Używanie usługi Azure Private Link do łączenia sieci z usługą Azure Monitor

  • Artykuł

Usługa Azure Private Link umożliwia bezpieczne łączenie zasobów platformy Azure jako usługi (PaaS) z siecią wirtualną przy użyciu prywatnych punktów końcowych. Azure Monitor to konstelacja różnych połączonych usług, które współpracują ze sobą w celu monitorowania obciążeń. Łącze prywatne usługi Azure Monitor łączy prywatny punkt końcowy z zestawem zasobów usługi Azure Monitor w celu zdefiniowania granic sieci monitorowania. Ten zestaw jest nazywany zakresem usługi Azure Monitor Private Link (AMPLS).

Uwaga

Linki prywatne usługi Azure Monitor różnią się strukturą od linków prywatnych do innych usług, których możesz używać. Zamiast tworzyć wiele łączy prywatnych, po jednym dla każdego zasobu, z którego łączy się sieć wirtualna, usługa Azure Monitor używa jednego połączenia łącza prywatnego z sieci wirtualnej do sieci AMPLS. AMPLS to zestaw wszystkich zasobów usługi Azure Monitor, z którymi sieć wirtualna łączy się za pośrednictwem łącza prywatnego.

Zalety

Za pomocą usługi Private Link możesz wykonywać następujące czynności:

  • Połączenie prywatnie do usługi Azure Monitor bez otwierania dostępu do sieci publicznej.
  • Upewnij się, że dane monitorowania są dostępne tylko za pośrednictwem autoryzowanych sieci prywatnych.
  • Zapobiegaj eksfiltracji danych z sieci prywatnych, definiując określone zasoby usługi Azure Monitor łączące się za pośrednictwem prywatnego punktu końcowego.
  • Bezpiecznie połącz prywatną sieć lokalną z usługą Azure Monitor przy użyciu usług Azure ExpressRoute i Private Link.
  • Zachowaj cały ruch wewnątrz sieci szkieletowej platformy Azure.

Aby uzyskać więcej informacji, zobacz Najważniejsze zalety usługi Private Link.

Jak to działa: Główne zasady

Link prywatny usługi Azure Monitor łączy prywatny punkt końcowy z zestawem zasobów usługi Azure Monitor składających się z obszarów roboczych usługi Log Analytics i zasobów usługi Application Szczegółowe informacje. Ten zestaw jest nazywany zakresem usługi Azure Monitor Private Link.

Diagram that shows basic resource topology.

An AMPLS:

  • Używa prywatnych adresów IP: prywatny punkt końcowy w sieci wirtualnej umożliwia dostęp do punktów końcowych usługi Azure Monitor za pośrednictwem prywatnych adresów IP z puli sieci, zamiast używania publicznych adresów IP tych punktów końcowych. Z tego powodu możesz nadal korzystać z zasobów usługi Azure Monitor bez otwierania sieci wirtualnej w celu nieodpowiągnionego ruchu wychodzącego.
  • Działa w sieci szkieletowej platformy Azure: ruch z prywatnego punktu końcowego do zasobów usługi Azure Monitor będzie przechodził przez sieć szkieletową platformy Azure i nie będzie kierowany do sieci publicznych.
  • Określa, które zasoby usługi Azure Monitor można uzyskać: Skonfiguruj usługę AMPLS do preferowanego trybu dostępu. Możesz zezwolić na ruch tylko do zasobów usługi Private Link lub do zasobów usługi Private Link i zasobów spoza usługi Private Link (zasobów z ampLS).
  • Kontroluje dostęp sieciowy do zasobów usługi Azure Monitor: skonfiguruj każdy z obszarów roboczych lub składników tak, aby akceptował lub blokował ruch z sieci publicznych. Możesz zastosować różne ustawienia pozyskiwania i wysyłania zapytań.

Podczas konfigurowania połączenia łącza prywatnego strefy DNS mapuje punkty końcowe usługi Azure Monitor na prywatne adresy IP w celu wysyłania ruchu za pośrednictwem łącza prywatnego. Usługa Azure Monitor używa zarówno punktów końcowych specyficznych dla zasobów, jak i udostępnionych globalnych/regionalnych punktów końcowych, aby uzyskać dostęp do obszarów roboczych i składników w usłudze AMPLS.

Ostrzeżenie

Ponieważ usługa Azure Monitor używa niektórych udostępnionych punktów końcowych (czyli punktów końcowych, które nie są specyficzne dla zasobów), skonfigurowanie łącza prywatnego nawet dla pojedynczego zasobu zmienia konfigurację DNS, która wpływa na ruch do wszystkich zasobów. Innymi słowy ruch do wszystkich obszarów roboczych lub składników ma wpływ na konfigurację pojedynczego łącza prywatnego.

Użycie udostępnionych punktów końcowych oznacza również, że należy użyć pojedynczej listy AMPLS dla wszystkich sieci, które współużytkujące ten sam system DNS. Utworzenie wielu zasobów AMPLS spowoduje, że strefy DNS usługi Azure Monitor przesłonią się nawzajem i przerwą istniejące środowiska. Aby dowiedzieć się więcej, zobacz Planowanie według topologii sieci.

Udostępnione globalne i regionalne punkty końcowe

Po skonfigurowaniu usługi Private Link nawet dla pojedynczego zasobu ruch do następujących punktów końcowych będzie wysyłany za pośrednictwem przydzielonych prywatnych adresów IP:

  • Wszystkie punkty końcowe Szczegółowe informacje aplikacji: punkty końcowe obsługujące pozyskiwanie, metryki na żywo, profiler i debuger do aplikacji Szczegółowe informacje punkty końcowe są globalne.
  • Punkt końcowy zapytania: punkt końcowy obsługujący zapytania do zasobów usługi Application Szczegółowe informacje i Log Analytics jest globalny.

Ważne

Utworzenie łącza prywatnego wpływa na ruch do wszystkich zasobów monitorowania, a nie tylko zasobów w usłudze AMPLS. W rzeczywistości spowoduje to, że wszystkie żądania zapytań i pozyskiwanie do składników aplikacji Szczegółowe informacje przechodzą przez prywatne adresy IP. Nie oznacza to, że weryfikacja łącza prywatnego ma zastosowanie do wszystkich tych żądań.

Zasoby, które nie zostały dodane do usługi AMPLS, można uzyskać tylko wtedy, gdy tryb dostępu AMPLS jest otwarty, a zasób docelowy akceptuje ruch z sieci publicznych. W przypadku korzystania z prywatnego adresu IP walidacje linków prywatnych nie mają zastosowania do zasobów, które nie znajdują się w elemercie AMPLS. Aby dowiedzieć się więcej, zobacz Tryby dostępu usługi Private Link.

Ustawienia usługi Private Link dla zarządzanego rozwiązania Prometheus i pozyskiwania danych do obszaru roboczego usługi Azure Monitor są konfigurowane w punktach końcowych zbierania danych dla zasobu, do których odwołuje się odwołanie. Ustawienia wykonywania zapytań dotyczących obszaru roboczego usługi Azure Monitor za pośrednictwem usługi Private Link są wykonywane bezpośrednio w obszarze roboczym usługi Azure Monitor i nie są obsługiwane za pośrednictwem usługi AMPLS.

Punkty końcowe specyficzne dla zasobów

Punkty końcowe usługi Log Analytics są specyficzne dla obszaru roboczego, z wyjątkiem punktu końcowego zapytania omówionego wcześniej. W związku z tym dodanie określonego obszaru roboczego usługi Log Analytics do usługi AMPLS spowoduje wysłanie żądań pozyskiwania do tego obszaru roboczego za pośrednictwem łącza prywatnego. Pozyskiwanie do innych obszarów roboczych będzie nadal używać publicznych punktów końcowych.

Punkty końcowe zbierania danych są również specyficzne dla zasobów. Można ich używać do unikatowego konfigurowania ustawień pozyskiwania na potrzeby zbierania danych telemetrycznych systemu operacyjnego gościa z maszyn (lub zestawu maszyn) podczas korzystania z nowego agenta usługi Azure Monitor i reguł zbierania danych. Skonfigurowanie punktu końcowego zbierania danych dla zestawu maszyn nie ma wpływu na pozyskiwanie danych telemetrycznych gościa z innych maszyn korzystających z nowego agenta.

Ważne

Od 1 grudnia 2021 r. konfiguracja dns prywatnych punktów końcowych będzie używać mechanizmu kompresji punktu końcowego, który przydziela jeden prywatny adres IP dla wszystkich obszarów roboczych w tym samym regionie. Poprawia ona obsługiwaną skalę (do 300 obszarów roboczych i 1000 składników na AMPLS) i zmniejsza łączną liczbę adresów IP pobranych z puli adresów IP sieci.

Zgodnie z opisem w artykule Linki prywatne usługi Azure Monitor opierają się na systemie DNS, należy utworzyć tylko jeden zasób AMPLS dla wszystkich sieci, które współużytkują ten sam system DNS. W związku z tym organizacje korzystające z pojedynczego globalnego lub regionalnego systemu DNS mają jeden prywatny link do zarządzania ruchem do wszystkich zasobów usługi Azure Monitor we wszystkich sieciach globalnych lub regionalnych.

W przypadku linków prywatnych utworzonych przed wrześniem 2021 r. oznacza to:

  • Pozyskiwanie dzienników działa tylko dla zasobów w systemie AMPLS. Pozyskiwanie do wszystkich innych zasobów jest odrzucane (we wszystkich sieciach, które współużytkuje ten sam system DNS), niezależnie od subskrypcji lub dzierżawy.
  • Zapytania mają bardziej otwarte zachowanie, które umożliwia wysyłanie żądań zapytań do nawet zasobów, które nie są dostępne w usłudze AMPLS. W tym przypadku celem było uniknięcie przerywania zapytań klientów dotyczących zasobów, które nie są używane w systemie AMPLS, i zezwalanie na zwracanie kompletnego zestawu wyników zapytań skoncentrowanych na zasobach.

To zachowanie okazało się zbyt restrykcyjne dla niektórych klientów, ponieważ przerywa pozyskiwanie zasobów, a nie w systemie AMPLS. Ale to było zbyt permissive dla innych, ponieważ umożliwia wykonywanie zapytań o zasoby, a nie w AMPLS.

Od września 2021 r. linki prywatne mają nowe obowiązkowe ustawienia AMPLS, które jawnie określają, jak powinny mieć wpływ na ruch sieciowy. Podczas tworzenia nowego zasobu AMPLS musisz teraz wybrać tryby dostępu, które mają być pozyskiwane i zapytania oddzielnie:

  • Tryb tylko prywatny: zezwala na ruch tylko do zasobów usługi Private Link.
  • Tryb otwierania: używa usługi Private Link do komunikowania się z zasobami w systemie AMPLS, ale także umożliwia kontynuowanie ruchu do innych zasobów. Aby dowiedzieć się więcej, zobacz Kontrolowanie sposobu stosowania linków prywatnych do sieci.

Mimo że żądania zapytań usługi Log Analytics mają wpływ na ustawienie trybu dostępu AMPLS, żądania pozyskiwania usługi Log Analytics używają punktów końcowych specyficznych dla zasobów i nie są kontrolowane przez tryb dostępu AMPLS. Aby upewnić się, że żądania pozyskiwania usługi Log Analytics nie mogą uzyskiwać dostępu do obszarów roboczych poza systemem AMPLS, ustaw zaporę sieciową, aby zablokować ruch do publicznych punktów końcowych, niezależnie od trybów dostępu AMPLS.

Uwaga

Jeśli usługa Log Analytics została skonfigurowana za pomocą usługi Private Link, początkowo ustawiając reguły sieciowej grupy zabezpieczeń, aby zezwalać na ruch wychodzący przez ServiceTag:AzureMonitorusługę , połączone maszyny wirtualne wysyłają dzienniki za pośrednictwem publicznego punktu końcowego. Później, jeśli zmienisz reguły, aby blokować ruch wychodzący przez ServiceTag:AzureMonitorprogram , połączone maszyny wirtualne będą nadal wysyłać dzienniki do momentu ponownego uruchomienia maszyn wirtualnych lub wyciąć sesje. Aby upewnić się, że żądana konfiguracja ma natychmiastowy wpływ, uruchom ponownie połączone maszyny wirtualne.

Następne kroki

  • Projektowanie konfiguracji usługi Azure Private Link.
  • Dowiedz się, jak skonfigurować link prywatny.
  • Dowiedz się więcej o magazynie prywatnym na potrzeby dzienników niestandardowych i kluczy zarządzanych przez klienta.