Utilizar o Azure Private Link para se ligar a redes do Azure Monitor

Com o Azure Private Link, você pode vincular com segurança recursos de PaaS (plataforma como serviço) do Azure à sua rede virtual usando pontos de extremidade privados. Os links privados do Azure Monitor são estruturados de forma diferente dos links privados para outros serviços. Este artigo descreve os principais princípios dos links privados do Azure Monitor e como eles operam.

As vantagens de usar o Private Link com o Azure Monitor incluem o seguinte. Consulte Principais benefícios do Private Link para obter mais benefícios.

• Conecte-se de forma privada ao Azure Monitor sem permitir nenhum acesso à rede pública. Certifique-se de que os seus dados de monitorização só são acedidos através de redes privadas autorizadas.
• Impeça a exfiltração de dados de suas redes privadas definindo recursos específicos do Azure Monitor que se conectam por meio de seu ponto de extremidade privado.
• Conecte com segurança sua rede local privada ao Azure Monitor usando o Azure ExpressRoute e o Private Link.
• Mantenha todo o tráfego dentro da rede de backbone do Azure.

Conceitos básicos

Em vez de criar um link privado para cada recurso ao qual a rede virtual se conecta, o Azure Monitor usa uma única conexão de link privado usando um ponto de extremidade privado da rede virtual para um Escopo de Link Privado do Azure Monitor (AMPLS). O AMPLS é um conjunto de recursos do Azure Monitor que definem os limites da sua rede de monitoramento.

Aspetos notáveis do AMPLS incluem o seguinte:

• Usa IPs privados: o ponto de extremidade privado em sua rede virtual permite que ele alcance os pontos de extremidade do Azure Monitor por meio de IPs privados do pool da sua rede, em vez de usar os IPs públicos desses pontos de extremidade. Isso permite que você continue usando seus recursos do Azure Monitor sem abrir sua rede virtual para tráfego de saída desnecessário.
• É executado no backbone do Azure: o tráfego do ponto de extremidade privado para os recursos do Azure Monitor passará pelo backbone do Azure e não será roteado para redes públicas.
• Controles sobre quais recursos do Azure Monitor podem ser acessados: configure se deseja permitir tráfego apenas para recursos de Link Privado ou para recursos de Link Privado e não Link Privado fora do AMPLS.
• Controla o acesso à rede aos recursos do Azure Monitor: configure cada um dos seus espaços de trabalho ou componentes para aceitar ou bloquear o tráfego de redes públicas, potencialmente usando configurações diferentes para solicitações de ingestão e consulta de dados.

Zonas DNS

Quando você cria um AMPLS, suas zonas DNS mapeiam pontos de extremidade do Azure Monitor para IPs privados para enviar tráfego por meio do link privado. O Azure Monitor usa pontos de extremidade específicos de recursos e pontos de extremidade globais/regionais compartilhados para alcançar os espaços de trabalho e componentes em seu AMPLS.

Como o Azure Monitor usa alguns pontos de extremidade compartilhados, configurar um link privado mesmo para um único recurso altera a configuração de DNS que afeta o tráfego para todos os recursos. O uso de pontos de extremidade compartilhados também significa que você deve usar um único AMPLS para todas as redes que compartilham o mesmo DNS. A criação de vários recursos AMPLS fará com que as zonas DNS do Azure Monitor substituam umas às outras e interrompam os ambientes existentes. Consulte Planejar por topologia de rede para obter mais detalhes.

Pontos finais globais e regionais partilhados

Quando você configura o Private Link mesmo para um único recurso, o tráfego para os seguintes pontos de extremidade será enviado através dos IPs privados alocados:

• Todos os pontos de extremidade do Application Insights: os pontos de extremidade que manipulam a ingestão, as métricas em tempo real, o .NET Profiler e o depurador para pontos de extremidade do Application Insights são globais.
• O ponto de extremidade de consulta: o ponto de extremidade que manipula consultas para recursos do Application Insights e do Log Analytics é global.

Pontos de extremidade específicos de recursos

Os pontos de extremidade do Log Analytics são específicos do espaço de trabalho, exceto para o ponto de extremidade de consulta discutido anteriormente. Como resultado, adicionar um espaço de trabalho específico do Log Analytics ao AMPLS enviará solicitações de ingestão para esse espaço de trabalho pelo link privado. A ingestão para outros espaços de trabalho continuará a usar os pontos de extremidade públicos.

Os pontos finais de coleta de dados também são específicos do recurso. Você pode usá-los para definir exclusivamente as configurações de ingestão para coletar dados de telemetria do SO convidado de suas máquinas (ou conjunto de máquinas) ao usar o novo Agente do Azure Monitor e as regras de coleta de dados. A configuração de um ponto de extremidade de coleta de dados para um conjunto de máquinas não afeta a ingestão de telemetria de convidado de outras máquinas que usam o novo agente.

Próximos passos

• Projete sua configuração do Link Privado do Azure.
• Saiba como configurar seu link privado.
• Saiba mais sobre armazenamento privado para logs personalizados e chaves gerenciadas pelo cliente.