你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure 专用链接为 Azure Monitor 代理启用网络隔离

默认情况下，Azure Monitor 代理会连接到公共终结点以连接到你的 Azure Monitor 环境。 本文介绍如何使用 Azure 专用链接为代理启用网络隔离。

先决条件

• 数据收集规则 (DCR)，用于定义 Azure Monitor 代理收集的数据以及代理将数据发送到的位置。

创建数据收集终结点

为每个区域创建一个数据收集终结点 (DCE) 来让代理连接，而不使用公共终结点。 代理只能连接到与其位于同一区域的 DCE。 如果在多个区域中有代理，请在每个相关区域中创建一个 DCE。

配置专用链接

配置专用链接，将 DCE 连接到一组 Azure Monitor 资源，这些资源定义了监视网络的边界。 此集合是一个 Azure Monitor 专用链接范围实例。

将 DCE 添加到 Azure Monitor 专用链接范围

将 DCE 添加到 Azure Monitor 专用链接范围资源。 此过程会将 DCE 添加到专用域名系统 (DNS) 区域（请参阅如何验证）并允许通过专用链接进行通信。 可以从 Azure Monitor 专用链接范围资源或在现有 DCE 资源的“网络隔离”选项卡上执行此任务。

重要

其他 Azure Monitor 资源（如 Log Analytics 工作区和 DCR 中你向其发送数据的 DCE）必须包含在此 Azure Monitor 专用链接范围资源中。

将 DCE 与目标资源关联起来

通过在 Azure 门户中编辑 DCR，将 DCE 关联到目标资源。 在“资源”选项卡上，选择“启用数据收集终结点”。 为每个虚拟机选择 DCE。 有关详细信息，请参阅为 Azure Monitor 代理配置数据收集。

相关内容

• 详细了解在 Azure Monitor 中监视虚拟机的最佳做法。