Подключение сетей к Azure Monitor с помощью Приватного канала Azure

  • Статья

С помощью Приватного канала Azure вы можете безопасно связать ресурсы платформы Azure как службы (PaaS) с виртуальной сетью с помощью частных конечных точек. Azure Monitor — это совокупность различных взаимосвязанных служб, которые работают вместе для отслеживания ваших рабочих нагрузок. Приватный канал Azure Monitor подключает частную конечную точку к набору ресурсов Azure Monitor, чтобы определить границы сети мониторинга. Этот набор называется областью Приватного канала Azure Monitor (AMPLS).

Примечание.

Частные ссылки Azure Monitor структурированы по-разному от частных ссылок к другим службам, которые можно использовать. Вместо создания нескольких частных каналов по одному для каждого ресурса, к которому подключается виртуальная сеть, Azure Monitor использует одно частное подключение из виртуальной сети в AMPLS. AMPLS — это набор всех ресурсов Azure Monitor, к которым подключается виртуальная сеть через приватный канал.

Достоинства

Приватный канал предоставляет следующие возможности:

  • Подключение в частном порядке в Azure Monitor без открытия доступа к общедоступной сети.
  • Убедитесь, что данные мониторинга доступны только через авторизованные частные сети.
  • Предотвращение кражи данных из частных сетей путем определения определенных ресурсов Azure Monitor, которые подключаются через частную конечную точку.
  • Безопасно подключите частную локальную сеть к Azure Monitor с помощью Azure ExpressRoute и Приватный канал.
  • Сохраните весь трафик в магистральной сети Azure.

Дополнительные сведения см. в разделе Основные преимущества Приватного канала.

Принцип работы: основные принципы

Приватный канал Azure Monitor подключает частную конечную точку к набору ресурсов Azure Monitor, состоящих из рабочих областей Log Analytics и ресурсов Аналитика приложений. Этот набор называется областью Приватный канал Azure Monitor.

Diagram that shows basic resource topology.

An AMPLS:

  • Использует частные IP-адреса: частная конечная точка в виртуальной сети позволяет ей достигать конечных точек Azure Monitor через частные IP-адреса из пула сети, а не использовать общедоступные IP-адреса этих конечных точек. По этой причине вы можете продолжать использовать ресурсы Azure Monitor, не открывая виртуальную сеть для неуваживаемого исходящего трафика.
  • Выполняется в магистрали Azure: трафик из частной конечной точки в ресурсы Azure Monitor будет проходить через магистраль Azure, а не направляться в общедоступные сети.
  • Определяет, какие ресурсы Azure Monitor можно достичь: настройте AMPLS в предпочитаемый режим доступа. Вы можете разрешить трафик только Приватный канал ресурсам или как к Приватный канал, так и к ресурсам без приватного канала (ресурсы из AMPLS).
  • Управляет сетевым доступом к ресурсам Azure Monitor: настройте каждую рабочую область или компоненты для приема или блокировки трафика из общедоступных сетей. Вы можете применять различные параметры для приема и запросов.

При настройке подключения к приватной связи зоны DNS сопоставляют конечные точки Azure Monitor с частными IP-адресами для отправки трафика через приватный канал. Azure Monitor использует конечные точки, относящиеся к ресурсам, и общие глобальные или региональные конечные точки для доступа к рабочим областям и компонентам в AMPLS.

Предупреждение

Так как Azure Monitor использует некоторые общие конечные точки (то есть конечные точки, которые не относятся к ресурсам), настройка приватного канала даже для одного ресурса изменяет конфигурацию DNS, которая влияет на трафик ко всем ресурсам. Другими словами, трафик ко всем рабочим областям или компонентам влияет на одну настройку приватного канала.

Использование общих конечных точек также означает, что следует использовать один ресурс AMPLS для всех сетей, использующих одну и ту же службу DNS. Создание нескольких ресурсов AMPLS приведет к переопределении между зонами DNS Azure Monitor и разрывом существующих сред. Дополнительные сведения см. в разделе "Планирование по топологии сети".

Общие глобальные и региональные конечные точки

При настройке Приватный канал даже для одного ресурса трафик к следующим конечным точкам будет отправлен через выделенные частные IP-адреса:

  • Все конечные точки приложения Аналитика: конечные точки, обрабатывающие прием, динамические метрики, профилировщик и отладчик для конечных точек Приложения Аналитика являются глобальными.
  • Конечная точка запроса: конечная точка, обрабатывая запросы к ресурсам Application Аналитика и Log Analytics, являются глобальными.

Важно!

Создание приватного канала влияет на трафик ко всем ресурсам мониторинга, а не только к ресурсам в AMPLS. Фактически это приведет ко всем запросам и приему компонентов Application Аналитика через частные IP-адреса. Это не означает, что проверка приватного канала применяется ко всем этим запросам.

Ресурсы, не добавленные в AMPLS, можно достичь только в том случае, если режим доступа AMPLS открыт, а целевой ресурс принимает трафик из общедоступных сетей. При использовании частного IP-адреса проверка приватного канала не применяется к ресурсам, не входящих в AMPLS. Дополнительные сведения см. в Приватный канал режимах доступа.

Приватный канал параметры управляемого prometheus и прием данных в рабочую область Azure Monitor настраиваются на конечных точках сбора данных для указанного ресурса. Параметры для запроса рабочей области Azure Monitor по Приватный канал выполняются непосредственно в рабочей области Azure Monitor и не обрабатываются с помощью AMPLS.

Конечные точки для ресурсов

Конечные точки Log Analytics относятся к рабочей области, за исключением конечной точки запроса, описанной ранее. В результате добавление определенной рабочей области Log Analytics в AMPLS отправляет запросы приема в эту рабочую область через приватную ссылку. Прием в другие рабочие области будет продолжать использовать общедоступные конечные точки.

Конечные точки сбора данных также относятся к ресурсам. Их можно использовать для уникальной настройки параметров приема для сбора данных телеметрии гостевой ОС с компьютеров (или набора компьютеров) при использовании новых правил сбора данных агента Azure Monitor и сбора данных. Настройка конечной точки сбора данных для набора компьютеров не влияет на прием гостевой телеметрии с других компьютеров, использующих новый агент.

Важно!

Начиная с 1 декабря 2021 г. конфигурация DNS частных конечных точек будет использовать механизм сжатия конечных точек, который выделяет один частный IP-адрес для всех рабочих областей в одном регионе. Он улучшает поддерживаемое масштабирование (до 300 рабочих областей и 1000 компонентов на AMPLS) и уменьшает общее количество IP-адресов, взятых из пула IP-адресов сети.

Как описано в приватных каналах Azure Monitor, необходимо создать только один ресурс AMPLS для всех сетей, использующих один DNS. В результате организации, использующие один глобальный или региональный DNS, имеют единую приватную связь для управления трафиком ко всем ресурсам Azure Monitor во всех глобальных или региональных сетях.

Для частных ссылок, созданных до сентября 2021 года, это означает:

  • Прием логов работает только для ресурсов в AMPLS. Доступ ко всем другим ресурсам запрещен (во всех сетях, использующих один и тот же DNS), независимо от подписки или клиента.
  • Запросы имеют более открытое поведение, которое позволяет запросам достичь даже ресурсов, не входящих в AMPLS. Здесь было необходимо избежать нарушения запросов клиентов к ресурсам, не входящих в AMPLS, и разрешить запросы, ориентированные на ресурсы, возвращать полный результирующий набор.

Это поведение оказалось слишком строгим для некоторых клиентов, потому что оно нарушает прием к ресурсам, не в AMPLS. Но это было слишком разрешительным для других, потому что он позволяет запрашивать ресурсы не в AMPLS.

Начиная с сентября 2021 года частные каналы имеют новые обязательные параметры AMPLS, которые явно задают, как они должны повлиять на сетевой трафик. При создании нового ресурса AMPLS теперь требуется выбрать режимы доступа, которые требуется для приема и запросов отдельно:

  • Режим только приватного использования: разрешает трафик только для Приватный канал ресурсов.
  • Открытый режим: использует Приватный канал для взаимодействия с ресурсами в AMPLS, но также позволяет трафику продолжать работу с другими ресурсами. Дополнительные сведения см. в статье "Управление применением приватных ссылок к сетям".

Несмотря на то что запросы Log Analytics влияют на параметр режима доступа AMPLS, запросы приема Log Analytics используют конечные точки, относящиеся к ресурсам, и не контролируются режимом доступа AMPLS. Чтобы убедиться, что запросы приема Log Analytics не могут получить доступ к рабочим областям из AMPLS, установите сетевой брандмауэр для блокировки трафика на общедоступные конечные точки независимо от режимов доступа AMPLS.

Примечание.

Если вы настроили Log Analytics с Приватный канал, первоначально задав правила группы безопасности сети, чтобы разрешить исходящий трафикServiceTag:AzureMonitor, подключенные виртуальные машины отправляют журналы через общедоступную конечную точку. Позже, если изменить правила, чтобы запретить исходящий трафик ServiceTag:AzureMonitor, подключенные виртуальные машины продолжают отправлять журналы, пока не перезагрузите виртуальные машины или выключите сеансы. Чтобы убедиться, что требуемая конфигурация вступила в силу немедленно, перезагрузите подключенные виртуальные машины.

Следующие шаги