Configurar acesso privado

Neste guia, você aprenderá como desabilitar o acesso público ao seu espaço de trabalho do Azure Managed Grafana e configurar pontos de extremidade privados. Configurar pontos de extremidade privados no Azure Managed Grafana aumenta a segurança limitando o tráfego de entrada apenas a uma rede específica.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
• Uma instância existente do Azure Managed Grafana na camada Standard. Crie um, caso ainda não o tenha feito.

Desativar o acesso público a um espaço de trabalho

O acesso público é habilitado por padrão quando você cria um espaço de trabalho do Azure Grafana. A desativação do acesso público impede que todo o tráfego acesse o recurso, a menos que você passe por um ponto de extremidade privado.

Nota

Quando o acesso privado estiver habilitado, os gráficos de ping usando o recurso Fixar no Grafana não funcionarão mais, pois o portal do Azure não pode acessar um espaço de trabalho do Azure Managed Grafana em um endereço IP privado.

Portal

1. Navegue até seu espaço de trabalho do Azure Managed Grafana no portal do Azure.

2. No menu à esquerda, em Configurações, selecione Rede.

3. Em Acesso Público, selecione Desabilitado para desabilitar o acesso público ao espaço de trabalho do Azure Managed Grafana e permitir o acesso somente por meio de pontos de extremidade privados. Se você já tinha o acesso público desabilitado e, em vez disso, queria habilitar o acesso público ao seu espaço de trabalho do Azure Managed Grafana, selecionaria Habilitado.

4. Selecione Guardar.

   

CLI do Azure

Na CLI, execute o comando az grafana update e substitua os espaços reservados <grafana-workspace> e <resource-group> com suas próprias informações:

az grafana update --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled

Criar um ponto final privado

Depois de desabilitar o acesso público, configure um ponto de extremidade privado com o Azure Private Link. Os pontos de extremidade privados permitem o acesso ao seu espaço de trabalho do Azure Managed Grafana usando um endereço IP privado de uma rede virtual.

Portal

1. Em Rede, selecione a guia Acesso Privado e Adicionar para iniciar a configuração de um novo ponto de extremidade privado.

   

2. Preencha a guia Noções básicas com as seguintes informações:

   Parâmetro	Description	Exemplo
   Subscrição	Selecione uma subscrição do Azure. Seu ponto de extremidade privado deve estar na mesma assinatura que sua rede virtual. Você selecionará uma rede virtual mais adiante neste guia de instruções.	MyAzureSubscription
   Grupo de recursos	Selecione um grupo de recursos ou crie um novo.	MyResourceGroup
   Nome	Insira um nome para o novo ponto de extremidade privado para seu espaço de trabalho do Azure Managed Grafana.	MyPrivateEndpoint
   Nome da interface de rede	Este campo é preenchido automaticamente. Opcionalmente, edite o nome da interface de rede.	MyPrivateEndpoint-nic
   País/Região	Selecione uma região. Seu ponto de extremidade privado deve estar na mesma região que sua rede virtual.	(EUA) Centro-Oeste dos EUA

   

3. Selecione Avançar : Recurso >. O Private Link oferece opções para criar pontos de extremidade privados para diferentes tipos de recursos do Azure. O espaço de trabalho atual do Azure Managed Grafana é preenchido automaticamente no campo Recurso .

   1. O tipo de recurso Microsoft.Dashboard/grafana e o subrecurso de destino grafana indicam que você está criando um ponto de extremidade para um espaço de trabalho do Azure Managed Grafana.

   2. O nome do seu espaço de trabalho está listado em Recurso.

      

4. Selecione Next : Virtual Network >.

   1. Selecione uma rede virtual existente para implantar o ponto de extremidade privado. Se você não tiver uma rede virtual, crie uma rede virtual.

   2. Selecione uma Sub-rede na lista.

   3. A política de rede para pontos de extremidade privados está desabilitada por padrão. Opcionalmente, selecione editar para adicionar um grupo de segurança de rede ou uma política de tabela de rotas. Essa alteração afetaria todos os pontos de extremidade privados associados à sub-rede selecionada.

   4. Em Configuração de IP privado, selecione a opção para alocar endereços IP dinamicamente. Para obter mais informações, consulte Endereços IP privados.

   5. Opcionalmente, você pode selecionar ou criar um grupo de segurança Aplicativo. Os grupos de segurança de aplicativos permitem agrupar máquinas virtuais e definir políticas de segurança de rede com base nesses grupos.

      

5. Selecione Avançar : DNS > para configurar um registro DNS. Se não quiser fazer alterações nas configurações padrão, você pode avançar para a próxima guia.

   1. Em Integrar com zona DNS privada, selecione Sim para integrar seu ponto de extremidade privado com uma zona DNS privada. Você também pode usar seus próprios servidores DNS ou criar registros DNS usando os arquivos host em suas máquinas virtuais.

   2. Uma subscrição e um grupo de recursos para a sua zona DNS privada estão pré-selecionados. Você pode alterá-los opcionalmente.

   Para saber mais sobre a configuração de DNS, vá para Resolução de nomes para recursos em redes virtuais do Azure e Configuração de DNS para Pontos de extremidade privados. Os valores de zona DNS privada do Ponto de Extremidade Privado do Azure para o Azure Managed Grafana estão listados na zona DNS dos serviços do Azure.

   

6. Selecione Next : Tags > e, opcionalmente, crie tags. As etiquetas são pares nome/valor que permitem categorizar recursos e ver faturação consolidada aplicando a mesma etiqueta a múltiplos recursos e grupos de recursos.

7. Selecione Seguinte : Rever + criar > para rever informações sobre o seu espaço de trabalho do Azure Managed Grafana, ponto de extremidade privado, rede virtual e DNS. Você também pode selecionar Baixar um modelo para automação para reutilizar dados JSON deste formulário mais tarde.

8. Selecione Criar.

Quando a implantação estiver concluída, você receberá uma notificação de que seu ponto de extremidade foi criado. Se for aprovado automaticamente, pode começar a aceder à sua área de trabalho de forma privada. Caso contrário, terá de aguardar pela aprovação.

CLI do Azure

1. Para configurar seu ponto de extremidade privado, você precisa de uma rede virtual. Se você ainda não tem uma, crie uma rede virtual com az network vnet create. Substitua os textos <vnet>de espaço reservado , , <resource-group><subnet>e <vnet-location> pelo nome da sua nova rede virtual, grupo de recursos e nome e local vnet.

   az network vnet create --name <vnet> --resource-group <resource-group> --subnet-name <subnet> --location <vnet-location>
   

   Marcador de Posição	Descrição	Exemplo
   <vnet>	Introduza um nome para a sua nova rede virtual. Uma rede virtual permite que os recursos do Azure se comuniquem de forma privada entre si e com a Internet.	MyVNet
   <resource-group>	Insira o nome de um grupo de recursos existente para sua rede virtual.	MyResourceGroup
   <subnet>	Introduza um nome para a sua nova sub-rede. Uma sub-rede é uma rede dentro de uma rede. É aqui que o endereço IP privado é atribuído.	MySubnet
   <vnet-location>	Insira uma região do Azure. Sua rede virtual deve estar na mesma região que seu ponto de extremidade privado.	centralus

2. Execute o comando az grafana show para recuperar as propriedades do espaço de trabalho do Azure Managed Grafana, para o qual você deseja configurar o acesso privado. Substitua o espaço reservado <grafana-workspace> pelo nome do seu espaço de trabalho.

   az grafana show --name <grafana-workspace>
   

   Este comando gera uma saída com informações sobre seu espaço de trabalho do Azure Managed Grafana. Anote o id valor. Por exemplo: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana.

3. Execute o comando az network private-endpoint create para criar um ponto de extremidade privado para seu espaço de trabalho do Azure Managed Grafana. Substitua os textos <resource-group>de espaço reservado , <private-endpoint>, <vnet>, <private-connection-resource-id>, <connection-name>e <location> por suas próprias informações.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint> --vnet-name <vnet> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id grafana
   

   Marcador de Posição	Descrição	Exemplo
   <resource-group>	Insira o nome de um grupo de recursos existente para seu ponto de extremidade privado.	MyResourceGroup
   <private-endpoint>	Insira um nome para seu novo ponto de extremidade privado.	MyPrivateEndpoint
   <vnet>	Digite o nome de uma rede virtual existente.	Myvnet
   <private-connection-resource-id>	Insira a ID do recurso de conexão privada do seu espaço de trabalho do Azure Managed Grafana. Este é o ID que você salvou da saída da etapa anterior.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana
   <connection-name>	Insira um nome de conexão.	MyConnection
   <location>	Insira uma região do Azure. Seu ponto de extremidade privado deve estar na mesma região que sua rede virtual.	centralus

Gerenciar conexão de link privado

Portal

Vá para Acesso Privado de Rede>em seu espaço de trabalho do Azure Managed Grafana para acessar os pontos de extremidade privados vinculados ao seu espaço de trabalho.

1. Verifique o estado da conexão da sua conexão de link privado. Quando você cria um ponto de extremidade privado, a conexão deve ser aprovada. Se o recurso para o qual você está criando um ponto de extremidade privado estiver em seu diretório e você tiver permissões suficientes, a solicitação de conexão será aprovada automaticamente. Caso contrário, você deve aguardar que o proprietário desse recurso aprove sua solicitação de conexão. Para obter mais informações sobre os modelos de aprovação de conexão, vá para Gerenciar pontos de extremidade privados do Azure.

2. Para aprovar, rejeitar ou remover manualmente uma conexão, marque a caixa de seleção ao lado do ponto de extremidade que você deseja editar e selecione um item de ação no menu superior.

3. Selecione o nome do ponto de extremidade privado para abrir o recurso de ponto de extremidade privado e acessar mais informações ou para editar o ponto de extremidade privado.

   

CLI do Azure

Rever os detalhes da ligação ao ponto final privado

Execute o comando az network private-endpoint-connection list para revisar todas as conexões de ponto de extremidade privadas vinculadas ao seu espaço de trabalho do Azure Managed Grafana e verificar seu estado de conexão. Substitua os espaços reservados <resource-group> pelo <grafana-workspace> nome do grupo de recursos e do espaço de trabalho do Azure Managed Grafana.

az network private-endpoint-connection list --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Opcionalmente, para obter os detalhes de um ponto de extremidade privado específico, use o comando az network private-endpoint-connection show . Substitua os textos <resource-group> de espaço reservado pelo <grafana-workspace> nome do grupo de recursos e o nome do espaço de trabalho do Azure Managed Grafana.

az network private-endpoint-connection show --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Obter aprovação de conexão

Quando você cria um ponto de extremidade privado, a conexão deve ser aprovada. Se o recurso para o qual você está criando um ponto de extremidade privado estiver em seu diretório e você tiver permissões suficientes, a solicitação de conexão será aprovada automaticamente. Caso contrário, você deve aguardar que o proprietário desse recurso aprove sua solicitação de conexão.

Para aprovar uma conexão de ponto de extremidade privada, use o comando az network private-endpoint-connection approve . Substitua os textos <resource-group>de espaço reservado , <private-endpoint>e <grafana-workspace> pelo nome do grupo de recursos, o nome do ponto de extremidade privado e o nome do recurso Azure Managed Grafana.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.Dashboard/grafana --resource-name <grafana-workspace>

Para obter mais informações sobre os modelos de aprovação de conexão, vá para Gerenciar pontos de extremidade privados do Azure.

Excluir uma conexão de ponto de extremidade privada

Para excluir uma conexão de ponto de extremidade privada, use o comando az network private-endpoint-connection delete . Substitua os textos <resource-group> de espaço reservado pelo <private-endpoint> nome do grupo de recursos e pelo nome do ponto de extremidade privado.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Para obter mais comandos da CLI, vá para az network private-endpoint-connection

Se você tiver problemas com um ponto de extremidade privado, verifique o seguinte guia: Solucionar problemas de conectividade do Ponto de Extremidade Privado do Azure.

Próximos passos

Neste guia de instruções, você aprendeu como configurar o acesso privado de seus usuários a um espaço de trabalho do Azure Managed Grafana. Para saber como configurar o acesso privado entre um espaço de trabalho do Grafana gerenciado e uma fonte de dados, consulte Conectar-se a uma fonte de dados de forma privada.