Udostępnij za pośrednictwem

Używanie usługi Azure Private Link do łączenia sieci z usługą Azure Monitor

  • Artykuł

Usługa Azure Private Link umożliwia bezpieczne łączenie zasobów platformy Azure jako usługi (PaaS) z siecią wirtualną przy użyciu prywatnych punktów końcowych. Linki prywatne usługi Azure Monitor różnią się strukturą od linków prywatnych do innych usług. W tym artykule opisano główne zasady dotyczące linków prywatnych usługi Azure Monitor i sposobu ich działania.

Zalety korzystania z usługi Private Link z usługą Azure Monitor obejmują następujące elementy. Aby uzyskać dalsze korzyści, zobacz Najważniejsze korzyści wynikające z usługi Private Link .

  • Połącz się prywatnie z usługą Azure Monitor bez zezwalania na dostęp do sieci publicznej. Upewnij się, że dane monitorowania są dostępne tylko za pośrednictwem autoryzowanych sieci prywatnych.
  • Zapobiegaj eksfiltracji danych z sieci prywatnych, definiując określone zasoby usługi Azure Monitor łączące się za pośrednictwem prywatnego punktu końcowego.
  • Bezpiecznie połącz prywatną sieć lokalną z usługą Azure Monitor przy użyciu usług Azure ExpressRoute i Private Link.
  • Zachowaj cały ruch wewnątrz sieci szkieletowej platformy Azure.

Podstawowe pojęcia

Zamiast tworzyć łącze prywatne dla każdego zasobu, z którymi łączy się sieć wirtualna, usługa Azure Monitor używa jednego połączenia łącza prywatnego przy użyciu prywatnego punktu końcowego z sieci wirtualnej do zakresu usługi Azure Monitor Private Link (AMPLS). AMPLS to zestaw zasobów usługi Azure Monitor, które definiują granice sieci monitorowania.

Diagram przedstawiający podstawową topologię zasobów.

Istotne aspekty aplikacji AMPLS obejmują następujące elementy:

  • Używa prywatnych adresów IP: prywatny punkt końcowy w sieci wirtualnej umożliwia dostęp do punktów końcowych usługi Azure Monitor za pośrednictwem prywatnych adresów IP z puli sieci zamiast używania publicznych adresów IP tych punktów końcowych. Dzięki temu można nadal korzystać z zasobów usługi Azure Monitor bez otwierania sieci wirtualnej w celu nieodpowiągnionego ruchu wychodzącego.
  • Działa w sieci szkieletowej platformy Azure: ruch z prywatnego punktu końcowego do zasobów usługi Azure Monitor będzie przechodził przez sieć szkieletową platformy Azure i nie będzie kierowany do sieci publicznych.
  • Określa, które zasoby usługi Azure Monitor można uzyskać: skonfiguruj, czy zezwalać na ruch tylko do zasobów usługi Private Link, czy do zasobów usługi Private Link, a nie do zasobów usługi Private Link poza usługą AMPLS.
  • Kontroluje dostęp sieciowy do zasobów usługi Azure Monitor: skonfiguruj każdy z obszarów roboczych lub składników tak, aby akceptował lub blokował ruch z sieci publicznych, potencjalnie używając różnych ustawień pozyskiwania danych i wysyłania zapytań.

Strefy DNS

Podczas tworzenia aplikacji AMPLS strefy DNS mapuje punkty końcowe usługi Azure Monitor na prywatne adresy IP w celu wysyłania ruchu za pośrednictwem łącza prywatnego. Usługa Azure Monitor używa zarówno punktów końcowych specyficznych dla zasobów, jak i udostępnionych globalnych/regionalnych punktów końcowych, aby uzyskać dostęp do obszarów roboczych i składników w usłudze AMPLS.

Ponieważ usługa Azure Monitor używa niektórych udostępnionych punktów końcowych, skonfigurowanie łącza prywatnego nawet dla pojedynczego zasobu zmienia konfigurację DNS, która wpływa na ruch do wszystkich zasobów. Użycie udostępnionych punktów końcowych oznacza również, że należy użyć pojedynczej listy AMPLS dla wszystkich sieci, które współużytkujące ten sam system DNS. Utworzenie wielu zasobów AMPLS spowoduje, że strefy DNS usługi Azure Monitor przesłonią się nawzajem i przerwą istniejące środowiska. Aby uzyskać więcej informacji, zobacz Planowanie według topologii sieci.

Udostępnione globalne i regionalne punkty końcowe

Po skonfigurowaniu usługi Private Link nawet dla pojedynczego zasobu ruch do następujących punktów końcowych będzie wysyłany za pośrednictwem przydzielonych prywatnych adresów IP:

  • Wszystkie punkty końcowe usługi Application Insights: Punkty końcowe obsługujące pozyskiwanie, metryki na żywo, profiler platformy .NET i debuger do punktów końcowych usługi Application Insights są globalne.
  • Punkt końcowy zapytania: punkt końcowy obsługujący zapytania do zasobów usługi Application Insights i usługi Log Analytics jest globalny.

Punkty końcowe specyficzne dla zasobów

Punkty końcowe usługi Log Analytics są specyficzne dla obszaru roboczego, z wyjątkiem punktu końcowego zapytania omówionego wcześniej. W związku z tym dodanie określonego obszaru roboczego usługi Log Analytics do usługi AMPLS spowoduje wysłanie żądań pozyskiwania do tego obszaru roboczego za pośrednictwem łącza prywatnego. Pozyskiwanie do innych obszarów roboczych będzie nadal używać publicznych punktów końcowych.

Punkty końcowe zbierania danych są również specyficzne dla zasobów. Można ich używać do unikatowego konfigurowania ustawień pozyskiwania na potrzeby zbierania danych telemetrycznych systemu operacyjnego gościa z maszyn (lub zestawu maszyn) podczas korzystania z nowego agenta usługi Azure Monitor i reguł zbierania danych. Skonfigurowanie punktu końcowego zbierania danych dla zestawu maszyn nie ma wpływu na pozyskiwanie danych telemetrycznych gościa z innych maszyn korzystających z nowego agenta.

Następne kroki

  • Projektowanie konfiguracji usługi Azure Private Link.
  • Dowiedz się, jak skonfigurować link prywatny.
  • Dowiedz się więcej o magazynie prywatnym na potrzeby dzienników niestandardowych i kluczy zarządzanych przez klienta.