Dela via

Använda Azure Private Link för att ansluta nätverk till Azure Monitor

  • Artikel

Med Azure Private Link kan du på ett säkert sätt länka Azure Platform as a Service-resurser (PaaS) till ditt virtuella nätverk med hjälp av privata slutpunkter. Privata Azure Monitor-länkar är strukturerade på ett annat sätt än privata länkar till andra tjänster. Den här artikeln beskriver huvudprinciperna för privata Azure Monitor-länkar och hur de fungerar.

Här är några av fördelarna med att använda Private Link med Azure Monitor. Se Viktiga fördelar med Private Link för ytterligare fördelar.

  • Anslut privat till Azure Monitor utan att tillåta åtkomst till offentliga nätverk. Se till att dina övervakningsdata endast nås via auktoriserade privata nätverk.
  • Förhindra dataexfiltrering från dina privata nätverk genom att definiera specifika Azure Monitor-resurser som ansluter via din privata slutpunkt.
  • Anslut ditt privata lokala nätverk på ett säkert sätt till Azure Monitor med hjälp av Azure ExpressRoute och Private Link.
  • Behåll all trafik i Azure-stamnätverket.

Grundläggande begrepp

I stället för att skapa en privat länk för varje resurs som det virtuella nätverket ansluter till använder Azure Monitor en enda privat länkanslutning med hjälp av en privat slutpunkt från det virtuella nätverket till ett Azure Monitor Private Link-omfång (AMPLS). AMPLS är en uppsättning Azure Monitor-resurser som definierar gränserna för ditt övervakningsnätverk.

Diagram som visar grundläggande resurstopologi.

Viktiga aspekter av AMPLS är följande:

  • Använder privata IP-adresser: Den privata slutpunkten i ditt virtuella nätverk gör att den kan nå Azure Monitor-slutpunkter via privata IP-adresser från nätverkets pool i stället för att använda offentliga IP-adresser för dessa slutpunkter. På så sätt kan du fortsätta att använda dina Azure Monitor-resurser utan att öppna det virtuella nätverket för opålitlig utgående trafik.
  • Körs på Azure-stamnätet: Trafik från den privata slutpunkten till dina Azure Monitor-resurser går via Azure-stamnätet och dirigeras inte till offentliga nätverk.
  • Styr vilka Azure Monitor-resurser som kan nås: Konfigurera om du bara vill tillåta trafik till Private Link-resurser eller till både Private Link- och icke-Private-Link-resurser utanför AMPLS.
  • Styr nätverksåtkomsten till dina Azure Monitor-resurser: Konfigurera var och en av dina arbetsytor eller komponenter för att acceptera eller blockera trafik från offentliga nätverk, eventuellt med olika inställningar för datainmatning och frågebegäranden.

DNS-zoner

När du skapar en AMPLS mappar DINA DNS-zoner Azure Monitor-slutpunkter till privata IP-adresser för att skicka trafik via den privata länken. Azure Monitor använder både resursspecifika slutpunkter och delade globala/regionala slutpunkter för att nå arbetsytorna och komponenterna i AMPLS.

Eftersom Azure Monitor använder vissa delade slutpunkter ändrar konfigurationen av en privat länk även för en enskild resurs DNS-konfigurationen som påverkar trafiken till alla resurser. Användningen av delade slutpunkter innebär också att du bör använda en enda AMPLS för alla nätverk som delar samma DNS. Om du skapar flera AMPLS-resurser åsidosätter Azure Monitor DNS-zoner varandra och bryter befintliga miljöer. Mer information finns i Planera efter nätverkstopologi .

Delade globala och regionala slutpunkter

När du konfigurerar Private Link även för en enskild resurs skickas trafik till följande slutpunkter via de allokerade privata IP-adresserna:

  • Alla Application Insights-slutpunkter: Slutpunkter som hanterar inmatning, livemått, Profiler och felsökningsprogrammet till Application Insights-slutpunkter är globala.
  • Frågeslutpunkten: Slutpunkten som hanterar frågor till både Application Insights- och Log Analytics-resurser är global.

Resursspecifika slutpunkter

Log Analytics-slutpunkter är specifika för arbetsytan, förutom den frågeslutpunkt som beskrevs tidigare. Därför skickar tillägg av en specifik Log Analytics-arbetsyta till AMPLS inmatningsbegäranden till den här arbetsytan via den privata länken. Inmatning till andra arbetsytor fortsätter att använda de offentliga slutpunkterna.

Slutpunkter för datainsamling är också resursspecifika. Du kan använda dem för att unikt konfigurera inmatningsinställningar för insamling av telemetridata för gästoperativsystem från dina datorer (eller uppsättningar datorer) när du använder de nya reglerna för Azure Monitor-agent och datainsamling. Att konfigurera en datainsamlingsslutpunkt för en uppsättning datorer påverkar inte inmatning av gästtelemetri från andra datorer som använder den nya agenten.

Nästa steg