Partilhar via

Configurar link privado para o Azure Monitor

  • Artigo

Este artigo fornece detalhes passo a passo para criar e configurar um Escopo de Link Privado do Azure Monitor (AMPLS) usando o portal do Azure. Também estão incluídos no artigo métodos alternativos para trabalhar com AMPLS usando modelos CLI, PowerShell e ARM.

Configurar uma instância do Azure Private Link requer as seguintes etapas. Cada uma dessas etapas é detalhada nas seções abaixo.

  • Crie um Escopo de Link Privado do Azure Monitor (AMPLS).
  • Conecte recursos ao AMPLS.
  • Conecte o AMPLS a um ponto de extremidade privado.
  • Configure o acesso aos recursos AMPLS.

Este artigo analisa como a configuração é feita por meio do portal do Azure. Ele fornece um exemplo de modelo do Azure Resource Manager (modelo ARM) para automatizar o processo.

  1. No menu Monitor no portal do Azure, selecione Escopos de Link Privado e Criar.

    Captura de tela mostrando a opção para criar e o Escopo de Link Privado do Azure Monitor.

  2. Selecione uma assinatura e um grupo de recursos e dê ao AMPLS um nome significativo como AppServerProdTelem.

  3. Selecione Rever + criar.

    Captura de tela que mostra a criação de um Escopo de Link Privado do Azure Monitor.

  4. Deixe a validação passar e selecione Criar.

Conectar recursos ao AMPLS

  1. No menu do seu AMPLS, selecione Recursos do Azure Monitor e, em seguida , Adicionar.

  2. Selecione o componente e selecione Aplicar para adicioná-lo ao seu escopo. Apenas os recursos do Azure Monitor, incluindo espaços de trabalho do Log Analytics, componentes do Application Insights e pontos de extremidade de coleta de dados (DCEs) estão disponíveis.

    Captura de tela que mostra a seleção de um escopo.

Nota

A exclusão de recursos do Azure Monitor exige que você primeiro os desconecte de quaisquer objetos AMPLS aos quais estejam conectados. Não é possível excluir recursos conectados a um AMPLS.

Conectar AMPLS a um ponto de extremidade privado

Depois que os recursos estiverem conectados ao seu AMPLS, você poderá criar um ponto de extremidade privado para conectar sua rede.

  1. No menu do seu AMPLS, selecione Private Endpoint connections e, em seguida, Private Endpoint. Você também pode aprovar conexões que foram iniciadas no Private Link Center aqui, selecionando-as e selecionando Aprovar.

    Captura de tela que mostra conexões de Ponto Final Privado.

  2. Separador Informações Básicas

    1. selecione o grupo Subscrição e Recursos e, em seguida, introduza um Nome para o ponto de extremidade e um Nome da Interface de Rede.
    2. Selecione a região na qual o ponto de extremidade privado deve ser criado. A região deve ser a mesma região da rede virtual à qual você a conecta.

    Uma captura de tela mostrando a guia criar noções básicas de ponto de extremidade privado.

  3. Guia Recurso

    1. Selecione a Assinatura que contém seu recurso Escopo de Link Privado do Azure Monitor.
    2. Em Tipo de recurso, selecione Microsoft.insights/privateLinkScopes.
    3. Na lista suspensa Recurso, selecione o Escopo do Link Privado que você criou.

    Captura de ecrã que mostra a página Criar um ponto de extremidade privado no portal do Azure com o separador Recurso selecionado.

  4. Guia Rede Virtual

    1. Selecione a rede virtual e a sub-rede que você deseja conectar aos recursos do Azure Monitor.
    2. Em Política de rede para pontos de extremidade privados, selecione editar se quiser aplicar grupos de segurança de rede ou tabelas de rotas à sub-rede que contém o ponto de extremidade privado. Consulte Gerenciar políticas de rede para pontos de extremidade privados para obter mais detalhes.
    3. Para Configuração de IP privado, por padrão, a opção Alocar endereço IP dinamicamente é selecionada. Se pretender atribuir um endereço IP estático, selecione Atribuir estaticamente o endereço IP e, em seguida, introduza um nome e um IP privado.
    4. Opcionalmente, selecione ou crie um grupo de segurança de aplicativo. Você pode usar grupos de segurança de aplicativos para agrupar máquinas virtuais e definir políticas de segurança de rede com base nesses grupos.

    Captura de ecrã que mostra a página Criar um ponto de extremidade privado no portal do Azure com o separador Rede Virtual selecionado.

  5. Guia DNS

    1. Selecione Sim para Integrar com zona DNS privada, que criará automaticamente uma nova zona DNS privada. As zonas DNS reais podem ser diferentes do que é mostrado na captura de tela a seguir.

    Nota

    Se você selecionar Não e preferir gerenciar os registros DNS manualmente, primeiro termine de configurar seu link privado. Inclua esse ponto de extremidade privado e a configuração AMPLS e, em seguida, configure seu DNS de acordo com as instruções na configuração DNS do ponto de extremidade privado do Azure. Certifique-se de não criar registros vazios como preparação para sua configuração de link privado. Os registros DNS criados podem substituir as configurações existentes e afetar sua conectividade com o Azure Monitor.

    Quer selecione Sim ou Não e esteja a utilizar os seus próprios servidores DNS personalizados, tem de configurar encaminhadores condicionais para os encaminhadores de zona DNS pública mencionados na configuração DNS do ponto de extremidade privado do Azure. Os encaminhadores condicionais precisam encaminhar as consultas DNS para o DNS do Azure.

    Captura de ecrã que mostra a página Criar um ponto de extremidade privado no portal do Azure com o separador DNS selecionado.

  6. Separador Rever + criar

    1. Quando a validação for aprovada, selecione Criar.

Configurar o acesso aos recursos AMPLS

No menu do seu AMPLS, selecione Isolamento de rede para controlar quais redes podem acessar o recurso por meio de um link privado e se outras redes podem acessá-lo ou não.

Captura de ecrã que mostra o Isolamento de Rede.

AMPLS conectados

Esta tela permite que você revise e configure as conexões do recurso com o AMPLS. A conexão a um AMPLS permite que o tráfego da rede virtual conectada chegue ao recurso. Ele tem o mesmo efeito que conectá-lo a partir do escopo descrito em Recursos do Connect Azure Monitor.

Para adicionar uma nova conexão, selecione Adicionar e selecione o AMPLS. Seu recurso pode se conectar a cinco objetos AMPLS, conforme descrito em Limites AMPLS.

Configuração de acesso a redes virtuais

Essas configurações controlam o acesso de redes públicas não conectadas aos escopos listados. Isso inclui acesso a logs, métricas e ao fluxo de métricas ao vivo. Ele também inclui experiências criadas com base nesses dados, como pastas de trabalho, painéis, experiências de cliente baseadas em API de consulta e insights no portal do Azure. As experiências executadas fora do portal do Azure e que consultam dados do Log Analytics também precisam ser executadas na rede virtual vinculada privada.

  • Se você definir Aceitar ingestão de dados de redes públicas não conectadas por meio de um escopo de link privado como Não, clientes como máquinas ou SDKs fora dos escopos conectados não poderão carregar dados ou enviar logs para o recurso.
  • Se você definir Aceitar consultas de redes públicas não conectadas por meio de um escopo de link privado como Não, clientes como máquinas ou SDKs fora dos escopos conectados não poderão consultar dados no recurso.

Trabalhar com AMPLS usando CLI

Criar um AMPLS com modos de acesso aberto

O comando da CLI a seguir cria um novo recurso AMPLS chamado "my-scope", com os modos de acesso de consulta e ingestão definidos como Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Definir sinalizadores de acesso a recursos

Para gerenciar o espaço de trabalho ou os sinalizadores de acesso ao componente, use os sinalizadores [--ingestion-access {Disabled, Enabled}] e [--query-access {Disabled, Enabled}]no az monitor log-analytics workspace ou az monitor app-insights component.

Trabalhar com AMPLS usando o PowerShell

Criar um AMPLS

O script PowerShell a seguir cria um novo recurso AMPLS chamado "my-scope", com o modo de acesso de consulta definido como Open mas os modos de acesso de ingestão definidos como PrivateOnly. Esta configuração significa que permitirá a ingestão apenas de recursos no AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Definir modos de acesso AMPLS

Use o seguinte código do PowerShell para definir os sinalizadores do modo de acesso em seu AMPLS depois que ele for criado.

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

Modelos do ARM

Criar um AMPLS

O seguinte modelo ARM executa o seguinte:

  • Um AMPLS chamado "my-scope", com modos de acesso de consulta e ingestão definidos como Open.
  • Um espaço de trabalho do Log Analytics chamado "my-workspace".
  • Adiciona um recurso com escopo ao "my-scope" AMPLS chamado "my-workspace-connection".
{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Revisar e validar a configuração do AMPLS

Siga os passos nesta secção para rever e validar a configuração da sua ligação privada.

Revise as configurações de DNS do ponto de extremidade

O ponto de extremidade privado criado neste artigo deve ter as seguintes cinco zonas DNS configuradas:

  • privatelink.monitor.azure.com
  • privatelink.oms.opinsights.azure.com
  • privatelink.ods.opinsights.azure.com
  • privatelink.agentsvc.azure-automation.net
  • privatelink.blob.core.windows.net

Cada uma destas zonas mapeia pontos finais específicos do Azure Monitor para IPs privados a partir do conjunto de IPs da rede virtual. Os endereços IP mostrados nas imagens abaixo são apenas exemplos. Sua configuração deve, em vez disso, mostrar IPs privados de sua própria rede.

privatelink-monitor-azure-com

Essa zona abrange os pontos de extremidade globais usados pelo Azure Monitor, o que significa que os pontos de extremidade atendem solicitações globalmente/regionalmente e não solicitações específicas de recursos. Esta zona deve ter pontos de extremidade mapeados para o seguinte:

  • in.ai: Ponto de extremidade de ingestão do Application Insights (uma entrada global e regional).
  • api: endpoint da API do Application Insights e do Log Analytics.
  • live: ponto de extremidade de métricas ao vivo do Application Insights.
  • profiler: Application Insights Profiler para ponto de extremidade .NET.
  • snapshot: ponto de extremidade de instantâneo do Application Insights.
  • diagservices-query: Application Insights Profiler for .NET e Snapshot Debugger (usado ao acessar os resultados do profiler/depurador no portal do Azure).

Esta zona também abrange os pontos de extremidade específicos de recursos para os seguintes DCEs:

  • <unique-dce-identifier>.<regionname>.handler.control: Ponto de extremidade de configuração privada, parte de um recurso DCE.

  • <unique-dce-identifier>.<regionname>.ingest: Ponto de extremidade de ingestão privada, parte de um recurso DCE.

    Captura de ecrã que mostra a zona DNS privada monitor-azure-com.

Pontos de extremidade do Log Analytics

O Log Analytics usa as seguintes quatro zonas DNS:

  • privatelink-oms-opinsights-azure-com: Abrange o mapeamento específico do espaço de trabalho para pontos de extremidade do OMS. Você verá uma entrada para cada espaço de trabalho vinculado ao AMPLS conectado a esse ponto de extremidade privado.
  • privatelink-ods-opinsights-azure-com: Abrange o mapeamento específico do espaço de trabalho para pontos de extremidade ODS, que são os pontos de extremidade de ingestão do Log Analytics. Você verá uma entrada para cada espaço de trabalho vinculado ao AMPLS conectado a esse ponto de extremidade privado.
  • privatelink-agentsvc-azure-automation-net*: Abrange o mapeamento específico do espaço de trabalho para os pontos de extremidade de automação de serviço do agente. Você verá uma entrada para cada espaço de trabalho vinculado ao AMPLS conectado a esse ponto de extremidade privado.
  • privatelink-blob-core-windows-net: Configura a conectividade com a conta de armazenamento dos pacotes de soluções dos agentes globais. Por meio dele, os agentes podem baixar pacotes de soluções novos ou atualizados, que também são conhecidos como pacotes de gerenciamento. Apenas uma entrada é necessária para lidar com todos os agentes do Log Analytics, não importa quantos espaços de trabalho sejam usados. Esta entrada só é adicionada a configurações de link privado criadas em ou após 19 de abril de 2021 (ou a partir de junho de 2021 nas nuvens soberanas do Azure).

A captura de tela a seguir mostra pontos de extremidade mapeados para um AMPLS com dois espaços de trabalho no Leste dos EUA e um espaço de trabalho na Europa Ocidental. Observe que os espaços de trabalho do Leste dos EUA compartilham os endereços IP. O ponto de extremidade do espaço de trabalho da Europa Ocidental é mapeado para um endereço IP diferente. O ponto de extremidade de blob está configurado, embora não apareça nesta imagem.

Captura de tela que mostra pontos de extremidade compactados de link privado.

Validar a comunicação através de AMPLS

  • Para validar se as suas solicitações agora são enviadas através do ponto de extremidade privado, analise-as com seu navegador ou uma ferramenta de rastreamento de rede. Por exemplo, quando você tentar consultar seu espaço de trabalho ou aplicativo, verifique se a solicitação é enviada para o IP privado mapeado para o ponto de extremidade da API. Neste exemplo, é 172.17.0.9.

    Nota

    Alguns navegadores podem usar outras configurações de DNS. Para obter mais informações, consulte Configurações de DNS do navegador. Certifique-se de que as suas definições de DNS se aplicam.

  • Para garantir que seus espaços de trabalho ou componentes não estejam recebendo solicitações de redes públicas (não conectadas por meio de AMPLS), defina os sinalizadores de ingestão e consulta pública do recurso como Não , conforme explicado em Configurar acesso aos seus recursos.

  • A partir de um cliente na sua rede protegida, utilize nslookup qualquer um dos pontos finais listados nas suas zonas DNS. Ele deve ser resolvido pelo seu servidor DNS para os IPs privados mapeados em vez dos IPs públicos usados por padrão.

Testando localmente

Para testar links privados localmente sem afetar outros clientes em sua rede, certifique-se de não atualizar seu DNS ao criar seu ponto de extremidade privado. Em vez disso, edite o arquivo hosts em sua máquina para que ele envie solicitações para os pontos de extremidade de link privado:

  • Configure um link privado, mas quando você se conectar a um ponto de extremidade privado, opte por não se integrar automaticamente com o DNS.
  • Configure os pontos de extremidade relevantes nos arquivos hosts de suas máquinas.

Configuração adicional

Tamanho da sub-rede de rede

A menor sub-rede IPv4 suportada é /27 usando definições de sub-rede CIDR. Embora as redes virtuais do Azure possam ser tão pequenas quanto /29, o Azure reserva cinco endereços IP. A configuração de link privado do Azure Monitor requer pelo menos mais 11 endereços IP, mesmo se você estiver se conectando a um único espaço de trabalho. Revise as configurações de DNS do seu ponto de extremidade para obter a lista de pontos de extremidade de link privado do Azure Monitor.

Portal do Azure

Para usar as experiências do portal do Azure Monitor para Application Insights, Log Analytics e DCEs, permita que o portal do Azure e as extensões do Azure Monitor estejam acessíveis nas redes privadas. Adicione as tags de serviço AzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstParty e AzureFrontdoor.Frontend ao seu grupo de segurança de rede.

Acesso programático

Para usar a API REST, a CLI do Azure ou o PowerShell com o Azure Monitor em redes privadas, adicione as marcas de serviço AzureActiveDirectory e AzureResourceManager ao seu firewall.

Configurações de DNS do navegador

Se você estiver se conectando aos recursos do Azure Monitor por meio de um link privado, o tráfego para esses recursos deverá passar pelo ponto de extremidade privado configurado em sua rede. Para habilitar o ponto de extremidade privado, atualize suas configurações de DNS conforme descrito em Conectar a um ponto de extremidade privado. Alguns navegadores usam suas próprias configurações de DNS em vez das que você definiu. O navegador pode tentar se conectar aos pontos de extremidade públicos do Azure Monitor e ignorar totalmente o link privado. Verifique se as configurações do seu navegador não substituem ou armazenam em cache as configurações de DNS antigas.

Limitação de consulta: operador de dados externos

  • O operador de dados externos não é suportado por um link privado porque lê dados de contas de armazenamento, mas não garante que o armazenamento seja acessado de forma privada.
  • O proxy do Azure Data Explorer (proxy ADX) permite que consultas de log consultem o Azure Data Explorer. O proxy ADX não é suportado em um link privado porque não garante que o recurso de destino seja acessado de forma privada.

Próximos passos

  • Saiba mais sobre armazenamento privado para logs personalizados e chaves gerenciadas pelo cliente.
  • Saiba mais sobre os novos pontos de extremidade de coleta de dados.

Para criar e gerenciar escopos de link privado, use a API REST ou a CLI do Azure (az monitor private-link-scope).