Подключение сетей к Azure Monitor с помощью Приватного канала Azure

С помощью Приватного канала Azure вы можете безопасно связать ресурсы платформы Azure как службы (PaaS) с виртуальной сетью с помощью частных конечных точек. Частные ссылки Azure Monitor структурированы по-разному от частных ссылок к другим службам. В этой статье описываются основные принципы приватных ссылок Azure Monitor и их функционирование.

Преимущества использования Приватный канал с Azure Monitor включают следующие преимущества. Ознакомьтесь с ключевыми преимуществами Приватный канал для получения дополнительных преимуществ.

• Подключитесь к Azure Monitor в частном порядке, не разрешая доступ к общедоступной сети. Убедитесь, что данные мониторинга доступны только через авторизованные частные сети.
• Предотвращение кражи данных из частных сетей путем определения определенных ресурсов Azure Monitor, которые подключаются через частную конечную точку.
• Безопасно подключите частную локальную сеть к Azure Monitor с помощью Azure ExpressRoute и Приватный канал.
• Сохраните весь трафик в магистральной сети Azure.

Основные понятия

Вместо создания приватного канала для каждого ресурса, к которому подключается виртуальная сеть, Azure Monitor использует одно частное подключение с помощью частной конечной точки из виртуальной сети к области Приватный канал Azure Monitor (AMPLS). AMPLS — это набор ресурсов Azure Monitor, определяющих границы сети мониторинга.

Важные аспекты AMPLS включают следующие:

• Использует частные IP-адреса: частная конечная точка в виртуальной сети позволяет ей достигать конечных точек Azure Monitor через частные IP-адреса из пула сети, а не использовать общедоступные IP-адреса этих конечных точек. Это позволяет продолжать использовать ресурсы Azure Monitor без открытия виртуальной сети для неисправного исходящего трафика.
• Выполняется в магистрали Azure: трафик из частной конечной точки в ресурсы Azure Monitor будет проходить через магистраль Azure, а не направляться в общедоступные сети.
• Определяет, какие ресурсы Azure Monitor можно достичь: настройте, разрешать ли трафик только Приватный канал ресурсам или как к Приватный канал, так и к ресурсам без приватного канала за пределами AMPLS.
• Управляет сетевым доступом к ресурсам Azure Monitor: настройте каждую рабочую область или компоненты для приема или блокировки трафика из общедоступных сетей, потенциально используя различные параметры приема данных и запросов.

Зоны DNS

При создании AMPLS зоны DNS сопоставляют конечные точки Azure Monitor с частными IP-адресами для отправки трафика через приватный канал. Azure Monitor использует конечные точки, относящиеся к ресурсам, и общие глобальные или региональные конечные точки для доступа к рабочим областям и компонентам в AMPLS.

Так как Azure Monitor использует некоторые общие конечные точки, настройка приватного канала даже для одного ресурса изменяет конфигурацию DNS, которая влияет на трафик ко всем ресурсам. Использование общих конечных точек также означает, что следует использовать один ресурс AMPLS для всех сетей, использующих одну и ту же службу DNS. Создание нескольких ресурсов AMPLS приведет к переопределении между зонами DNS Azure Monitor и разрывом существующих сред. Дополнительные сведения см. в разделе "Планирование по топологии сети".

Общие глобальные и региональные конечные точки

При настройке Приватный канал даже для одного ресурса трафик к следующим конечным точкам будет отправлен через выделенные частные IP-адреса:

• Все конечные точки Application Insights: конечные точки, обрабатывающие прием, динамические метрики, профилировщик .NET и отладчик для конечных точек Application Insights, являются глобальными.
• Конечная точка запроса: конечная точка, обрабатывая запросы к ресурсам Application Insights и Log Analytics, являются глобальными.

Конечные точки для ресурсов

Конечные точки Log Analytics относятся к рабочей области, за исключением конечной точки запроса, описанной ранее. В результате добавление определенной рабочей области Log Analytics в AMPLS отправляет запросы приема в эту рабочую область через приватную ссылку. Прием в другие рабочие области будет продолжать использовать общедоступные конечные точки.

Конечные точки сбора данных также относятся к ресурсам. Их можно использовать для уникальной настройки параметров приема для сбора данных телеметрии гостевой ОС с компьютеров (или набора компьютеров) при использовании новых правил сбора данных агента Azure Monitor и сбора данных. Настройка конечной точки сбора данных для набора компьютеров не влияет на прием гостевой телеметрии с других компьютеров, использующих новый агент.

Следующие шаги

• Разработка настройки Приватный канал Azure.
• Узнайте, как настроить приватный канал.
• Узнайте о частном хранилище для пользовательских журналов и ключей, управляемых клиентом.