Share via

Configurare il collegamento privato

  • Articolo

Per configurare un'istanza di collegamento privato di Azure è necessario:

  • Creare un ambito collegamento privato di Monitoraggio di Azure con le risorse.
  • Creare un endpoint privato nella rete e connetterlo all'ambito.
  • Configurare l'accesso necessario nelle risorse di Monitoraggio di Azure.

Questo articolo esamina come viene eseguita la configurazione tramite il portale di Azure. Fornisce un esempio di modello di Azure Resource Manager per automatizzare il processo.

In questa sezione viene esaminato il processo dettagliato di configurazione di un collegamento privato tramite il portale di Azure. Per creare e gestire un collegamento privato usando la riga di comando o un modello di Resource Manager, vedere Usare le API e la riga di comando.

  1. Andare a Crea una risorsa nel portale di Azure e cercare Ambito collegamento privato di Monitoraggio di Azure.

    Screenshot showing finding Azure Monitor Private Link Scope.

  2. Seleziona Crea.

  3. Selezionare una sottoscrizione e un gruppo di risorse.

  4. Assegnare un nome alla risorsa AMPLS. Usare un nome significativo e chiaro, ad esempio AppServerProdTelem.

  5. Selezionare Rivedi e crea.

    Screenshot that shows creating an Azure Monitor Private Link Scope.

  6. Lasciare che la convalida passi e selezionare Crea.

Connettere le risorse di Monitoraggio di Azure

Connessione risorse di Monitoraggio di Azure, ad esempio aree di lavoro Log Analytics, componenti di Application Insights ed endpoint di raccolta dati) in Monitoraggio di Azure collegamento privato Ambito (AMPLS).

  1. In AMPLS selezionare Risorse di Monitoraggio di Azure nel menu a sinistra. Seleziona Aggiungi.

  2. Aggiungere l'area di lavoro o il componente. Selezionando Aggiungi si apre una finestra di dialogo in cui è possibile selezionare Risorse di Monitoraggio di Azure. È possibile esplorare le sottoscrizioni e i gruppi di risorse. È anche possibile immettere i nomi per filtrarli. Selezionare l'area di lavoro o il componente e selezionare Applica per aggiungerli all'ambito.

    Screenshot that shows selecting a scope.

Nota

Per eliminare le risorse di Monitoraggio di Azure è necessario prima disconnetterli da qualsiasi oggetto AMPLS a cui sono connessi. Non è possibile eliminare le risorse connesse a un AMPLS.

Connettersi a un endpoint privato

Ora che si dispone di risorse connesse ad AMPLS, creare un endpoint privato per connettere la rete. È possibile eseguire questa attività nel centro portale di Azure collegamento privato o all'interno dell'AMPLS, come illustrato in questo esempio.

  1. Nella risorsa ambito selezionare Connessioni endpoint privato dal menu della risorsa a sinistra. Selezionare Endpoint privato per avviare il processo di creazione dell'endpoint. È anche possibile approvare le connessioni avviate nel centro collegamento privato qui selezionandole e selezionando Approva.

    Screenshot that shows Private Endpoint connections.

  2. Nella scheda Informazioni di base selezionare la sottoscrizione e il gruppo di risorse

  3. Immettere il nome dell'endpoint e il nome dell'interfaccia di rete

  4. Selezionare l'area in cui deve essere attivo l'endpoint privato. L'area deve essere la stessa area della rete virtuale a cui ci si connette.

  5. Selezionare Avanti: Risorsa.

    A screenshot showing the create private endpoint basics tab.

  6. Nella scheda Risorsa selezionare la sottoscrizione contenente la risorsa Ambito di Monitoraggio di Azure collegamento privato.

  7. In Tipo di risorsa selezionare Microsoft.insights/privateLinkScopes.

  8. Nell'elenco a discesa Risorsa selezionare il collegamento privato Ambito creato in precedenza.

  9. Selezionare Avanti: Rete virtuale.

    Screenshot that shows the Create a private endpoint page in the Azure portal with the Resource tab selected.

  10. Nella scheda Rete virtuale selezionare la rete virtuale e la subnet da connettere alle risorse di Monitoraggio di Azure.

  11. Per Criteri di rete per gli endpoint privati, selezionare Modifica se si desidera applicare gruppi di sicurezza di rete o tabelle di route alla subnet che contiene l'endpoint privato.

    In Modifica criteri di rete subnet selezionare le caselle di controllo accanto a Gruppi di sicurezza di rete e Tabelle di route e selezionare Salva. Per altre informazioni, vedere Gestire i criteri di rete per gli endpoint privati.

  12. Per la configurazione IP privato, per impostazione predefinita, è selezionata l'opzione Allocare dinamicamente l'indirizzo IP. Se si vuole assegnare un indirizzo IP statico, selezionare Allocare in modo statico l'indirizzo IP. Immettere quindi un nome e un indirizzo IP privato.
    Facoltativamente, è possibile selezionare o creare un gruppo di sicurezza dell'applicazione. È possibile usare i gruppi di sicurezza delle applicazioni per raggruppare le macchine virtuali e definire i criteri di sicurezza di rete in base a tali gruppi.

  13. Selezionare Avanti: DNS.

    Screenshot that shows the Create a private endpoint page in the Azure portal with the Virtual Network tab selected.

  14. Nella scheda DNS selezionare per Integrazione con la zona DNS privata e consentire la creazione automatica di una nuova zona DNS privata. Le zone DNS effettive potrebbero essere diverse da quanto illustrato nello screenshot seguente.

    Nota

    Se si seleziona No e si preferisce gestire manualmente i record DNS, completare la configurazione del collegamento privato. Includere questo endpoint privato e la configurazione AMPLS. Configurare quindi il DNS in base alle istruzioni riportate in Configurazione DNS dell'endpoint privato di Azure. Assicurarsi di non creare record vuoti come preparazione per la configurazione del collegamento privato. I record DNS creati possono eseguire l'override delle impostazioni esistenti e influire sulla connettività con Monitoraggio di Azure.

  15. Selezionare Avanti: Tag, quindi selezionare Rivedi e crea.

    Screenshot that shows the Create a private endpoint page in the Azure portal with the DNS tab selected.

  16. In Rivedi e crea una volta superata la convalida selezionare Crea.

A questo punto è stato creato un nuovo endpoint privato connesso a questo file AMPLS.

Configurare l'accesso alle risorse

Finora è stata illustrata la configurazione della rete. È tuttavia consigliabile considerare anche come configurare l'accesso di rete alle risorse monitorate, ad esempio aree di lavoro Log Analytics, componenti di Application Insights ed endpoint di raccolta dati.

Vai al portale di Azure. Nel menu della risorsa trovare Isolamento rete a sinistra. Questa pagina controlla quali reti possono raggiungere la risorsa tramite un collegamento privato e se altre reti possono raggiungerla o meno.

Screenshot that shows Network Isolation.

Qui è possibile esaminare e configurare le connessioni della risorsa a un AMPLS. Connessione a un AMPLS consente il traffico dalla rete virtuale connessa a ogni AMPLS per raggiungere la risorsa. Ha lo stesso effetto della connessione dall'ambito come è stato fatto nella sezione Connessione risorse di Monitoraggio di Azure.

Per aggiungere una nuova connessione, selezionare Aggiungi e selezionare AMPLS. Selezionare Applica per connetterlo. La risorsa può connettersi a cinque oggetti AMPLS, come indicato in Considerare i limiti AMPLS.

Le impostazioni nella parte inferiore di questa pagina controllano l'accesso dalle reti pubbliche, ovvero le reti non connesse agli ambiti elencati.

Se si imposta Accetta l'inserimento dati da reti pubbliche non connesse tramite un ambito collegamento privato su No, i client come computer o SDK all'esterno degli ambiti connessi non possono caricare dati o inviare log alla risorsa.

Se si imposta Accetta query da reti pubbliche non connesse tramite un ambito collegamento privato su No, i client come computer o SDK all'esterno degli ambiti connessi non possono eseguire query sui dati nella risorsa.

Tali dati includono l'accesso a log, metriche e flusso delle metriche in tempo reale. Include anche esperienze basate su cartelle di lavoro, dashboard, esperienze client basate su API di query e informazioni dettagliate nella portale di Azure. Anche le esperienze in esecuzione all'esterno del portale di Azure e che eseguono query sui dati di Log Analytics devono essere eseguite all'interno della rete virtuale collegata privata.

Usare le API e la riga di comando

È possibile automatizzare il processo descritto in precedenza usando modelli arm, REST e interfacce della riga di comando.

Per creare e gestire gli ambiti di collegamento privato, usare l'API REST o l'interfaccia della riga di comando di Azure (az monitor private-link-scope).

Creare un file AMPLS con modalità open access: esempio dell'interfaccia della riga di comando

Il comando dell'interfaccia della riga di comando seguente crea una nuova risorsa AMPLS denominata "my-scope", con modalità di accesso alle query e all'inserimento impostate su Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Creare un file AMPLS con modalità di accesso misto: esempio di PowerShell

Lo script di PowerShell seguente crea una nuova risorsa AMPLS denominata "my-scope", con la modalità di accesso alle query impostata su Open ma le modalità di accesso all'inserimento impostate su PrivateOnly. Questa impostazione consente l'inserimento solo alle risorse nell'AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Creare un modello AMPLS: ARM

Il modello di Resource Manager seguente crea:

  • Ampls denominato "my-scope", con le modalità di accesso alle query e all'inserimento impostate su Open.
  • Un'area di lavoro Log Analytics denominata "my-workspace".
  • E aggiunge una risorsa con ambito a "my-scope" AMPLS denominata "my-workspace-connection".

Nota

Assicurarsi di usare una nuova versione dell'API (2021-07-01-preview o successiva) per la creazione dell'oggetto AMPLS (tipo come indicato di microsoft.insights/privatelinkscopes seguito). Il modello di Resource Manager documentato in passato usava una versione precedente dell'API, che genera un set AMPLS con QueryAccessMode="Open" e IngestionAccessMode="PrivateOnly".

{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Impostare le modalità di accesso AMPLS: esempio di PowerShell

Per impostare i flag della modalità di accesso in AMPLS, è possibile usare lo script di PowerShell seguente. Lo script seguente imposta i flag su Open. Per usare la modalità Solo privato, usare il valore "PrivateOnly".

Attendere circa 10 minuti per rendere effettivo l'aggiornamento delle modalità di accesso AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group-name"
$scopeName = "my-scope"

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

Impostare i flag di accesso alle risorse

Per gestire i flag di accesso all'area di lavoro o ai componenti, usare i flag e in az monitor log-analytics workspace o az monitor app-insights component.[--query-access {Disabled, Enabled}][--ingestion-access {Disabled, Enabled}]

Seguire i passaggi descritti in questa sezione per esaminare e convalidare la configurazione del collegamento privato.

Esaminare le impostazioni DNS dell'endpoint

L'endpoint privato creato dovrebbe ora avere cinque zone DNS configurate:

  • privatelink.monitor.azure.com
  • privatelink.oms.opinsights.azure.com
  • privatelink.ods.opinsights.azure.com
  • privatelink.agentsvc.azure.automation.net
  • privatelink.blob.core.windows.net

Ognuna di queste zone esegue il mapping di endpoint specifici di Monitoraggio di Azure agli indirizzi IP privati dal pool di indirizzi IP della rete virtuale. Gli indirizzi IP illustrati nelle immagini seguenti sono solo esempi. La configurazione dovrebbe invece mostrare indirizzi IP privati dalla propria rete.

Importante

AMPLS e le risorse dell'endpoint privato create a partire dal 1° dicembre 2021, usano un meccanismo denominato Compressione endpoint. Ora gli endpoint specifici delle risorse, ad esempio gli endpoint OMS, ODS e AgentSVC, condividono lo stesso indirizzo IP, per area e per zona DNS. Questo meccanismo indica un minor numero di INDIRIZZI IP provenienti dal pool IP della rete virtuale e molte altre risorse possono essere aggiunte ad AMPLS.

Questa zona copre gli endpoint globali usati da Monitoraggio di Azure, il che significa che gli endpoint servono le richieste a livello globale/a livello di area e non le richieste specifiche delle risorse. Questa zona deve avere endpoint mappati per:

  • in.ai: endpoint di inserimento di Application Insights (sia una voce globale che una voce a livello di area).
  • api: Application Insights e endpoint dell'API Log Analytics.
  • live: endpoint delle metriche attive di Application Insights.
  • profiler: endpoint del profiler di Application Insights.
  • snapshot: endpoint snapshot di Application Insights.
  • diagservices-query: Application Insights Profiler e Snapshot Debugger (usato per l'accesso a profiler/debugger genera il portale di Azure).

Questa zona illustra anche gli endpoint specifici della risorsa per gli endpoint di raccolta dati (DCEs):

  • <unique-dce-identifier>.<regionname>.handler.control: endpoint di configurazione privato, parte di una risorsa DCE.
  • <unique-dce-identifier>.<regionname>.ingest: endpoint di inserimento privato, parte di una risorsa DCE.

Screenshot that shows Private DNS zone monitor-azure-com.

Endpoint di Log Analytics

Importante

AMPLS e endpoint privati creati a partire dal 1° dicembre 2021, usano un meccanismo denominato Compressione endpoint. A questo punto, ogni endpoint specifico della risorsa, ad esempio OMS, ODS e AgentSVC, usa un singolo indirizzo IP, per area e per zona DNS, per tutte le aree di lavoro in tale area. Questo meccanismo indica un minor numero di INDIRIZZI IP provenienti dal pool IP della rete virtuale e molte altre risorse possono essere aggiunte ad AMPLS.

Log Analytics usa quattro zone DNS:

  • privatelink-oms-opinsights-azure-com: copre il mapping specifico dell'area di lavoro agli endpoint OMS. Verrà visualizzata una voce per ogni area di lavoro collegata all'AMPLS connesso a questo endpoint privato.
  • privatelink-ods-opinsights-azure-com: copre il mapping specifico dell'area di lavoro agli endpoint ODS, ovvero gli endpoint di inserimento di Log Analytics. Verrà visualizzata una voce per ogni area di lavoro collegata all'AMPLS connesso a questo endpoint privato.
  • privatelink-agentsvc-azure-automation-net: copre il mapping specifico dell'area di lavoro agli endpoint di automazione del servizio agente. Verrà visualizzata una voce per ogni area di lavoro collegata all'AMPLS connesso a questo endpoint privato.
  • privatelink-blob-core-windows-net: configura la connettività all'account di archiviazione dei pacchetti di soluzioni degli agenti globali. Tramite di esso, gli agenti possono scaricare pacchetti di soluzioni nuovi o aggiornati, noti anche come Management Pack. Per gestire tutti gli agenti di Log Analytics è necessaria una sola voce, indipendentemente dal numero di aree di lavoro usate. Questa voce viene aggiunta solo alle configurazioni di collegamento privato create al 19 aprile 2021 (o a partire da giugno 2021 nei cloud sovrani di Azure).

Lo screenshot seguente mostra gli endpoint mappati per un file AMPLS con due aree di lavoro negli Stati Uniti orientali e un'area di lavoro in Europa occidentale. Si noti che le aree di lavoro degli Stati Uniti orientali condividono gli indirizzi IP. L'endpoint dell'area di lavoro Europa occidentale viene mappato a un indirizzo IP diverso. L'endpoint BLOB non viene visualizzato in questa immagine, ma è configurato.

Screenshot that shows private link compressed endpoints.

Assicurarsi che il collegamento privato sia in un buon ordine di lavoro:

  • Per verificare che le richieste vengano ora inviate tramite l'endpoint privato, è possibile esaminarle con uno strumento di rilevamento di rete o anche con il browser. Ad esempio, quando si tenta di eseguire una query sull'area di lavoro o sull'applicazione, assicurarsi che la richiesta venga inviata all'indirizzo IP privato mappato all'endpoint API. In questo esempio è 172.17.0.9.

    Nota

    Alcuni browser potrebbero usare altre impostazioni DNS. Per altre informazioni, vedere Impostazioni DNS del browser. Assicurarsi che vengano applicate le impostazioni DNS.

  • Per assicurarsi che le aree di lavoro o i componenti non ricevano richieste da reti pubbliche (non connesse tramite AMPLS), impostare i flag di query e inserimento pubblico della risorsa su No , come illustrato in Configurare l'accesso alle risorse.

  • Da un client nella rete protetta, usare nslookup per qualsiasi endpoint elencato nelle zone DNS. Deve essere risolto dal server DNS agli INDIRIZZI IP privati mappati anziché agli INDIRIZZI IP pubblici usati per impostazione predefinita.

Passaggi successivi