Nawiązywanie połączenia ze źródłem danych prywatnie
Z tego przewodnika dowiesz się, jak połączyć wystąpienie usługi Azure Managed Grafana ze źródłem danych przy użyciu zarządzanego prywatnego punktu końcowego. Zarządzane prywatne punkty końcowe zarządzane przez platformę Azure Grafana to punkty końcowe utworzone w zarządzanej sieci wirtualnej używanej przez usługę Azure Managed Grafana. Ustanawiają prywatne linki z tej sieci do źródeł danych platformy Azure. Usługa Azure Managed Grafana konfiguruje te prywatne punkty końcowe i zarządza nimi w Twoim imieniu. Zarządzane prywatne punkty końcowe można utworzyć na podstawie zarządzanej platformy Azure Grafana w celu uzyskania dostępu do innych usług zarządzanych platformy Azure (na przykład zakresu łącza prywatnego usługi Azure Monitor lub obszaru roboczego usługi Azure Monitor) i własnych źródeł danych (na przykład łączenia się z własnym hostem rozwiązania Prometheus za usługą łącza prywatnego).
W przypadku korzystania z zarządzanych prywatnych punktów końcowych ruch między usługą Azure Managed Grafana i jego źródłami danych przechodzi wyłącznie przez sieć szkieletową firmy Microsoft bez przechodzenia przez Internet. Zarządzane prywatne punkty końcowe chronią przed eksfiltracją danych. Zarządzany prywatny punkt końcowy używa prywatnego adresu IP z zarządzanej sieci wirtualnej, aby efektywnie przenieść obszar roboczy usługi Azure Managed Grafana do tej sieci. Każdy zarządzany prywatny punkt końcowy jest mapowany na określony zasób na platformie Azure, a nie na całą usługę. Klienci mogą ograniczyć łączność tylko z zasobami zatwierdzonymi przez ich organizacje.
Połączenie prywatnego punktu końcowego jest tworzone w stanie "Oczekiwanie" podczas tworzenia zarządzanego prywatnego punktu końcowego w obszarze roboczym usługi Azure Managed Grafana. Zostanie uruchomiony przepływ pracy zatwierdzania. Właściciel zasobu łącza prywatnego jest odpowiedzialny za zatwierdzanie lub odrzucanie nowego połączenia. Jeśli właściciel zatwierdzi połączenie, zostanie nawiązane łącze prywatne. W przeciwnym razie łącze prywatne nie jest skonfigurowane. Narzędzie Azure Managed Grafana pokazuje bieżący stan połączenia. Tylko zarządzany prywatny punkt końcowy w stanie zatwierdzonym może służyć do wysyłania ruchu do zasobu łącza prywatnego połączonego z zarządzanym prywatnym punktem końcowym.
Chociaż zarządzane prywatne punkty końcowe są bezpłatne, mogą istnieć opłaty związane z użyciem łącza prywatnego w źródle danych. Aby uzyskać więcej informacji, zobacz szczegóły cennika źródła danych.
Uwaga
Zarządzane prywatne punkty końcowe są obecnie dostępne tylko w usłudze Azure Global.
Uwaga
Jeśli używasz prywatnego źródła danych w klastrze usługi AKS, gdy usługa jest ustawiona na lokalną, usługa externalTrafficPolicy
Azure Private Link musi używać innej podsieci niż podsieć zasobnika. Jeśli ta sama podsieć jest wymagana, usługa powinna używać klastra externalTrafficPolicy
. Zobacz Dostawca usług w chmurze na platformie Azure.
Obsługiwane źródła danych
Zarządzane prywatne punkty końcowe współpracują z usługami platformy Azure, które obsługują link prywatny. Korzystając z nich, możesz połączyć obszar roboczy usługi Azure Managed Grafana z następującymi magazynami danych platformy Azure za pośrednictwem łączności prywatnej:
- Usługa Azure Cosmos DB dla bazy danych Mongo DB (tylko w przypadku architektury jednostek żądań ))
- Azure Cosmos DB for PostgreSQL
- Azure Data Explorer
- Zakres łącza prywatnego usługi Azure Monitor (na przykład obszar roboczy usługi Log Analytics)
- Obszar roboczy usługi Azure Monitor dla usługi zarządzanej dla rozwiązania Prometheus
- Wystąpienie zarządzane usługi Azure SQL
- Serwer Azure SQL
- Usługi łącza prywatnego
- Azure Databricks
- Elastyczne serwery usługi Azure Database for PostgreSQL (tylko w przypadku serwerów z siecią dostępu publicznego)
Wymagania wstępne
Aby wykonać kroki opisane w tym przewodniku, musisz mieć następujące elementy:
- Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
- Wystąpienie usługi Azure Managed Grafana w warstwie Standardowa. Jeśli jeszcze go nie masz, utwórz nowe wystąpienie.
Tworzenie zarządzanego prywatnego punktu końcowego dla obszaru roboczego usługi Azure Monitor
Możesz utworzyć zarządzany prywatny punkt końcowy w obszarze roboczym usługi Azure Managed Grafana, aby nawiązać połączenie z obsługiwanym źródłem danych przy użyciu łącza prywatnego.
W witrynie Azure Portal przejdź do obszaru roboczego narzędzia Grafana, a następnie wybierz pozycję Sieć.
Wybierz pozycję Zarządzany prywatny punkt końcowy, a następnie wybierz pozycję Utwórz.
W okienku Nowy zarządzany prywatny punkt końcowy wypełnij wymagane informacje dotyczące zasobu do nawiązania połączenia.
Wybierz typ zasobu platformy Azure (na przykład Microsoft.Monitor/accounts dla usługi zarządzanej Azure Monitor dla rozwiązania Prometheus).
Wybierz pozycję Utwórz , aby dodać zarządzany zasób prywatnego punktu końcowego.
Skontaktuj się z właścicielem docelowego obszaru roboczego usługi Azure Monitor, aby zatwierdzić żądanie połączenia.
Uwaga
Po zatwierdzeniu nowego połączenia prywatnego punktu końcowego cały ruch sieciowy między obszarem roboczym usługi Azure Managed Grafana a wybranym źródłem danych będzie przepływać tylko przez sieć szkieletową platformy Azure.
Tworzenie zarządzanego prywatnego punktu końcowego w usłudze Azure Private Link
Jeśli masz źródło danych wewnętrzne w sieci wirtualnej, takie jak serwer InfluxDB hostowany na maszynie wirtualnej platformy Azure lub serwer Loki hostowany w klastrze usługi AKS, możesz połączyć z nim zarządzaną usługę Azure Grafana. Najpierw musisz dodać dostęp do tego zasobu za pomocą usługi Azure Private Link. Dokładne kroki wymagane do skonfigurowania łącza prywatnego zależą od typu zasobu platformy Azure. Zapoznaj się z dokumentacją posiadanej usługi hostingu. Na przykład w tym artykule opisano sposób tworzenia usługi łącza prywatnego w usłudze Azure Kubernetes Service przez określenie obiektu usługi kubernetes.
Po skonfigurowaniu usługi private link możesz utworzyć zarządzany prywatny punkt końcowy w obszarze roboczym narzędzia Grafana, który łączy się z nowym linkiem prywatnym.
W witrynie Azure Portal przejdź do zasobu Grafana, a następnie wybierz pozycję Sieć.
Wybierz pozycję Zarządzany prywatny punkt końcowy, a następnie wybierz pozycję Utwórz.
W okienku Nowy zarządzany prywatny punkt końcowy wypełnij wymagane informacje dotyczące zasobu do nawiązania połączenia.
Napiwek
Pole Nazwa domeny jest opcjonalne. Jeśli określisz nazwę domeny, usługa Azure Managed Grafana zapewni, że ta nazwa domeny zostanie rozpoznana jako prywatny adres IP zarządzanego prywatnego punktu końcowego w sieci zarządzanej przez usługę Grafana. Możesz użyć tej nazwy domeny w konfiguracji adresu URL źródła danych Grafana zamiast prywatnego adresu IP. Jeśli dla własnego magazynu danych włączono oznaczenie nazwy serwera lub tls lub SNI, musisz użyć nazwy domeny.
Wybierz pozycję Utwórz , aby dodać zarządzany zasób prywatnego punktu końcowego.
Skontaktuj się z właścicielem docelowej usługi łącza prywatnego, aby zatwierdzić żądanie połączenia.
Po zatwierdzeniu żądania połączenia wybierz pozycję Odśwież , aby upewnić się, że stan połączenia to Zatwierdzone , a prywatny adres IP jest wyświetlany.
Uwaga
Nie można pominąć kroku Odświeżanie, ponieważ odświeżanie wyzwala operację synchronizacji sieci przez usługę Azure Managed Grafana. Po zatwierdzeniu nowego zarządzanego prywatnego punktu końcowego cały ruch sieciowy między obszarem roboczym usługi Azure Managed Grafana a wybranym źródłem danych będzie przepływać tylko przez sieć szkieletową platformy Azure.
Następne kroki
W tym przewodniku z instrukcjami przedstawiono sposób konfigurowania dostępu prywatnego między obszarem roboczym usługi Azure Managed Grafana i źródłem danych. Aby dowiedzieć się, jak skonfigurować dostęp prywatny od użytkowników do obszaru roboczego Azure Managed Grafana, zobacz Konfigurowanie dostępu prywatnego.