik 10.0.2.x. Omdat deze virtuele netwerken niet zijn gekoppeld, kan het eerste virtuele netwerk deze eindpunten nu niet bereiken. Als u dit conflict wilt voorkomen, maakt u slechts één AMPLS-object per DNS.

Hub-and-spoke-netwerken

Hub-and-spoke-netwerken moeten gebruikmaken van één private link-verbinding die is ingesteld op het hubnetwerk (hoofdnetwerk) en niet in elk virtueel spoke-netwerk.

Mogelijk wilt u liever afzonderlijke privékoppelingen maken voor uw virtuele spoke-netwerken, zodat elk virtueel netwerk toegang heeft tot een beperkte set bewakingsbronnen. In dit geval kunt u een toegewezen privé-eindpunt en AMPLS maken voor elk virtueel netwerk. U moet ook controleren of ze niet dezelfde DNS-zones delen om DNS-onderdrukkingen te voorkomen.

Gekoppelde netwerken

Met netwerkpeering kunnen netwerken elkaars IP-adressen delen en waarschijnlijk dezelfde DNS delen. Maak in dit geval één privékoppeling op een netwerk dat toegankelijk is voor uw andere netwerken. Vermijd het maken van meerdere privé-eindpunten en AMPLS-objecten, omdat alleen de laatste set in de DNS van toepassing is.

Geïsoleerde netwerken

Als uw netwerken niet zijn gekoppeld, moet u ook hun DNS scheiden om privékoppelingen te gebruiken. Vervolgens kunt u voor elk netwerk een afzonderlijk privé-eindpunt en een afzonderlijk AMPLS-object maken. Uw AMPLS-objecten kunnen een koppeling maken naar dezelfde werkruimten/onderdelen of naar verschillende.

Een toegangsmodus selecteren

Met toegangsmodi voor privékoppelingen kunt u bepalen hoe privékoppelingen van invloed zijn op uw netwerkverkeer. Welke u selecteert, is essentieel om continu, ononderbroken netwerkverkeer te garanderen.

Toegangsmodi kunnen van toepassing zijn op alle netwerken die zijn verbonden met uw AMPLS of op specifieke netwerken die ermee zijn verbonden. Toegangsmodi worden afzonderlijk ingesteld voor opname en query's. U kunt bijvoorbeeld de modus Alleen privé instellen voor opname en de modus Openen voor query's.

Belangrijk

Log Analytics-opname maakt gebruik van resourcespecifieke eindpunten, zodat deze niet voldoet aan de AMPLS-toegangsmodi. Om ervoor te zorgen dat Log Analytics-opnameaanvragen geen toegang hebben tot werkruimten uit de AMPLS, stelt u de netwerkfirewall in om verkeer naar openbare eindpunten te blokkeren, ongeacht de AMPLS-toegangsmodi.

Modus Alleen privétoegang

Met deze modus kan het virtuele netwerk alleen resources voor privékoppelingen in de AMPLS bereiken. Dit is de veiligste optie en voorkomt exfiltratie van gegevens door verkeer van de AMPLS naar Azure Monitor-resources te blokkeren.

Open de toegangsmodus

Met deze modus kan het virtuele netwerk zowel private link-resources als resources bereiken die niet in de AMPLS voorkomen (als ze verkeer van openbare netwerken accepteren). De open-toegangsmodus voorkomt geen gegevensexfiltratie, maar biedt nog steeds de andere voordelen van privékoppelingen. Verkeer naar privékoppelingsbronnen wordt verzonden via privé-eindpunten voordat het wordt gevalideerd en vervolgens verzonden via de Microsoft-backbone. De modus Openen is handig voor gemengde modus waarbij sommige resources openbaar worden geopend en andere via een privékoppeling worden geopend. Het kan ook nuttig zijn tijdens een geleidelijk onboardingproces.

Belangrijk

Wees voorzichtig wanneer u de toegangsmodus selecteert. Als u de modus Alleen privétoegang gebruikt, wordt verkeer naar resources geblokkeerd die niet in de AMPLS voorkomen in alle netwerken die dezelfde DNS delen, ongeacht het abonnement of de tenant. Als u niet alle Azure Monitor-resources aan de AMPLS kunt toevoegen, voegt u eerst geselecteerde resources toe en past u de open-toegangsmodus toe. Schakel over naar de modus Alleen privé voor maximale beveiliging nadat u alle Azure Monitor-resources aan uw AMPLS hebt toegevoegd.

Toegangsmodi instellen voor specifieke netwerken

De toegangsmodi die zijn ingesteld op de AMPLS-resource zijn van invloed op alle netwerken, maar u kunt deze instellingen voor specifieke netwerken overschrijven.

In het volgende diagram gebruikt VNet1 de modus Openen en VNet2 maakt gebruik van de modus Alleen privé. Aanvragen van VNet1 kunnen werkruimte 1 en onderdeel 2 bereiken via een privékoppeling. Aanvragen kunnen component 3 alleen bereiken als het verkeer van openbare netwerken accepteert. VNet2-aanvragen kunnen component 3 niet bereiken.

Netwerktoegang tot AMPLS-resources beheren

Azure Monitor-onderdelen kunnen worden ingesteld op:

• Opname van openbare netwerken accepteren of blokkeren (netwerken die niet zijn verbonden met de resource-AMPLS).
• Accepteer of blokkeer query's van openbare netwerken (netwerken die niet zijn verbonden met de resource-AMPLS).

Met deze granulariteit kunt u toegang per werkruimte instellen op basis van uw specifieke behoeften. U kunt bijvoorbeeld alleen opname accepteren via met private link verbonden netwerken, maar er nog steeds voor kiezen om query's van alle netwerken, openbaar en privé te accepteren.

Notitie

Het blokkeren van query's vanuit openbare netwerken betekent dat clients zoals machines en SDK's buiten de verbonden AMPLS geen query's kunnen uitvoeren op gegevens in de resource. Deze gegevens omvatten logboeken, metrische gegevens en de live metrische gegevensstroom. Het blokkeren van query's vanuit openbare netwerken is van invloed op alle ervaringen die deze query's uitvoeren, zoals werkmappen, dashboards, inzichten in Azure Portal en query's die worden uitgevoerd buiten Azure Portal.

Hier volgen uitzonderingen op deze netwerktoegang:

• Diagnostische logboeken. Logboeken en metrische gegevens die vanuit een diagnostische instelling naar een werkruimte worden verzonden, zijn via een beveiligd privé-Microsoft-kanaal en worden niet beheerd door deze instellingen.
• Aangepaste metrische gegevens of metrische gegevens van Azure Monitor-gasten. Aangepaste metrische gegevens die vanuit de Azure Monitor-agent worden verzonden , worden niet beheerd door DCE's en kunnen niet worden geconfigureerd via privékoppelingen.

Notitie

Query's die via de Resource Manager-API worden verzonden, kunnen geen privékoppelingen van Azure Monitor gebruiken. Deze query's kunnen alleen toegang krijgen als de doelresource query's van openbare netwerken toestaat.

De volgende ervaringen zijn bekend om query's uit te voeren via de Resource Manager-API:

• Logica App-connector
• Oplossing voor updatebeheer
• Traceringsoplossingen wijzigen
• VM Insights
• Container Insights
• Deelvenster Samenvatting van Log Analytics-werkruimte (afgeschaft) (waarin het oplossingsdashboard wordt weergegeven)

Speciale overwegingen

Analyses van toepassingen

• Voeg resources toe die als host fungeren voor de bewaakte workloads aan een privékoppeling. Zie Bijvoorbeeld Het gebruik van privé-eindpunten voor Azure Web App.
• Niet-portalverbruikservaringen moeten ook worden uitgevoerd op het privé-gekoppelde virtuele netwerk dat de bewaakte workloads bevat.
• Geef uw eigen opslagaccount op ter ondersteuning van privékoppelingen voor .NET Profiler en Foutopsporingsprogramma.

Notitie

Als u Application Insights op basis van een werkruimte volledig wilt beveiligen, vergrendelt u de toegang tot de Application Insights-resource en de onderliggende Log Analytics-werkruimte.

Beheerd Prometheus

• De opname-instellingen van Private Link worden gemaakt met BEHULP van AMPLS en instellingen op de DCE's (Gegevensverzamelingseindpunten) die verwijzen naar de Azure Monitor-werkruimte die wordt gebruikt voor het opslaan van metrische prometheus-gegevens.
• Private Link-queryinstellingen worden rechtstreeks gemaakt in de Azure Monitor-werkruimte die wordt gebruikt voor het opslaan van metrische Prometheus-gegevens en worden niet verwerkt met AMPLS.

Volgende stappen

• Meer informatie over het configureren van uw privékoppeling.
• Meer informatie over privéopslag voor aangepaste logboeken en door de klant beheerde sleutels.
• Meer informatie over Private Link voor Automatisering.