設計 Azure 監視器 Private Link 設定
當您建立 Azure 監視器 Private Link 範圍 (AMPLS)時,您會將 Azure 監視器資源的存取限制為僅連線到私人端點的網路。 本文提供如何設計 Azure 監視器私人連結組態和其他考慮的指引,讓您實際使用設定 Azure 監視器的私人連結中的指引來實作它。
AMPLS 限制
AMPLS 物件有下列限制:
- 虛擬網路只能連線到「一個」AMPLS 物件。 這表示 AMPLS 物件必須提供虛擬網路應可存取的所有 Azure 監視器資源的存取權。
- AMPLS 物件最多可以連線到 300 個 Log Analytics 工作區,以及最多 1,000 個 Application Insights 元件。
- Azure 監視器資源最多可以連線到五個 AMPLS。
- AMPLS 物件最多可以連線到10個私人端點。
依網路拓撲規劃
下列各節說明如何根據您的網路拓撲規劃 Azure 監視器私人連結組態。
使用單一 AMPLS 避免 DNS 覆寫
某些網路是由多個虛擬網路或其他連線的網路所組成。 如果這些網路共用相同的 DNS,在其中任何一個網路上設定私人連結將會更新 DNS 並影響所有網路的流量。
在下方圖表中,虛擬網路 10.0.1.x 會連線至 AMPLS1,以建立 DNS 項目將 Azure 監視器端點對應至 10.0.1.x 範圍中的 IP。 之後,虛擬網路 10.0.2.x 會連線至 AMPLS2,將相同的全域/區域端點對應至 10.0.2.x 範圍中的 IP,並覆寫相同的 DNS 項目。 由於這些虛擬網路未對等互連,因此第一個虛擬網路現在無法連線到這些端點。 若要避免此衝突,請僅為每個 DNS 建立單一 AMPLS 物件。
中樞與輪幅網路
中樞與輪輻網路應該使用中樞 (主要) 網路上設定的單一私人連結連線,而不是在每個輪輻虛擬網路上設定。
您可能偏好為輪輻虛擬網路建立個別的私人連結,以允許每個虛擬網路存取一組有限的監視資源。 在此情況下,您可以為每個虛擬網路建立專用的私人端點和 AMPLS。 您也必須確認這項項目不會共用相同的 DNS 區域,以避免 DNS 覆寫。
對等互連的網路
透過網路對等互連,網路可以共用彼此的IP位址,而且最有可能共用相同的 DNS。 在此情況下,請在其他網路可存取的網路上建立單一私人連結。 避免建立多個私人端點和 AMPLS 對象,因為只會套用 DNS 中的最後一個集合。
隔離網路
如果您的網路並未對等互連,則必須同時分隔其 DNS,才能使用私人連結。 然後,您可以為每個網路建立個別的私人端點,以及個別的 AMPLS 物件。 您的 AMPLS 物件可以連結至相同或不同的工作區/元件。
選取存取模式
私人連結存取模式可讓您控制私人連結如何影響您的網路流量。 您選取的動作對於確保連續、不間斷的網路流量至關重要。
存取模式可以套用至連線到 AMPLS 的所有網路,或套用至連線到它的特定網路。 存取模式是針對擷取和查詢個別設定。 例如,您可以為擷取設定「僅限私人」模式,並為查詢設定「開放」模式。
重要
Log Analytics 擷取會使用資源特定的端點,因此它不符合 AMPLS 存取模式。 為了確保 Log Analytics 擷取要求無法從 AMPLS 以外存取工作區,請將網路防火牆設定為不論 AMPLS 存取模式為何,皆封鎖公用端點的流量。
僅限私人存取模式
此模式可讓虛擬網路只連線到 AMPLS 中的私人鏈接資源。 這是最安全的選項,可封鎖從 AMPLS 流出至 Azure 監視器資源的流量,以防止數據外洩。
開啟存取模式
此模式可讓虛擬網路同時連線到私人鏈接資源和不在 AMPLS 中的資源(如果他們 接受來自公用網路的流量)。 開放存取模式無法防止資料外流,但仍提供私人連結的其他優點。 私人鏈接資源的流量會在驗證私人端點之前透過私人端點傳送,然後透過Microsoft骨幹傳送。 開啟模式適用於混合模式,其中某些資源會公開存取,而另一些則透過私人連結存取。 在漸進式上線程序期間,它也很有用。
重要
當您選取存取模式時請務必謹慎。 無論訂用帳戶或租用戶為何,使用僅限私人存取模式,都會封鎖所有共用相同 DNS 之網路之 AMPLS 的資源流量。 如果您無法將所有 Azure 監視器資源新增至 AMPLS,請先新增選取資源並套用「開放」存取模式。 只有在將所有 Azure 監視器資源新增至您的 AMPLS 之後,才能切換至「僅限私人」模式來獲得最高安全性。
設定特定網路的存取模式
AMPLS 資源上設定的存取模式會影響所有網路,但您可針對特定網路覆寫這些設定。
在下方圖表中,VNet1 使用「開放」模式,而 VNet2 使用「僅限私人」模式。 來自 VNet1 的要求可以透過私人連結連線到工作區 1 和元件 2。 只有在元件 3 接受來自公用網路的流量時,要求才能到達元件 3。 VNet2 要求無法到達元件 3。
控制 AMPLS 資源的網路存取
Azure 監視器元件可以設定為下列其中一項:
- 接受或封鎖來自公用網路 (未連線到資源 AMPLS 網路) 的擷取。
- 接受或封鎖來自公用網路 (未連線到資源 AMPLS 網路) 的查詢。
此粒度可讓您根據特定需求設定每個工作區的存取權。 例如,您可能只透過私人連結連線的網路接受擷取,但仍選擇接受來自所有網路、公用和私人的查詢。
注意
封鎖來自公用網路的查詢表示連線 AMPLS 外部的電腦和 SDK 等客戶端無法查詢資源中的數據。 這些資料包括記錄、計量和即時計量資料流。 封鎖來自公用網路的查詢會影響執行這些查詢的所有體驗,例如活頁簿、儀表板、Azure 入口網站中的深入解析,以及從 Azure 入口網站外部執行的查詢。
以下是此網路存取的例外狀況:
- 診斷記錄。 從 診斷設定 傳送至工作區的記錄和計量是透過安全的私人Microsoft通道,不受這些設定控制。
- 自定義計量或 Azure 監視器來賓計量。 從 Azure 監視器代理程式傳送的自訂計量 不受 DCE 控制,且無法透過私人連結進行設定。
注意
透過 Resource Manager API 傳送的查詢無法使用 Azure 監視器私人連結。 只有在目標資源允許來自公用網路的查詢時,這些查詢才能取得存取權。
目前已知下列體驗會透過 Resource Manager API 執行查詢:
- LogicApp 連接器
- 更新管理解決方案
- 資料追蹤方案
- VM 深入解析
- 容器深入解析
- Log Analytics [工作區摘要 (已淘汰)] 窗格 (其中顯示解決方案儀表板)
特殊考量
Application Insights
- 將裝載受監視工作負載的資源新增至私人連結。 如需範例,請參閱針對 Azure Web 應用程式使用私人端點。
- 非入口網站取用體驗也必須在包含受監視工作負載的私人連結虛擬網路上執行。
- 提供您自己的記憶體帳戶 ,以支援 .NET Profiler 和調試程式的私人連結。
注意
若要完全保護工作區型 Application Insights,請鎖定 Application Insights 資源和基礎 Log Analytics 工作區的存取權。
Managed Prometheus
- Private Link 擷取設定是使用 AMPLS 和數據收集端點 (DCE) 上的設定,參考用來儲存 Prometheus 計量的 Azure 監視器工作區。
- Private Link 查詢設定會直接在用來儲存 Prometheus 計量的 Azure 監視器工作區上進行,且不會使用 AMPLS 處理。
下一步
- 了解如何設定您的私人連結。
- 了解自訂記錄和客戶自控金鑰的私人儲存體。
- 了解用於自動化的 Private Link。