Menggunakan titik akhir privat untuk ruang kerja Prometheus terkelola dan Azure Monitor
Gunakan titik akhir privat untuk Prometheus Terkelola dan ruang kerja Azure Monitor Anda untuk memungkinkan klien di jaringan virtual (VNet) mengkueri data dengan aman melalui Private Link. Titik akhir privat menggunakan alamat IP terpisah dalam ruang alamat VNet sumber daya ruang kerja Azure Monitor Anda. Lalu lintas jaringan antara klien di VNet dan sumber daya ruang kerja melintasi VNet dan tautan privat di jaringan backbone Microsoft, menghilangkan paparan dari internet publik.
Catatan
Jika Anda menggunakan Azure Managed Grafana untuk mengkueri data Anda, konfigurasikan Titik Akhir Privat Terkelola untuk memastikan kueri dari Grafana Terkelola ke ruang kerja Azure Monitor Anda menggunakan jaringan backbone Microsoft tanpa melalui internet.
Menggunakan titik akhir privat untuk ruang kerja memungkinkan Anda untuk:
- Amankan ruang kerja Anda dengan mengonfigurasi pengaturan jaringan akses publik untuk memblokir semua koneksi pada titik akhir kueri publik untuk ruang kerja.
- Meningkatkan keamanan untuk VNet, dengan memungkinkan Anda memblokir penyelundupan data dari VNet.
- Sambungkan dengan aman ke ruang kerja dari jaringan lokal yang tersambung ke VNet menggunakan VPN atau ExpressRoutes dengan peering privat.
Ringkasan konseptual
Titik akhir privat adalah antarmuka jaringan khusus untuk layanan Azure di Jaringan Virtual (VNet) Anda. Saat Anda membuat titik akhir privat untuk ruang kerja Anda, titik akhir tersebut menyediakan konektivitas yang aman antara klien di VNet dan ruang kerja Anda. Titik akhir privat diberi alamat IP dari rentang alamat IP VNet Anda. Koneksi antara titik akhir privat dan ruang kerja menggunakan tautan privat yang aman.
Aplikasi di VNet dapat terhubung ke ruang kerja melalui titik akhir privat dengan mulus, menggunakan string koneksi dan mekanisme otorisasi yang sama yang akan mereka gunakan sebaliknya.
Titik akhir privat dapat dibuat di subnet yang menggunakan Titik Akhir Layanan. Klien di subnet kemudian dapat terhubung ke ruang kerja menggunakan titik akhir privat, sambil menggunakan titik akhir layanan untuk mengakses layanan lain.
Saat Anda membuat titik akhir privat untuk ruang kerja di VNet Anda, permintaan persetujuan dikirim untuk persetujuan ke pemilik akun ruang kerja. Jika pengguna yang meminta pembuatan titik akhir privat juga merupakan pemilik ruang kerja, permintaan persetujuan ini secara otomatis disetujui.
Pemilik ruang kerja Azure Monitor dapat mengelola permintaan persetujuan dan titik akhir privat melalui tab 'Akses Privat' di halaman Jaringan untuk ruang kerja di portal Azure.
Tip
Jika Anda ingin membatasi akses ke ruang kerja Anda hanya melalui titik akhir privat, pilih 'Nonaktifkan akses publik dan gunakan akses privat' pada tab 'Akses Publik' di halaman Jaringan untuk ruang kerja di portal Azure.
Membuat titik akhir privat
Untuk membuat titik akhir privat dengan menggunakan portal Azure, PowerShell, atau Azure CLI, lihat artikel berikut ini. Artikel ini menampilkan aplikasi web Azure sebagai layanan target, tetapi langkah-langkah untuk membuat tautan privat sama untuk ruang kerja Azure Monitor.
Saat Anda membuat titik akhir privat, pilih JenisMicrosoft.Monitor/accounts sumber daya dan tentukan ruang kerja Azure Monitor yang tersambung dengannya. Pilih prometheusMetrics sebagai sub-sumber daya Target.
Menyambungkan ke titik akhir privat
Klien di VNet yang menggunakan titik akhir privat harus menggunakan titik akhir kueri yang sama untuk ruang kerja monitor Azure sebagai klien yang terhubung ke titik akhir publik. Kami mengandalkan resolusi DNS untuk merutekan koneksi secara otomatis dari VNet ke ruang kerja melalui tautan privat.
Kami membuat zona DNS privat yang dilampirkan ke VNet dengan pembaruan yang diperlukan untuk titik akhir privat, secara default. Namun, jika Anda menggunakan server DNS Anda sendiri, Anda mungkin perlu membuat perubahan tambahan pada konfigurasi DNS Anda. Bagian tentang perubahan DNS di bawah ini menjelaskan pembaruan yang diperlukan untuk titik akhir privat.
Perubahan DNS untuk titik akhir privat
Catatan
Untuk detail tentang cara mengonfigurasi pengaturan DNS Anda untuk titik akhir privat, lihat Konfigurasi DNS Titik Akhir Privat Azure.
Saat Anda membuat titik akhir privat, catatan sumber daya DNS CNAME untuk ruang kerja diperbarui ke alias dalam subdomain dengan awalan privatelink. Secara default, kami juga membuat zona DNS privat, yang terkait dengan privatelink subdomain, dengan catatan sumber daya DNS A untuk titik akhir privat.
Saat Anda menyelesaikan URL titik akhir kueri dari luar VNet dengan titik akhir privat, itu diselesaikan ke titik akhir publik ruang kerja. Ketika diselesaikan dari VNet yang menghosting titik akhir privat, URL titik akhir kueri diselesaikan ke alamat IP titik akhir privat.
Untuk contoh di bawah ini, kami menggunakan k8s02-workspace yang terletak di wilayah US Timur. Nama sumber daya tidak dijamin unik, yang mengharuskan kita untuk menambahkan beberapa karakter setelah nama untuk membuat jalur URL unik; misalnya, k8s02-workspace-<key>. Titik akhir kueri unik ini ditampilkan di halaman Gambaran Umum ruang kerja Azure Monitor.
Catatan sumber daya DNS untuk ruang kerja Azure Monitor saat diselesaikan dari luar VNet yang menghosting titik akhir privat, adalah:
| Nama | Jenis | Nilai |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
CNAME | <Titik akhir publik layanan regional AMW> |
| <Titik akhir publik layanan regional AMW> | A | <Alamat IP publik layanan regional AMW> |
Seperti yang disebutkan sebelumnya, Anda dapat menolak atau mengontrol akses untuk klien di luar VNet melalui titik akhir publik menggunakan tab 'Akses Publik' di halaman Jaringan ruang kerja Anda.
Catatan sumber daya DNS untuk 'k8s02-workspace', ketika diselesaikan oleh klien di VNet yang menghosting titik akhir privat, adalah:
| Nama | Jenis | Nilai |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
A | <Alamat IP titik akhir privat> |
Pendekatan ini memungkinkan akses ke ruang kerja menggunakan titik akhir kueri yang sama untuk klien di VNet yang menghosting titik akhir privat, serta klien di luar VNet.
Jika Anda menggunakan server DNS kustom di jaringan Anda, klien harus dapat menyelesaikan FQDN untuk titik akhir kueri ruang kerja ke alamat IP titik akhir privat. Anda harus mendelegasikan server DNS Anda untuk mendelegasikan subdomain tautan pribadi Anda ke zona DNS pribadi untuk VNet, atau konfigurasikan data A untuk k8s02-workspace dengan alamat IP titik akhir pribadi.
Tip
Saat menggunakan server DNS kustom atau lokal, Anda harus mengonfigurasi server DNS Anda untuk menyelesaikan nama titik akhir kueri ruang kerja di privatelink subdomain ke alamat IP titik akhir privat. Anda dapat melakukannya dengan mendelegasikan subdomain privatelink ke zona DNS privat VNet, atau mengonfigurasikan zona DNS di server DNS Anda dan menambahkan rekaman DNS A.
Nama zona DNS yang direkomendasikan untuk titik akhir privat untuk ruang kerja Azure Monitor adalah:
| Sumber daya | Sub-sumber daya target | Nama zona |
|---|---|---|
| Ruang kerja Azure Monitor | prometheusMetrics | privatelink.<region>.prometheus.monitor.azure.com |
Untuk informasi lebih lanjut tentang mengonfigurasi server DNS Anda sendiri guna mendukung titik akhir privat, lihat artikel berikut:
Harga
Untuk detail harga, lihat Harga Azure Private Link.
Masalah yang diketahui
Perlu diingat masalah umum berikut tentang titik akhir privat untuk ruang kerja Azure Monitor.
Batasan akses kueri ruang kerja untuk klien di VNet dengan titik akhir privat
Klien di VNet dengan titik akhir privat yang ada menghadapi batasan saat mengakses ruang kerja Azure Monitor lainnya yang memiliki titik akhir privat. Misalnya, VNet N1 memiliki titik akhir privat untuk ruang kerja A1. Jika ruang kerja A2 memiliki titik akhir privat di VNet N2, maka klien di VNet N1 juga harus mengkueri data ruang kerja di akun A2 menggunakan titik akhir privat. Jika ruang kerja A2 tidak memiliki titik akhir privat yang dikonfigurasi, maka klien di VNet N1 dapat mengkueri data dari ruang kerja tersebut tanpa titik akhir privat.
Batasan ini adalah hasil dari perubahan DNS yang dibuat saat ruang kerja A2 membuat titik akhir privat.