Uso de Private Link para conectar redes a Azure Monitor

  • Artículo
  • Tiempo de lectura: 8 minutos

Con Azure Private Link puede vincular de forma segura los recursos de plataforma como servicio (PaaS) de Azure a una red virtual mediante puntos de conexión privados. Azure Monitor es una constelación de diferentes servicios interconectados que funcionan conjuntamente para supervisar las cargas de trabajo. Private Link de Azure Monitor conecta un punto de conexión privado a un conjunto de recursos de Azure Monitor, lo que define los límites de la red de supervisión. A esto se denomina ámbito de Private Link de Azure Monitor (AMPLS).

Nota

Las conexiones de Private Link de Azure Monitor se estructuran de forma diferente a las conexiones de Private Link de otros servicios que puede usar. En lugar de crear varias conexiones de Private Link, una para cada recurso al que se conecta la red virtual, Azure Monitor usa una única conexión de Private Link, desde la red virtual a un ámbito de Private Link de Azure Monitor (AMPLS). AMPLS es el conjunto de todos los recursos de Azure Monitor a los que se conecta la red virtual a través de una conexión de Private Link.

Ventajas

Con Private Link puede:

  • Conectarse de forma privada a Azure Monitor sin necesidad de abrir ningún acceso a la red pública
  • Asegurarse de que solo se accede a los datos de supervisión a través de redes privadas autorizadas
  • Impedir la filtración de datos de las redes privadas mediante la definición de recursos de Azure Monitor específicos que se conectan a través del punto de conexión privado
  • Conectar de forma segura la red local privada a Azure Monitor mediante ExpressRoute y Private Link
  • Mantener todo el tráfico dentro de la red troncal de Microsoft Azure

Para más información, consulte Principales ventajas principales de Private Link.

Funcionamiento: principios principales

Un vínculo privado de Azure Monitor conecta un punto de conexión privado a un conjunto de recursos de Azure Monitor: áreas de trabajo de Log Analytics y recursos de Application Insights. A esto se denomina ámbito de Private Link de Azure Monitor (AMPLS).

Diagram of basic resource topology

  • Uso de IP privadas: el punto de conexión privado de la red virtual le permite acceder a los puntos de conexión de Azure Monitor a través de IP privadas desde el grupo de la red, en lugar de usar las IP públicas de estos puntos de conexión. Esto le permite seguir usando sus recursos de Azure Monitor sin necesidad de abrir la red virtual a un tráfico saliente no necesario.
  • Ejecución en la red troncal de Azure: el tráfico del punto de conexión privado a los recursos de Azure Monitor pasará por la red troncal de Microsoft Azure, no se enrutará hacia las redes públicas.
  • Controle los recursos de Azure Monitor a los que se puede acceder (configure el ámbito de Private Link de Azure Monitor al modo de acceso que prefiera), ya sea permitiendo el tráfico solo a los recursos de Private Link o tanto a los recursos de Private Link como a los recursos que no son de Private Link (recursos de fuera de AMPLS).
  • Controle el acceso de las redes a los recursos de Azure Monitor: configure cada una de las áreas de trabajo o componentes para que acepten o bloqueen el tráfico de redes públicas. Puede aplicar diferentes configuraciones para las solicitudes de ingesta y de consulta.

Al configurar una conexión de Private Link, las zonas DNS asignan puntos de conexión de Azure Monitor a IP privadas, con el fin de enviar el tráfico a través de Private Link. Azure Monitor usa los puntos de conexión específicos del recurso y los puntos de conexión globales o regionales compartidos para acceder a las áreas de trabajo y los componentes de AMPLS.

Advertencia

Dado que Azure Monitor usa algunos puntos de conexión compartidos (es decir, puntos de conexión que no son específicos del recurso), la configuración de una instancia de Private Link incluso para un recurso individual cambia la configuración de DNS que afecta al tráfico que llega a todos los recursos. En otras palabras, el tráfico a todas las áreas de trabajo o componentes resulta afectado por la configuración de una única instancia de Private Link. A continuación encontrará más información.

El uso de puntos de conexión compartidos también significa que se debe utilizar un único AMPLS para todas las redes que comparten el mismo DNS. La creación de varios recursos de AMPLS hará que las zonas DNS de Azure Monitor se invaliden entre sí e interrumpan los entornos existentes. Para más información, consulte Planeamiento por topología de red.

Puntos de conexión globales y regionales compartidos

Al configurar Private Link, incluso para un único recurso, el tráfico a los puntos de conexión siguientes se enviará a través de las IP privadas asignadas.

  • Todos los puntos de conexión de Application Insights: los puntos de conexión que controlan la ingesta, las métricas en directo, el generador de perfiles, el depurador, etc. en los puntos de conexión de Application Insights son globales.
  • Punto de conexión de consulta: el punto de conexión que controla las consultas a los recursos de Application Insights y Log Analytics es global.

Importante

La creación de una instancia de Private Link afecta al tráfico a todos los recursos de supervisión, no solo a los recursos de su AMPLS. De hecho, hará que todas las solicitudes de consulta, así como la ingesta en los componentes de Application Insights pasen por IP privadas. Sin embargo, no significa que la validación de Private Link se aplique a todas estas solicitudes.
Solo se puede acceder a los recursos que no se agregan a AMPLS si el modo de acceso de AMPLS es "Open" (Abierto) y el recurso de destino acepta tráfico de redes públicas. Al usar la IP privada, las validaciones de Private Link no se aplican a los recursos que no estén en AMPLS. Para más información, consulte Modos de acceso de Private Link.

Puntos de conexión específicos del recurso

Los puntos de conexión de Log Analytics son específicos del área de trabajo, excepto en el caso del punto de conexión de consulta mencionado anteriormente. En consecuencia, al agregar un área de trabajo de Log Analytics específica a AMPLS, se enviarán solicitudes de ingesta a esta área de trabajo a través de Private Link, mientras que la ingesta a otras áreas de trabajo seguirá usando los puntos de conexión públicos.

Los puntos de conexión de colección de datos también son específicos para los recursos y le permiten configurar de manera única los valores de ingesta para recopilar datos de telemetría del SO invitado de las máquinas (o el conjunto de máquinas) cuando se usa el agente de Azure Monitor nuevo y las reglas de colección de datos. La configuración de un punto de conexión de colección de datos para un conjunto de máquinas no afecta a la ingesta de telemetría de invitado proveniente de otras máquinas mediante el agente nuevo.

Importante

A partir del 1 de diciembre de 2021, la configuración de DNS de los puntos de conexión privados usará el mecanismo de compresión de punto de conexión, que asigna una única dirección IP privada para todas las áreas de trabajo de la misma región. Así se mejora la escala admitida (hasta 300 áreas de trabajo y 1000 componentes por AMPLS) y se reduce el número total de IP tomadas del grupo de IP de la red.

Como se analiza en Private Link de Azure Monitor se basa en el DNS, solo se debe crear un único recurso AMPLS para todas las redes que comparten el mismo DNS. Como consecuencia, las organizaciones que usan un único DNS global o regional de hecho tienen una única instancia de Private Link para administrar el tráfico a todos los recursos de Azure Monitor, a través de todas las redes globales o regionales.

En el caso de las instancias de Private Link creadas antes de septiembre de 2021, esto significa:

  • La ingesta de registros solo funciona para los recursos de AMPLS. Se rechaza la ingesta a todos los demás recursos (en todas las redes que comparten el mismo DNS), independientemente de la suscripción o el inquilino.
  • Las consultas tienen un comportamiento más abierto, lo que permite que las solicitudes de consulta se comuniquen incluso con recursos que no están en AMPLS. La intención aquí era evitar interrumpir las consultas de clientes a los recursos que no están en AMPLS y permitir que las consultas centradas en recursos devuelvan el conjunto de resultados completo.

Sin embargo, este comportamiento ha demostrado ser demasiado restrictivo para algunos clientes (ya que interrumpe la ingesta en los recursos que no están en AMPLS) y demasiado permisivo para otros (ya que permite consultar recursos que no están en AMPLS).

Por lo tanto, las instancias de Private Link creadas a partir de septiembre de 2021 tienen una nueva configuración de AMPLS obligatoria que establece explícitamente de qué manera Private Link debe afectar al tráfico de red. Al crear un nuevo recurso de AMPLS, ahora es necesario seleccionar los modos de acceso deseados, para la ingesta y las consultas por separado.

  • Modo solo privado: permite el tráfico solo a recursos de Private Link.
  • Modo abierto: usa Private Link para comunicarse con los recursos de AMPLS, pero también permite que el tráfico continúe a otros recursos. Consulte Control de cómo se aplica Private Link a las redes para más información.

Nota

Mientras que las solicitudes de consulta de Log Analytics se ven afectadas por la configuración del modo de acceso AMPLS, las solicitudes de ingesta de Log Analytics usan puntos de conexión específicos del recurso y, por tanto, el modo de acceso AMPLS no las controla. Para asegurarse de que las solicitudes de ingesta de Log Analytics no pueden acceder a áreas de trabajo fuera de AMPLS, establezca el firewall de red para que bloquee el tráfico a los puntos de conexión públicos, independientemente de los modos de acceso de AMPLS.

Nota:

Si ha configurado Log Analytics con Private Link estableciendo inicialmente las reglas del grupo de seguridad de red para permitir el tráfico saliente por ServiceTag:AzureMonitor, las máquinas virtuales conectadas enviarán los registros a través del punto de conexión público. Más adelante, si cambia las reglas para denegar el tráfico saliente por ServiceTag:AzureMonitor, las máquinas virtuales conectadas seguirían enviando registros hasta que reinicie las máquinas virtuales o interrumpa las sesiones. Para asegurarse de que la configuración deseada surta efecto de inmediato, se recomienda reiniciar las máquinas virtuales conectadas.

Pasos siguientes