使用 Azure Private Link 將網路連線到 Azure 監視器
透過 Azure Private Link,您即可使用私人端點,安全地將 Azure 平台即服務 (PaaS) 資源連結至虛擬網路。 Azure 監視器私人鏈接的結構與其他服務的私人連結不同。 本文說明 Azure 監視器私人連結的主要原則及其運作方式。
搭配 Azure 監視器使用 Private Link 的優點包括下列各項。 如需進一步的優點,請參閱 Private Link 的主要優點。
- 私下連線到 Azure 監視器,而不允許任何公用網路存取。 確保您的監視資料只能透過授權的私人網路存取。
- 藉由定義透過私人端點連線的特定 Azure 監視器資源,防止資料從您的私人網路外洩。
- 使用 Azure ExpressRoute 和 Private Link,將您的私人內部部署網路安全地連線至 Azure 監視器。
- 讓所有的流量都在 Azure 骨幹網路內。
基本概念
Azure 監視器會使用從虛擬網路到 Azure 監視器私人連結範圍 (AMPLS) 的私人端點,使用私人連結連線,而不是為每個虛擬網路所連線的資源建立私人連結。 AMPLS 是一組 Azure 監視器資源,可定義監視網路的界限。
AMPLS 的顯著層面包括下列各項:
- 使用私人IP:虛擬網路上的私人端點可讓您透過來自您網路集區的私人IP,而不是使用這些端點的公用IP來連線到 Azure 監視器端點。 這可讓您繼續使用您的 Azure 監視器資源,而不需開啟虛擬網路以取得未取得的輸出流量。
- 在 Azure 骨幹上執行:從私人端點到 Azure 監視器資源的流量將會通過 Azure 骨幹,且不會路由至公用網路。
- 控制可以連線到哪些 Azure 監視器資源:設定是否只允許流量流向 Private Link 資源,或允許連到 AMPLS 外部的私人連結和非 Private-Link 資源。
- 控制 Azure 監視器資源的網路存取:設定每個工作區或元件以接受或封鎖來自公用網路的流量,可能使用不同的設定來擷取和查詢要求。
DNS 區域
當您建立 AMPLS 時,DNS 區域會將 Azure 監視器端點對應至私人 IP,以透過私人連結傳送流量。 Azure 監視器會使用資源特定的端點和共用的全域/區域端點來連線到 AMPLS 中的工作區和元件。
因為 Azure 監視器會使用一些共用端點,因此即使針對單一資源設定私人連結,也會變更會影響所有資源的流量的 DNS 組態。 使用共用端點也表示您應該針對共用相同 DNS 的所有網路使用單一 AMPLS。 建立多個 AMPLS 資源會導致 Azure 監視器 DNS 區域互相覆寫,並中斷現有的環境。 如需進一步的詳細數據,請參閱 依網路拓撲 規劃。
共用的全域和區域端點
當您即使是針對單一資源設定私人連結時,也會透過配置的私人 IP 來傳送下列端點的流量:
- 所有 Application Insights 端點:處理擷取、即時計量、.NET Profiler 和 Application Insights 端點調試程式的端點都是全域的。
- 查詢端點:為 Application Insights 和 Log Analytics 資源處理其查詢的端點皆為全域端點。
資源特定端點
Log Analytics 端點是工作區特定的,但稍早討論的查詢端點除外。 因此,將特定的 Log Analytics 工作區新增至 AMPLS,將會透過私人連結將擷取要求傳送至這個工作區。 對其他工作區的擷取將會繼續使用公用端點。
資料收集端點也是資源特定的。 您可以使用這些端點來獨特地設定擷取設定,以在您使用 Azure 監視器代理程式和資料收集規則時,從您的電腦 (或一組電腦) 收集客體作業系統遙測資料。 設定一組電腦的資料收集端點不會影響從使用新代理程式的其他電腦擷取客體遙測資料。
下一步
- 設計您的 Azure Private Link 設定。
- 了解如何設定您的私人連結。
- 了解自訂記錄和客戶自控金鑰的私人儲存體。