Compartilhar via

Configurar o Link Privado para o Agente do Azure Monitor

  • Artigo

Este artigo fornece detalhes passo a passo para criar e configurar um AMPLS (Escopo de Link Privado) do Azure Monitor usando o portal do Azure. Também estão incluídos no artigo métodos alternativos para trabalhar com AMPLS usando modelos CLI, PowerShell e ARM.

Configurar uma instância do Link Privado do Azure requer as etapas a seguir. Cada uma dessas etapas é detalhada nas seções abaixo.

  • Criar um Escopo de Link Privado do Azure Monitor (AMPLS).
  • Conecte recursos ao AMPLS.
  • Conecte o AMPLS a um ponto de extremidade privado.
  • Configure o acesso aos recursos do AMPLS.

Este artigo analisa como a configuração é feita por meio do portal do Azure. Ele fornece um exemplo de modelo do ARM (modelo do Azure Resource Manager) para automatizar o processo.

  1. No menu Monitorar no portal do Azure, selecione Escopos de Link Privado e, em seguida, Crie.

    Captura de tela mostrando a opção para criar e o Escopo de Link Privado do Azure Monitor.

  2. Selecione uma assinatura e um grupo de recursos e dê ao AMPLS um nome significativo, como AppServerProdTelem.

  3. Selecione Examinar + criar.

    Captura de tela que mostra a criação do Escopo de Link Privado do Azure Monitor.

  4. Espere a validação ser aprovada e clique em Criar.

Conectar recursos ao AMPLS

  1. No menu do SEU AMPLS, selecione Recursos do Azure Monitor e, em seguida, Adicionar.

  2. Selecione o componente e selecione Aplicar para adicioná-lo ao seu escopo. Somente os recursos do Azure Monitor, incluindo workspaces do Log Analytics, componentes do Application Insights e pontos de extremidade de coleta de dados (DCEs) estão disponíveis.

    Captura de tela que mostra a seleção de um escopo.

Observação

A exclusão de recursos do Azure Monitor exige que você primeiro os desconecte de todos os objetos do AMPLS aos quais estão conectados. Não é possível excluir recursos conectados a um AMPLS.

Conectar o AMPLS a um ponto de extremidade privado

Agora que os recursos estão conectados a seu AMPLS, crie um ponto de extremidade privado para conectar sua rede.

  1. No menu do AMPLS, selecione Conexões de Ponto de Extremidade Privado e, em seguida, Ponto de Extremidade Privado. Você também pode aprovar as conexões iniciadas no Centro de Links Privados aqui. Basta selecioná-las e selecionar Aprovar.

    Captura de tela que mostra as conexões do Ponto de Extremidade Privado.

  2. Guia Básico

    1. selecione a Assinatura e o Grupo de Recursos e, em seguida, insira um Nome para o ponto de extremidade e um Nome de Interface de Rede.
    2. Selecione a Região em que o ponto de extremidade privado deve residir. A região deve ser a mesma da rede virtual à qual você a conecta.

    Uma captura de tela mostrando a guia de criação de pontos de extremidade privados.

  3. Guia Recurso

    1. Selecione a assinatura que contém seu recurso de Escopo de Link Privado do Azure Monitor.
    2. Para Tipo de recurso, selecione Microsoft.insights/privateLinkScopes.
    3. Na lista suspensa Recurso, selecione o Escopo de Link Privado criado anteriormente.

    Captura de tela que mostra a página Criar um ponto de extremidade privado no portal do Azure com a guia Recurso selecionada.

  4. Na guia Rede Virtual

    1. Selecione a Rede Virtual e a Sub-rede que você deseja conectar aos recursos do Azure Monitor.
    2. Em Política de rede para pontos de extremidade privado, selecione Editar se desejar aplicar grupos de segurança de rede ou Tabelas de rotas à sub-rede que contém o ponto de extremidade privado. Consulte Gerenciar políticas de rede para pontos de extremidade privados para obter mais detalhes.
    3. Em Configuração de IP privado, por padrão, está selecionado Alocar endereço IP dinamicamente. Se você quiser atribuir um endereço IP estático, selecione Alocar endereço IP estaticamente e, em seguida, insira um nome e um IP privado.
    4. Opcionalmente, você pode selecionar ou criar um Grupo de segurança do aplicativo. Você pode usar grupos de segurança de aplicativos para agrupar máquinas virtuais e definir políticas de segurança de rede com base nesses grupos.

    Captura de tela que mostra a página Criar um ponto de extremidade privado no portal do Azure com a guia Rede Virtual selecionada.

  5. Guia DNS

    1. Selecione Sim para Integrar com a zona DNS privada e deixe-o criar automaticamente uma nova zona DNS privada. As zonas DNS reais podem ser diferentes do que é mostrado na captura de tela a seguir.

    Observação

    Se você selecionar Não e preferir gerenciar os registros DNS manualmente, primeiro termine de configurar seu link privado. Inclua esse ponto de extremidade privado e a configuração do AMPLS e configure o DNS de acordo com as instruções em Configuração de DNS do ponto de extremidade privado do Azure. Certifique-se de não criar registros vazios como preparação para a configuração de link privado. Os registros DNS que você cria podem substituir as configurações existentes e afetar sua conectividade com o Azure Monitor.

    Se você selecionar Sim ou Não e estiver usando seus próprios servidores DNS personalizados, você precisará configurar os encaminhadores condicionais para os encaminhadores de zona DNS público mencionados na Configuração de DNS do ponto de extremidade privado do Azure. Os encaminhadores condicionais precisam encaminhar as consultas DNS para DNS do Azure.

    Captura de tela que mostra a página Criar um ponto de extremidade privado no portal do Azure com a guia DNS selecionada.

  6. Guia Examinar + criar

    1. Depois que a validação for aprovada, selecione Criar.

Configurar o acesso aos recursos do AMPLS

No menu do AMPLS, selecione Isolamento de Rede para controlar quais redes podem acessar o recurso por meio de um link privado e se outras redes podem acessá-lo ou não.

Captura de tela que mostra o Isolamento de Rede.

AMPLS conectadas

Essa tela permite que você examine e configure as conexões do recurso com o AMPLS. Conectar-se a um AMPLS permite que o tráfego da rede virtual conectada a cada AMPLS alcance o recurso. Isso tem o mesmo efeito que conectá-lo do escopo, como fizemos em Conectar recursos do Azure Monitor.

Para adicionar uma nova conexão, selecione Adicionar e, em seguida, o AMPLS. Seu recurso pode se conectar a cinco objetos AMPLS, conforme descrito em Limites do AMPLS.

Configuração de acesso às redes virtuais

Essas configurações controlam o acesso de redes públicas não conectadas aos escopos listados. Esses dados incluem acesso a logs, métricas e ao fluxo de métricas ao vivo. Também inclui experiências criadas na parte superior, como pastas de trabalho, painéis, experiências de cliente baseadas em API de consulta e insights no portal do Azure. As experiências executadas fora do portal do Azure e os dados de consulta do Log Analytics também precisam ser executados na rede virtual privada vinculada.

  • Se você definir Aceitar ingestão de dados de redes públicas não conectadas por meio de um Escopo de Link Privado como Não, clientes como computadores ou SDKs fora dos escopos conectados não poderão carregar dados ou enviar logs para o recurso.
  • Se você definir Aceitar consultas de redes públicas não conectadas por meio de um Escopo de Link Privado como Não, clientes como computadores ou SDKs fora dos escopos conectados não poderão consultar dados no recurso.

Trabalhar com AMPLS usando a CLI

Crie um AMPLS com modos de acesso aberto: exemplo de CLI

O comando da CLI a seguir cria um novo recurso do AMPLS denominado "my-scope", com os modos de acesso de consulta e ingestão definidos como Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Definir sinalizadores de acesso a recursos

Para gerenciar os sinalizadores de acesso ao espaço de trabalho ou ao componente, use os sinalizadores [--ingestion-access {Disabled, Enabled}] e [--query-access {Disabled, Enabled}] em espaço de trabalho de análise de log do monitor az ou componente de insights de aplicativos do monitor az.

Trabalhar com AMPLS usando o PowerShell

Criar um AMPLS

O seguinte script do PowerShell cria um novo recurso do AMPLS denominado"my-scope", com o modo de acesso de consulta definido como Open, mas os modos de acesso de ingestão definidos como PrivateOnly. Essa configuração significa que permitirá a ingestão apenas de recursos no AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Definir modos de acesso AMPLS

Use o código do PowerShell a seguir para definir os sinalizadores do modo de acesso em seu AMPLS depois que ele for criado.

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

Modelos do ARM

Criar um AMPLS

O seguinte modelo do ARM executa o seguinte:

  • Um AMPLS denominado "my-scope", com modos de acesso de consulta e ingestão definidos como Open.
  • Um workspace do Log Analytics chamado "my-workspace".
  • E adiciona um recurso com escopo ao "my-scope" AMPLS chamado "my-workspace-connection".
{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Examinar e validar a configuração do AMPLS

Siga as etapas nesta seção para revisar e validar sua configuração de link privado.

Examinar as configurações de DNS do ponto de extremidade

O ponto de extremidade privado criado neste artigo deve ter as cinco zonas DNS a seguir configuradas:

  • privatelink.monitor.azure.com
  • privatelink.oms.opinsights.azure.com
  • privatelink.ods.opinsights.azure.com
  • privatelink.agentsvc.azure-automation.net
  • privatelink.blob.core.windows.net

Cada uma dessas zonas mapeia os pontos de extremidade específicos do Azure Monitor para IPs privados do pool de IPs da rede virtual. Os endereços IP mostrados nas imagens abaixo são apenas exemplos. Em vez disso, sua configuração deve mostrar IPs privados de sua própria rede.

privatelink-monitor-azure-com

Essa zona abrange os pontos de extremidade globais usados pelo Azure Monitor, o que significa que os pontos de extremidade atendem a solicitações globalmente/regionalmente e não a solicitações específicas de recursos. Esta zona deve ter pontos de extremidade mapeados para:

  • in.ai: ponto de extremidade de ingestão do Application Insights (tanto uma entrada global quanto uma regional).
  • api: ponto de extremidade da API do Application Insights e do Log Analytics.
  • live: Ponto de extremidade de métricas ao vivo do Application Insights.
  • profiler: ponto de extremidade Application Insights Profiler para .NET.
  • instantâneo: ponto de extremidade do instantâneo do Application Insights.
  • diagservices-query: o Application Insights Profiler para .NET e o Depurador de Instantâneos (usado ao acessar os resultados do profiler/depurador no portal do Azure).

Essa zona também abrange os pontos de extremidade específicos do recurso para os seguintes DCEs:

  • <unique-dce-identifier>.<regionname>.handler.control: ponto de extremidade de configuração particular, parte de um recurso DCE.

  • <unique-dce-identifier>.<regionname>.ingest: ponto de extremidade de ingestão particular, parte de um recurso DCE.

    Captura de tela que mostra a zona DNS privada monitor-azure-com.

Pontos de extremidade do Log Analytics

O Log Analytics usa as quatro zonas DNS a seguir:

  • privatelink-oms-opinsights-azure-com: cobre o mapeamento específico de workspaces para pontos de extremidade do OMS. Você deve ver uma entrada para cada workspace vinculado ao AMPLS conectado a esse ponto de extremidade privado.
  • privatelink-ods-opinsights-azure-com: cobre o mapeamento específico de workspaces para os pontos de extremidade do ODS, o ponto de extremidade de ingestão do Log Analytics. Você deve ver uma entrada para cada workspace vinculado ao AMPLS conectado a esse ponto de extremidade privado.
  • privatelink-agentsvc-azure-automation-net*: cobre o mapeamento específico de workspaces para os pontos de extremidade de automação do serviço do agente. Você deve ver uma entrada para cada workspace vinculado ao AMPLS conectado a esse ponto de extremidade privado.
  • privatelink-blob-core-windows-net: configura a conectividade com a conta de armazenamento de pacotes de soluções dos agentes globais. Por meio dele, os agentes podem baixar pacotes de solução novos ou atualizados, também conhecidos como pacotes de gerenciamento. Apenas uma entrada é necessária para lidar com todos os agentes do Log Analytics, independentemente de quantos workspaces são usados. Essa entrada é adicionada apenas às configurações de link privado criadas em ou após 19 de abril de 2021 (ou a partir de junho de 2021 nas nuvens soberanas do Azure).

A captura de tela a seguir mostra ponto de extremidade mapeados para um AMPLS com dois workspaces no Leste dos EUA e um espaço de trabalho na Oeste da Europa. Observe que os workspaces do Leste dos EUA compartilham os endereços IP. O ponto de extremidade do workspace do Oeste da Europa é mapeado para um endereço IP diferente. O ponto de extremidade do blob está configurado, embora não apareça nesta imagem.

Captura de tela que mostra os pontos de extremidade compactados do link privado.

Validar a comunicação via AMPLS

  • Para validar que suas solicitações agora são enviadas por meio do ponto de extremidade privado, revise-as com uma ferramenta de rastreamento de rede ou até mesmo com seu navegador. Por exemplo, ao tentar consultar seu workspace ou aplicativo, certifique-se de que a solicitação seja enviada ao IP privado mapeado para o ponto de extremidade da API. Nesse exemplo, é 172.17.0.9.

    Observação

    Alguns navegadores podem usar outras configurações de DNS. Para obter mais informações, confira Configurações de DNS do navegador. Verifique se as configurações de DNS se aplicam.

  • Para garantir que seus workspaces ou componentes não estejam recebendo solicitações de redes públicas (não conectadas por meio do AMPLS), defina a ingestão pública do recurso e os sinalizadores de consulta como Não, conforme explicado em Configurar o acesso aos seus recursos.

  • De um cliente em sua rede protegida, use nslookup para qualquer um dos pontos de extremidade listados em suas zonas DNS. Ele deve ser resolvido pelo servidor DNS para os IPs privados mapeados em vez dos IPs públicos usados por padrão.

Testando localmente

Para testar links privados localmente sem afetar outros clientes na rede, certifique-se de não atualizar o DNS ao criar o ponto de extremidade privado. Em vez disso, edite o arquivo de hosts em seu computador para que ele envie solicitações aos pontos de extremidade do link privado:

  • Configure um link privado, mas ao conectar ao ponto de extremidade privado escolha não integrar automaticamente com o DNS.
  • Configure os pontos de extremidade relevantes nos arquivos de hosts do seu computador.

Configuração adicional

Tamanho da sub-rede da rede

A menor sub-rede IPv4 com suporte é /27, usando definições de sub-rede CIDR. Embora as redes virtuais do Azure possam ser tão pequenas quanto /29, o Azure reserva cinco endereços IP. A configuração do link privado do Azure Monitor requer pelo menos mais 11 endereços IP, mesmo que você esteja se conectando a um único workspace. Revise as configurações de DNS do ponto de extremidade para obter a lista dos pontos de extremidade de link privado do Azure Monitor.

Portal do Azure

Para usar as experiências do portal do Azure Monitor, como Application Insights e Log Analytics, você precisa permitir que o portal do Azure e as extensões do Azure Monitor estejam acessíveis nas redes privadas. Adicione o AzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstParty e o AzureFrontdoor.Frontend marcas de serviço para seu grupo de segurança de rede.

Acesso de programação

Para usar a API REST, o Azure CLI ou o PowerShell com o Azure Monitor em redes privadas, adicione as marcas de serviço AzureActiveDirectory e AzureResourceManager ao seu firewall.

Configurações de DNS do navegador

Se você estiver se conectando aos recursos do Azure Monitor por meio de um link privado, o tráfego para esses recursos deverá passar pelo ponto de extremidade privado configurado em sua rede. Para habilitar o ponto de extremidade privado, atualize suas configurações de DNS conforme explicado em Conectar-se a um ponto de extremidade privado. Alguns navegadores usam suas próprias configurações de DNS em vez daquelas que você definiu. O navegador pode tentar se conectar aos pontos de extremidade públicos do Azure Monitor e ignorar totalmente o link privado. Verifique se as configurações do navegador não substituem ou armazenam em cache configurações antigas de DNS.

Limitação de consulta: operador externaldata

  • O externaldata não tem suporte em um link privado, pois ele lê dados de contas de armazenamento, mas não garante que o armazenamento seja acessado de maneira privada.
  • O Proxy do Azure Data Explorer (proxy ADX) permite que as consultas de log consultem o Azure Data Explorer. O proxy ADX não é compatível com um link privado porque não garante que o recurso de destino seja acessado de forma privada.

Próximas etapas

Para criar e gerenciar Escopos de Link Privado, use a API REST ou a CLI do Azure (az monitor private-link-scope).