Konfigurera din privata länk

Om du konfigurerar en instans av Azure Private Link måste du:

• Skapa ett Azure Monitor Private Link-omfång (AMPLS) med resurser.
• Skapa en privat slutpunkt i nätverket och anslut den till omfånget.
• Konfigurera nödvändig åtkomst för dina Azure Monitor-resurser.

I den här artikeln beskrivs hur konfigurationen utförs via Azure-portalen. Den innehåller ett exempel på en Azure Resource Manager-mall (ARM-mall) för att automatisera processen.

Skapa en privat länkanslutning via Azure-portalen

I det här avsnittet går vi igenom den stegvisa processen för att konfigurera en privat länk via Azure-portalen. Information om hur du skapar och hanterar en privat länk med hjälp av kommandoraden eller en ARM-mall finns i Använda API:er och kommandoraden.

Skapa ett Azure Monitor Private Link-omfång

1. Gå till Skapa en resurs i Azure-portalen och sök efter Azure Monitor Private Link-omfång.

   

2. Välj Skapa.

3. Välj en prenumeration och resursgrupp.

4. Ge AMPLS ett namn. Använd ett meningsfullt och tydligt namn som AppServerProdTelem.

5. Välj Granska + skapa.

   

6. Låt valideringen passera och välj Skapa.

Anslut Azure Monitor-resurser

Anslut Azure Monitor-resurser som Log Analytics-arbetsytor, Application Insights-komponenter och slutpunkter för datainsamling) till ditt Azure Monitor Private Link-omfång (AMPLS).

1. I AMPLS väljer du Azure Monitor-resurser på menyn till vänster. Markera Lägga till.

2. Lägg till arbetsytan eller komponenten. Om du väljer Lägg till öppnas en dialogruta där du kan välja Azure Monitor-resurser. Du kan bläddra igenom dina prenumerationer och resursgrupper. Du kan också ange deras namn för att filtrera ned till dem. Välj arbetsytan eller komponenten och välj Använd för att lägga till dem i omfånget.

   

Kommentar

Om du tar bort Azure Monitor-resurser måste du först koppla bort dem från alla AMPLS-objekt som de är anslutna till. Det går inte att ta bort resurser som är anslutna till en AMPLS.

Anslut till en privat slutpunkt

Nu när du har resurser anslutna till AMPLS skapar du en privat slutpunkt för att ansluta nätverket. Du kan göra den här uppgiften i Azure-portalen Private Link Center eller i AMPLS, som du gör i det här exemplet.

1. I omfångsresursen väljer du Privata slutpunktsanslutningar på resursmenyn till vänster. Välj Privat slutpunkt för att starta processen för att skapa slutpunkter. Du kan också godkänna anslutningar som startades i Private Link Center här genom att välja dem och välja Godkänn.

   

2. På fliken Grundläggande väljer du gruppen Prenumeration och resurs

3. Ange namnet på slutpunkten och nätverksgränssnittets namn

4. Välj den region som den privata slutpunkten ska finnas i. Regionen måste vara samma region som det virtuella nätverk som du ansluter den till.

5. Välj Nästa: Resurs.

   

6. På fliken Resurs väljer du den prenumeration som innehåller din Azure Monitor Private Link-omfångsresurs.

7. Som Resurstyp väljer du Microsoft.insights/privateLinkScopes.

8. I listrutan Resurs väljer du det Private Link-omfång som du skapade tidigare.

9. Välj Nästa: Virtuellt nätverk.

   

10. På fliken Virtuellt nätverk väljer du det virtuella nätverk och undernät som du vill ansluta till dina Azure Monitor-resurser.

11. För Nätverksprincip för privata slutpunkter väljer du Redigera om du vill tillämpa nätverkssäkerhetsgrupper eller Routningstabeller på det undernät som innehåller den privata slutpunkten.

    I Redigera nätverksprincip för undernät markerar du kryssrutorna bredvid Nätverkssäkerhetsgrupper och Routningstabeller och väljer Spara. Mer information finns i Hantera nätverksprinciper för privata slutpunkter.

12. För Privat IP-konfiguration är dynamisk allokering av IP-adress som standard valt. Om du vill tilldela en statisk IP-adress väljer du Statisk allokera IP-adress. Ange sedan ett namn och en privat IP-adress.
    Du kan också välja eller skapa en programsäkerhetsgrupp. Du kan använda programsäkerhetsgrupper för att gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper.

13. Välj Nästa: DNS.

    

14. På fliken DNS väljer du Ja för Integrera med privat DNS-zon och låter den automatiskt skapa en ny privat DNS-zon. De faktiska DNS-zonerna kan skilja sig från vad som visas i följande skärmbild.

    Kommentar

    Om du väljer Nej och föredrar att hantera DNS-poster manuellt slutför du konfigurationen av din privata länk. Inkludera den här privata slutpunkten och AMPLS-konfigurationen. Konfigurera sedan din DNS enligt anvisningarna i DNS-konfigurationen för den privata Slutpunkten i Azure. Se till att du inte skapar tomma poster som förberedelse för konfigurationen av den privata länken. De DNS-poster som du skapar kan åsidosätta befintliga inställningar och påverka anslutningen till Azure Monitor.

15. Välj Nästa: Taggar och välj sedan Granska + skapa.

    

16. I Granska + skapa väljer du Skapa när valideringen har godkänts.

Nu har du skapat en ny privat slutpunkt som är ansluten till denna AMPLS.

Konfigurera åtkomst till dina resurser

Hittills har vi gått igenom konfigurationen av nätverket. Men du bör också överväga hur du vill konfigurera nätverksåtkomst till dina övervakade resurser som Log Analytics-arbetsytor, Application Insights-komponenter och slutpunkter för datainsamling.

Gå till Azure-portalen. På resursmenyn hittar du Nätverksisolering till vänster. Den här sidan styr vilka nätverk som kan nå resursen via en privat länk och om andra nätverk kan nå den eller inte.

Anslut Azure Monitor Private Link-omfång

Här kan du granska och konfigurera resursens anslutningar till en AMPLS. Anslut till en AMPLS tillåter trafik från det virtuella nätverket som är anslutet till varje AMPLS att nå resursen. Den har samma effekt som att ansluta den från omfånget som vi gjorde i avsnittet Anslut Azure Monitor-resurser.

Om du vill lägga till en ny anslutning väljer du Lägg till och väljer AMPLS. Välj Använd för att ansluta den. Din resurs kan ansluta till fem AMPLS-objekt, som du nämnde i Överväg AMPLS-gränser.

Åtkomstkonfiguration för virtuella nätverk: Hantera åtkomst utanför ett Private Link-omfång

Inställningarna längst ned på den här sidan styr åtkomsten från offentliga nätverk, vilket innebär att nätverk inte är anslutna till de angivna omfången.

Om du anger Acceptera datainmatning från offentliga nätverk som inte är anslutna via ett Private Link-omfång till Nej, kan klienter som datorer eller SDK:er utanför de anslutna omfången inte ladda upp data eller skicka loggar till resursen.

Om du anger Acceptera frågor från offentliga nätverk som inte är anslutna via ett Private Link-omfång till Nej, kan klienter som datorer eller SDK:er utanför de anslutna omfången inte fråga efter data i resursen.

Dessa data omfattar åtkomst till loggar, mått och live-måttströmmen. Den innehåller även funktioner som bygger på arbetsböcker, instrumentpaneler, fråge-API-baserade klientupplevelser och insikter i Azure-portalen. Upplevelser som körs utanför Azure-portalen och som kör frågor mot Log Analytics-data måste också köras i det privata länkade virtuella nätverket.

Använda API:er och kommandoraden

Du kan automatisera processen som beskrevs tidigare med hjälp av ARM-mallar, REST- och kommandoradsgränssnitt.

Skapa och hantera Private Link-omfång

Om du vill skapa och hantera Private Link-omfång använder du REST-API:et eller Azure CLI (az monitor private-link-scope).

Skapa en AMPLS med öppna åtkomstlägen: CLI-exempel

Följande CLI-kommando skapar en ny AMPLS-resurs med namnet "my-scope", med både fråge- och inmatningsåtkomstlägen inställda på Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Skapa en AMPLS med blandade åtkomstlägen: PowerShell-exempel

Följande PowerShell-skript skapar en ny AMPLS-resurs med namnet "my-scope", med frågeåtkomstläget inställt på Open men inmatningsåtkomstlägena är inställda på PrivateOnly. Den här inställningen innebär att den endast tillåter inmatning till resurser i AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Skapa en AMPLS: ARM-mall

Följande ARM-mall skapar:

• En AMPLS med namnet "my-scope", med åtkomstlägen för frågor och inmatning inställda på Open.
• En Log Analytics-arbetsyta med namnet "my-workspace".
• Och lägger till en begränsad resurs i "my-scope" AMPLS med namnet "my-workspace-connection".

Kommentar

Kontrollera att du använder en ny API-version (2021-07-01-preview eller senare) för att skapa AMPLS-objektet (skriv microsoft.insights/privatelinkscopes på följande sätt). ARM-mallen som dokumenterats tidigare använde en gammal API-version, vilket resulterar i en AMPLS-uppsättning med QueryAccessMode="Open" och IngestionAccessMode="PrivateOnly".

{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Ange AMPLS-åtkomstlägen: PowerShell-exempel

Om du vill ange flaggor för åtkomstläge på AMPLS kan du använda följande PowerShell-skript. Följande skript anger flaggorna till Open. Om du vill använda läget Endast privat använder du värdet "PrivateOnly".

Tillåt cirka 10 minuter för ampls-åtkomstlägesuppdateringen att börja gälla.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group-name"
$scopeName = "my-scope"

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

Ange resursåtkomstflaggor

Om du vill hantera arbetsytan eller komponentens åtkomstflaggor använder du flaggorna och på az monitor log-analytics-arbetsytan eller az monitor app-insights-komponenten.[--query-access {Disabled, Enabled}][--ingestion-access {Disabled, Enabled}]

Granska och verifiera konfigurationen av din privata länk

Följ stegen i det här avsnittet för att granska och verifiera konfigurationen av din privata länk.

Granska din slutpunkts DNS-inställningar

Den privata slutpunkt som du skapade bör nu ha fem DNS-zoner konfigurerade:

• privatelink.monitor.azure.com
• privatelink.oms.opinsights.azure.com
• privatelink.ods.opinsights.azure.com
• privatelink.agentsvc.azure.automation.net
• privatelink.blob.core.windows.net

Var och en av dessa zoner mappar specifika Azure Monitor-slutpunkter till privata IP-adresser från det virtuella nätverkets pool med IP-adresser. IP-adresserna som visas i följande bilder är bara exempel. Konfigurationen bör i stället visa privata IP-adresser från ditt eget nätverk.

Viktigt!

AMPLS- och privata slutpunktsresurser som skapats från och med den 1 december 2021 använder en mekanism som kallas Slutpunktskomprimering. Nu delar resursspecifika slutpunkter, till exempel OMS-, ODS- och AgentSVC-slutpunkter, samma IP-adress, per region och per DNS-zon. Den här mekanismen innebär att färre IP-adresser tas från det virtuella nätverkets IP-pool, och många fler resurser kan läggas till i AMPLS.

Privatelink-monitor-azure-com

Den här zonen omfattar de globala slutpunkter som används av Azure Monitor, vilket innebär att slutpunkter hanterar begäranden globalt/regionalt och inte resursspecifika begäranden. Den här zonen bör ha slutpunkter mappade för:

• in.ai: Application Insights inmatningsslutpunkt (både en global och en regional post).
• api: Application Insights och Log Analytics API-slutpunkt.
• live: Application Insights live-måttslutpunkt.
• profilerare: Application Insights profileringsslutpunkt.
• ögonblicksbild: Application Insights-ögonblicksbildens slutpunkt.
• diagservices-query: Application Insights Profiler och Snapshot Debugger (används vid åtkomst till profilerings-/felsökningsresultat i Azure-portalen).

Den här zonen omfattar även resursspecifika slutpunkter för datainsamlingsslutpunkter (DCE):

• <unique-dce-identifier>.<regionname>.handler.control: Privat konfigurationsslutpunkt, en del av en DCE-resurs.
• <unique-dce-identifier>.<regionname>.ingest: Slutpunkt för privat inmatning, en del av en DCE-resurs.

Log Analytics-slutpunkter

Viktigt!

AMPLS och privata slutpunkter som skapats från och med den 1 december 2021 använder en mekanism som kallas Slutpunktskomprimering. Nu använder varje resursspecifik slutpunkt, till exempel OMS, ODS och AgentSVC, en enda IP-adress, per region och per DNS-zon, för alla arbetsytor i den regionen. Den här mekanismen innebär att färre IP-adresser tas från det virtuella nätverkets IP-pool, och många fler resurser kan läggas till i AMPLS.

Log Analytics använder fyra DNS-zoner:

• privatelink-oms-opinsights-azure-com: Omfattar arbetsytespecifik mappning till OMS-slutpunkter. Du bör se en post för varje arbetsyta som är länkad till AMPLS som är ansluten till den här privata slutpunkten.
• privatelink-ods-opinsights-azure-com: Omfattar arbetsytespecifik mappning till ODS-slutpunkter, som är inmatningsslutpunkterna för Log Analytics. Du bör se en post för varje arbetsyta som är länkad till AMPLS som är ansluten till den här privata slutpunkten.
• privatelink-agentsvc-azure-automation-net: Omfattar arbetsytespecifik mappning till slutpunkterna för agenttjänstautomatisering. Du bör se en post för varje arbetsyta som är länkad till AMPLS som är ansluten till den här privata slutpunkten.
• privatelink-blob-core-windows-net: Konfigurerar anslutning till de globala agenternas lagringskonto för lösningspaket. Genom det kan agenter ladda ned nya eller uppdaterade lösningspaket, som även kallas hanteringspaket. Endast en post krävs för att hantera alla Log Analytics-agenter, oavsett hur många arbetsytor som används. Den här posten läggs bara till i konfigurationer av privata länkar som skapats den 19 april 2021 eller från och med juni 2021 i nationella Azure-moln.

Följande skärmbild visar slutpunkter som mappats för en AMPLS med två arbetsytor i USA, östra och en arbetsyta i Europa, västra. Observera att arbetsytorna i USA, östra delar IP-adresserna. Slutpunkten för arbetsytan Europa, västra mappas till en annan IP-adress. Blobslutpunkten visas inte i den här bilden, men den är konfigurerad.

Verifiera att du kommunicerar via en privat länk

Kontrollera att din privata länk är i bra skick:

• För att verifiera att dina begäranden nu skickas via den privata slutpunkten kan du granska dem med ett verktyg för nätverksspårning eller till och med webbläsaren. När du till exempel försöker fråga din arbetsyta eller ditt program kontrollerar du att begäran skickas till den privata IP-adressen som mappas till API-slutpunkten. I det här exemplet är det 172.17.0.9.

  Kommentar

  Vissa webbläsare kan använda andra DNS-inställningar. Mer information finns i DNS-inställningar för webbläsare. Kontrollera att DNS-inställningarna gäller.

• För att se till att dina arbetsytor eller komponenter inte tar emot begäranden från offentliga nätverk (inte anslutna via AMPLS) anger du resursens offentliga inmatning och frågeflaggor till Nej enligt beskrivningen i Konfigurera åtkomst till dina resurser.

• Från en klient i ditt skyddade nätverk använder du nslookup till någon av de slutpunkter som anges i dina DNS-zoner. Den bör matchas av DNS-servern till de mappade privata IP-adresserna i stället för de offentliga IP-adresser som används som standard.

Nästa steg

• Lär dig mer om privat lagring för anpassade loggar och kundhanterade nycklar.
• Läs mer om Private Link för Azure Automation.
• Läs mer om de nya slutpunkterna för datainsamling.