使用 Private Link 來啟用 Azure 監視器代理程式的網路隔離
根據預設,Azure 監視器代理程式會連線到公用端點,以連線到您的 Azure 監視器環境。 本文說明如何使用 Azure Private Link 為您的代理程式啟用網路隔離。
必要條件
- 資料收集規則,定義 Azure 監視器代理程式收集的資料,以及代理程式傳送資料的目的地。
建立資料收集端點 (DCE)
針對每個區域建立 DCE ,讓代理程式連線到 ,而不是使用公用端點。 代理程式只能連線到相同區域中的資料收集端點。 若您在多個區域中都有代理程式,則必須在每個區域中建立一個資料收集端點。
設定私人連結
設定您的私人連結 ,將您的 DCE 連線到一組 Azure 監視器資源,以定義監視網路的界限。 這組被稱為 Azure 監視器私人連結範圍。
將 DCE 新增至 Azure 監視器 Private Link 範圍 (AMPLS)
將 DCE 新增至您的 AMPLS 資源。 此流程會將資料收集端點新增至您的私人 DNS 區域 (請參閱如何驗證) 並允許透過私人連結進行通訊。 您可以從 AMPLS 資源或在現有資料收集端點資源上的 [網路隔離] 索引標籤執行此工作。
重要
在數據收集規則中設定的其他 Azure 監視器資源,例如 Log Analytics 工作區和數據收集端點 (DCE),而您想要傳送數據給的資源必須屬於此相同 AMPLS 資源的一部分。
將 DCE 與目標資源產生關聯
藉由編輯 Azure 入口網站中的資料收集規則,將資料收集端點與目標資源產生關聯。 在 [資源] 索引標籤上,選取 [啟用資料收集端點]。 為每個虛擬機器選取資料收集端點。 請參閱設定 Azure 監視器代理程式的資料收集。