Настройка приватного канала для Azure Monitor

В этой статье приводятся пошаговые сведения о создании и настройке области Приватный канал Azure Monitor (AMPLS) с помощью портал Azure. Кроме того, в статье приведены альтернативные методы работы с AMPLS с помощью ИНТЕРФЕЙСА командной строки, PowerShell и шаблонов ARM.

Для настройки экземпляра Приватный канал Azure требуются следующие действия. Каждый из этих шагов подробно описан в следующих разделах.

• Создайте область Приватный канал Azure Monitor (AMPLS).
• Подключите ресурсы к AMPLS.
• Подключите AMPLS к частной конечной точке.
• Настройте доступ к ресурсам AMPLS.

В этой статье рассматривается, как выполняется настройка с помощью портал Azure. В нем представлен пример шаблона Azure Resource Manager (шаблона ARM) для автоматизации процесса.

Создание области Приватный канал Azure Monitor (AMPLS)

1. В меню "Монитор" в портал Azure выберите Приватный канал области и создайте.

   

2. Выберите подписку и группу ресурсов и присвойте AMPLS понятное имя, например AppServerProdTelem.

3. Выберите Review + create (Просмотреть и создать).

   

4. Позвольте пройти проверку и нажмите кнопку "Создать".

Подключение ресурсов к AMPLS

1. В меню для AMPLS выберите ресурсы Azure Monitor и добавьте.

2. Выберите компонент и нажмите кнопку "Применить ", чтобы добавить ее в область. Доступны только ресурсы Azure Monitor, включая рабочие области Log Analytics, компоненты Application Insights и конечные точки сбора данных (DCEs).

   

Примечание.

При удалении ресурсов Azure Monitor необходимо сначала отключить их от любых объектов AMPLS, к которым они подключены. Невозможно удалить ресурсы, подключенные к AMPLS.

Подключение AMPLS к частной конечной точке

После подключения ресурсов к AMPLS можно создать частную конечную точку для подключения сети.

1. В меню AMPLS выберите подключения к частной конечной точке и частную конечную точку. Вы также можете утвердить подключения, которые были запущены в центре Приватный канал, выбрав их и выбрав "Утвердить".

   

2. Вкладка "Основные сведения"

   1. Выберите подписку и группу ресурсов, а затем введите имя конечной точки и имя сетевого интерфейса.
   2. Выберите регион, в который должна быть создана частная конечная точка. Регион должен быть тем же регионом, что и виртуальная сеть, к которой вы подключаетесь.

   

3. Вкладка "Ресурс"

   1. Выберите подписку, содержащую ресурс Приватный канал области Azure Monitor.
   2. Для типа ресурса выберите Microsoft.insights/privateLinkScopes.
   3. В раскрывающемся списке ресурсов выберите созданную область Приватный канал.

   

4. вкладка виртуальная сеть

   1. Выберите виртуальную сеть и подсеть, которые требуется подключить к ресурсам Azure Monitor.
   2. Для политики сети для частных конечных точек выберите изменить , если вы хотите применить группы безопасности сети или таблицы маршрутов к подсети, содержащей частную конечную точку. Дополнительные сведения см. в статье "Управление политиками сети для частных конечных точек".
   3. Для конфигурации частного IP-адреса по умолчанию выбран динамически выделенный IP-адрес . Если вы хотите назначить статический IP-адрес, выберите статически выделить IP-адрес, а затем введите имя и частный IP-адрес.
   4. При необходимости выберите или создайте группу безопасности приложений. Группы безопасности приложений можно использовать для группирования виртуальных машин и определения политик безопасности сети на основе этих групп.

   

5. Вкладка DNS

   1. Выберите "Да " для интеграции с частной зоной DNS, которая автоматически создаст частную зону DNS. Фактические зоны DNS могут отличаться от того, что показано на следующем снимке экрана.

   Примечание.

   Если вы выберете "Нет" и предпочитаете управлять записями DNS вручную, сначала завершите настройку приватного канала. Включите эту частную конечную точку и конфигурацию AMPLS, а затем настройте DNS в соответствии с инструкциями в конфигурации DNS частной конечной точки Azure. Не создавайте пустые записи в качестве подготовки к настройке приватного канала. Создаваемые записи DNS могут переопределить существующие параметры и повлиять на подключение к Azure Monitor.

   Выберите "Да" или "Нет" и используете собственные пользовательские DNS-серверы, необходимо настроить условные серверы пересылки для серверов общедоступной зоны DNS, упомянутых в конфигурации DNS частной конечной точки Azure. Условные серверы пересылки должны пересылать DNS-запросы в Azure DNS.

   

6. Вкладка "Просмотр и создание"

   1. После прохождения проверки нажмите кнопку "Создать".

Настройка доступа к ресурсам AMPLS

В меню AMPLS выберите сетевую изоляцию , чтобы контролировать, какие сети могут достичь ресурса через приватный канал, и независимо от того, могут ли другие сети связаться с ним.

Подключенные AMPLS

На этом экране можно просмотреть и настроить подключения ресурса к AMPLS. Подключение к AMPLS позволяет трафику из подключенной виртуальной сети, подключенной к ресурсу. Он имеет тот же эффект, что и подключение из области, описанной в разделе "Подключение ресурсов Azure Monitor".

Чтобы добавить новое подключение, нажмите кнопку "Добавить " и выберите AMPLS. Ресурс может подключаться к пяти объектам AMPLS, как описано в ограничениях AMPLS.

Конфигурация доступа к виртуальным сетям

Эти параметры управляют доступом из общедоступных сетей, не подключенных к перечисленным областям. Это включает доступ к журналам, метрикам и потоку динамических метрик. Он также включает в себя интерфейсы, созданные на основе этих данных, таких как книги, панели мониторинга, интерфейсы клиента на основе API запросов и аналитические сведения в портал Azure. Интерфейсы, выполняемые вне портал Azure и запрашивающие данные Log Analytics, также должны выполняться в частной виртуальной сети.

• Если вы устанавливаете прием данных из общедоступных сетей, не подключенных через область Приватный канал значение "Нет", клиенты, такие как компьютеры или пакеты SDK за пределами подключенных областей, не могут отправлять данные или отправлять журналы в ресурс.
• Если вы настроите запросы из общедоступных сетей, не подключенных через область Приватный канал, значение "Нет", клиенты, такие как компьютеры или пакеты SDK за пределами подключенных областей, не могут запрашивать данные в ресурсе.

Работа с AMPLS с помощью CLI

Создание AMPLS с режимами открытого доступа

Следующая команда CLI создает новый ресурс AMPLS с заданным "my-scope"режимом доступа к запросу и приему Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Установить флаги доступа к ресурсам

Для управления флагами доступа к рабочей области или компонентам используйте флаги [--ingestion-access {Disabled, Enabled}] и [--query-access {Disabled, Enabled}]в az monitor log-analytics workspace или az monitor app-insights component.

Работа с AMPLS с помощью PowerShell

Создание AMPLS

Следующий сценарий PowerShell создает новый ресурс AMPLS с заданным "my-scope"режимом Open доступа к запросу, но для режима доступа приема задано значение PrivateOnly. Этот параметр означает, что это позволит прием только ресурсам в AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Настройка режимов доступа AMPLS

Используйте следующий код PowerShell, чтобы задать флаги режима доступа в AMPLS после его создания.

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

Шаблоны ARM

Создание AMPLS

Следующий шаблон ARM выполняет следующее:

• Имя AMPLS "my-scope"с режимами Openдоступа к запросу и приему.
• Рабочая область Log Analytics с именем "my-workspace".
• Добавляет ограниченный ресурс в "my-scope" имя "my-workspace-connection"AMPLS.

{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Проверка и проверка конфигурации AMPLS

Выполните действия, описанные в этом разделе, чтобы просмотреть и проверить настройку приватного канала.

Просмотр параметров DNS конечной точки

Частная конечная точка, созданная в этой статье, должна иметь следующие пять зон DNS:

• privatelink.monitor.azure.com
• privatelink.oms.opinsights.azure.com
• privatelink.ods.opinsights.azure.com
• privatelink.agentsvc.azure-automation.net
• privatelink.blob.core.windows.net

Каждая из этих зон сопоставляет конкретные конечные точки Azure Monitor с частными IP-адресами из пула IP-адресов виртуальной сети. IP-адреса, показанные на приведенных ниже изображениях, являются только примерами. Вместо этого в конфигурации должны отображаться частные IP-адреса из вашей сети.

privatelink-monitor-azure-com

Эта зона охватывает глобальные конечные точки, используемые Azure Monitor, что означает, что конечные точки обслуживают запросы глобально или регионально, а не запросы, относящиеся к ресурсам. Эта зона должна иметь конечные точки, сопоставленные со следующими точками:

• in.ai: конечная точка приема Application Insights (как глобальная, так и региональная запись).
• api: конечная точка API Application Insights и Log Analytics.
• live: конечная точка динамических метрик Application Insights.
• профилировщик: Application Insights Profiler для конечной точки .NET.
• моментальный снимок: конечная точка моментального снимка Application Insights.
• diagservices-query: Application Insights Profiler для .NET и отладчика моментальных снимков (используется при доступе к профилировщику или отладчику приводит к портал Azure).

Эта зона также охватывает конечные точки, относящиеся к ресурсам, для следующих контроллеров домена:

• <unique-dce-identifier>.<regionname>.handler.control: частная конечная точка конфигурации, часть ресурса DCE.

• <unique-dce-identifier>.<regionname>.ingest: частная конечная точка приема данных, часть ресурса DCE.

  

Конечные точки Log Analytics

Log Analytics использует следующие четыре зоны DNS:

• privatelink-oms-opinsights-azure-com: охватывает сопоставление конкретных рабочих областей с конечными точками OMS. Вы увидите запись для каждой рабочей области, связанной с AMPLS, подключенной к этой частной конечной точке.
• privatelink-ods-opinsights-azure-com: охватывает сопоставление конкретных рабочих областей с конечными точками ODS, которые являются конечными точками приема Log Analytics. Вы увидите запись для каждой рабочей области, связанной с AMPLS, подключенной к этой частной конечной точке.
• privatelink-agentsvc-azure-automation-net*: охватывает сопоставление конкретных рабочих областей с конечными точками автоматизации службы агента. Вы увидите запись для каждой рабочей области, связанной с AMPLS, подключенной к этой частной конечной точке.
• privatelink-blob-core-windows-net: настраивает подключение к учетной записи хранения пакетов решений глобальных агентов. Через него агенты могут скачать новые или обновленные пакеты решений, которые также называются пакетами управления. Для работы со всеми агентами Log Analytics требуется всего одна запись, независимо от числа используемых рабочих областей. Эта запись добавляется только в настройки приватного канала, созданные с 19 апреля 2021 г. (или начиная с июня 2021 г. в национальных облаках Azure).

На следующем снимке экрана показаны конечные точки, сопоставленные для AMPLS с двумя рабочими областями в восточной части США и одной рабочей областью в Западной Европе. Обратите внимание, что рабочие области "Восточная часть США" используют IP-адреса. Конечная точка рабочей области Западной Европы сопоставляется с другим IP-адресом. Конечная точка большого двоичного объекта настроена, хотя она не отображается на этом изображении.

Проверка связи по AMPLS

• Чтобы проверить, отправляются ли ваши запросы через частную конечную точку, просмотрите их с помощью браузера или средства отслеживания сети. Например, при попытке запросить рабочую область или приложение убедитесь, что запрос отправляется в частный IP-адрес, сопоставленный с конечной точкой API. В этом примере это 172.17.0.9.

  Примечание.

  Некоторые браузеры могут использовать другие параметры DNS. Дополнительные сведения см. в разделе "Параметры DNS браузера". Убедитесь, что параметры DNS применяются.

• Чтобы убедиться, что рабочие области или компоненты не получают запросы из общедоступных сетей (не подключены через AMPLS), задайте для общедоступного приема и запроса флаги ресурса значение "Нет ", как описано в разделе "Настройка доступа к ресурсам".

• С клиента в защищенной сети используйте nslookup для любой из конечных точек, перечисленных в зонах DNS. Он должен быть разрешен сервером DNS на сопоставленные частные IP-адреса вместо общедоступных IP-адресов, используемых по умолчанию.

Локальное тестирование

Чтобы локально протестировать частные каналы, не влияя на другие клиенты в сети, не обновите DNS при создании частной конечной точки. Вместо этого измените файл узлов на компьютере, чтобы он отправлял запросы к конечным точкам приватного канала:

• Настройте приватный канал, но при подключении к частной конечной точке не следует автоматически интегрироваться с DNS.
• Настройте соответствующие конечные точки в файлах hosts на компьютерах.

Дополнительная настройка

Размер сетевой подсети

Наименьшая поддерживаемая подсеть IPv4 — /27 с использованием определений подсети CIDR. Хотя виртуальные сети Azure могут быть меньше /29, Azure резервирует пять IP-адресов. Для настройки приватного канала Azure Monitor требуется не менее 11 IP-адресов, даже если вы подключаетесь к одной рабочей области. Просмотрите параметры DNS конечной точки для списка конечных точек приватного канала Azure Monitor.

Портал Azure

Чтобы использовать интерфейсы портала Azure Monitor для Application Insights, Log Analytics и DCEs, разрешите доступ к расширениям портал Azure и Azure Monitor в частных сетях. Добавьте теги службы AzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstParty и AzureFrontdoor.Frontend в группу безопасности сети.

Программный доступ

Чтобы использовать REST API, Azure CLI или PowerShell с Azure Monitor в частных сетях, добавьте теги службы AzureActiveDirectory и AzureResourceManager в брандмауэр.

Параметры DNS для браузера

Если вы подключаетесь к ресурсам Azure Monitor через приватный канал, трафик к этим ресурсам должен пройти через частную конечную точку, настроенную в вашей сети. Чтобы включить частную конечную точку, обновите параметры DNS, как описано в разделе "Подключение к частной конечной точке". Некоторые браузеры используют собственные параметры DNS вместо заданных вами. Браузер может попытаться подключиться к общедоступным конечным точкам Azure Monitor и полностью обойти приватный канал. Убедитесь, что параметры браузера не переопределяют или кэшируют старые параметры DNS.

Ограничение запросов: оператор externaldata

• Оператор externaldata не поддерживается через приватный канал, так как он считывает данные из учетных записей хранения, но не гарантирует, что доступ к хранилищу осуществляется в частном порядке.
• Прокси-сервер Azure Data Explorer (прокси-сервер ADX) позволяет запросам журналов запрашивать Azure Data Explorer. Прокси-сервер ADX не поддерживается по приватной ссылке, так как он не гарантирует, что доступ к целевому ресурсу осуществляется в частном порядке.

Следующие шаги

• Узнайте о частном хранилище для пользовательских журналов и ключей, управляемых клиентом.
• Узнайте о новых конечных точках сбора данных.

Чтобы создать области Приватный канал и управлять ими, используйте REST API или Azure CLI (az monitor private-link-scope).