تكوين ارتباط خاص ل Azure Monitor

توفر هذه المقالة تفاصيل خطوة بخطوة لإنشاء وتكوين نطاق ارتباط خاص ل Azure Monitor (AMPLS) باستخدام مدخل Microsoft Azure. كما تتضمن المقالة أساليب بديلة للعمل مع AMPLS باستخدام قوالب CLI وPowerShell وARM.

يتطلب تكوين مثيل Azure Private Link الخطوات التالية. يتم تفصيل كل خطوة من هذه الخطوات في الأقسام أدناه.

• إنشاء نطاق ارتباط خاص ل Azure Monitor (AMPLS).
• توصيل الموارد ب AMPLS.
• توصيل AMPLS بنقطة نهاية خاصة.
• تكوين الوصول إلى موارد AMPLS.

تستعرض هذه المقالة كيفية إجراء التكوين من خلال مدخل Microsoft Azure. يوفر مثالا لقالب Azure Resource Manager (قالب ARM) لأتمتة العملية.

إنشاء نطاق ارتباط خاص ل Azure Monitor (AMPLS)

1. من قائمة Monitor في مدخل Microsoft Azure، حدد Private Link Scopes ثم Create.

   

2. حدد اشتراكا ومجموعة موارد، وامنح AMPLS اسما ذا معنى مثل AppServerProdTelem.

3. حدد "Review + create".

   

4. اسمح لتمرير التحقق من الصحة وحدد إنشاء.

توصيل الموارد ب AMPLS

1. من القائمة الخاصة ب AMPLS، حدد Azure Monitor Resources ثم Add.

2. حدد المكون وحدد Apply لإضافته إلى النطاق الخاص بك. تتوفر فقط موارد Azure Monitor بما في ذلك مساحات عمل Log Analytics ومكونات Application Insights ونقاط نهاية تجميع البيانات (DCEs).

   

توصيل AMPLS بنقطة نهاية خاصة

بمجرد توصيل الموارد ب AMPLS، يمكنك إنشاء نقطة نهاية خاصة لتوصيل شبكتك.

1. من القائمة الخاصة ب AMPLS، حدد اتصالات نقطة النهاية الخاصة ثم نقطة النهاية الخاصة. يمكنك أيضا الموافقة على الاتصالات التي بدأت في مركز الارتباطات الخاصة هنا عن طريق تحديدها وتحديد الموافقة.

   

2. علامة تبويبBasics

   1. حدد مجموعة الاشتراك والموارد ثم أدخل اسما لنقطة النهاية، واسم واجهة الشبكة.
   2. حدد المنطقة التي يجب إنشاء نقطة النهاية الخاصة فيها. يجب أن تكون المنطقة هي نفس المنطقة مثل الشبكة الظاهرية التي تقوم بتوصيلها بها.

   

3. علامة تبويب المورد

   1. حدد الاشتراك الذي يحتوي على مورد Azure Monitor Private Link Scope.
   2. بالنسبة إلى Resource type، حدد Microsoft.insights/privateLinkScopes.
   3. من القائمة المنسدلة Resource، حدد Private Link Scope الذي أنشأته.

   

4. علامة تبويب الشبكة الظاهرية

   1. حدد الشبكة الظاهرية والشبكة الفرعية التي تريد الاتصال بموارد Azure Monitor الخاصة بك.
   2. بالنسبة لنهج الشبكة لنقاط النهاية الخاصة، حدد تحرير إذا كنت تريد تطبيق مجموعات أمان الشبكة أو توجيه الجداول إلى الشبكة الفرعية التي تحتوي على نقطة النهاية الخاصة. راجع إدارة نهج الشبكة لنقاط النهاية الخاصة للحصول على مزيد من التفاصيل.
   3. لتكوين IP الخاص، بشكل افتراضي، يتم تحديد تخصيص عنوان IP ديناميكيا. إذا كنت ترغب في تعيين عنوان IP ثابت، فحدد تخصيص عنوان IP بشكل ثابت، ثم أدخل اسما وعنوان IP خاصا.
   4. اختياريا، حدد مجموعة أمان التطبيق أو أنشئها. يمكنك استخدام مجموعات أمان التطبيقات لتجميع الأجهزة الظاهرية وتحديد نهج أمان الشبكة استنادا إلى تلك المجموعات.

   

5. علامة التبويب DNS

   1. حدد نعم للتكامل مع منطقة DNS الخاصة، والتي ستنشئ تلقائيا منطقة DNS خاصة جديدة. قد تختلف مناطق DNS الفعلية عما هو موضح في لقطة الشاشة التالية.

   إشعار

   إذا حددت لا وتفضل إدارة سجلات DNS يدويا، فأكمل أولا إعداد الارتباط الخاص بك. قم بتضمين نقطة النهاية الخاصة هذه وتكوين AMPLS ثم قم بتكوين DNS الخاص بك وفقا للإرشادات الموجودة في تكوين DNS لنقطة النهاية الخاصة ل Azure. تأكد من عدم إنشاء سجلات فارغة كإعداد لإعداد الارتباط الخاص بك. يمكن لسجلات DNS التي تقوم بإنشائها تجاوز الإعدادات الموجودة والتأثير على اتصالك ب Azure Monitor.

   سواء قمت بتحديد نعم أو لا وكنت تستخدم خوادم DNS المخصصة الخاصة بك، تحتاج إلى إعداد معدي التوجيه الشرطي لمعيدي توجيه منطقة DNS العامة المذكورة في تكوين DNS لنقطة النهاية الخاصة ب Azure. يحتاج معدي التوجيه الشرطي إلى إعادة توجيه استعلامات DNS إلى Azure DNS.

   

6. علامة التبويب "مراجعة + إنشاء "

   1. بمجرد اجتياز التحقق من الصحة، حدد Create.

تكوين الوصول إلى موارد AMPLS

من القائمة الخاصة ب AMPLS، حدد عزل الشبكة للتحكم في الشبكات التي يمكنها الوصول إلى المورد من خلال ارتباط خاص وما إذا كانت الشبكات الأخرى يمكنها الوصول إليه أم لا.

AMPLS المتصلة

تسمح لك هذه الشاشة بمراجعة وتكوين اتصالات المورد ب AMPLS. يسمح الاتصال ب AMPLS بنسبة استخدام الشبكة من الشبكة الظاهرية المتصلة المتصلة بالوصول إلى المورد. له نفس تأثير توصيله من النطاق الموضح في موارد Connect Azure Monitor.

لإضافة اتصال جديد، حدد إضافة وحدد AMPLS. يمكن لموردك الاتصال بخمسة كائنات AMPLS، كما هو موضح في حدود AMPLS.

تكوين الوصول إلى الشبكات الظاهرية

تتحكم هذه الإعدادات في الوصول من الشبكات العامة غير المتصلة بالنطاقات المدرجة. يتضمن ذلك الوصول إلى السجلات والمقاييس ودفق المقاييس المباشرة. كما يتضمن تجارب مبنية على هذه البيانات مثل المصنفات ولوحات المعلومات وتجارب العميل المستندة إلى واجهة برمجة التطبيقات للاستعلام والرؤى في مدخل Microsoft Azure. يجب أيضا تشغيل التجارب التي تعمل خارج مدخل Microsoft Azure وبيانات Log Analytics هذه الاستعلام داخل الشبكة الظاهرية المرتبطة بخاصة.

• إذا قمت بتعيين قبول استيعاب البيانات من الشبكات العامة غير المتصلة من خلال نطاق الارتباط الخاص إلى لا، فلن يتمكن العملاء مثل الأجهزة أو SDKs خارج النطاقات المتصلة من تحميل البيانات أو إرسال سجلات إلى المورد.
• إذا قمت بتعيين قبول الاستعلامات من الشبكات العامة غير المتصلة من خلال نطاق ارتباط خاص إلى لا، فلن يتمكن العملاء مثل الأجهزة أو SDKs خارج النطاقات المتصلة من الاستعلام عن البيانات في المورد.

العمل مع AMPLS باستخدام CLI

إنشاء AMPLS باستخدام أوضاع الوصول المفتوح

ينشئ أمر CLI التالي مورد AMPLS جديدا يسمى "my-scope"، مع تعيين أوضاع الوصول إلى الاستعلام والاستيعاب على Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

تعيين علامات الوصول إلى الموارد

لإدارة علامات الوصول إلى مساحة العمل أو المكونات، استخدم العلامات [--ingestion-access {Disabled, Enabled}] و[--query-access {Disabled, Enabled}]على مساحة عمل az monitor log-analytics أو مكون az monitor app-insights.

العمل مع AMPLS باستخدام PowerShell

إنشاء AMPLS

يقوم البرنامج النصي PowerShell التالي بإنشاء مورد AMPLS جديد يسمى "my-scope"، مع تعيين وضع الوصول إلى الاستعلام على Open ولكن تم تعيين أوضاع الوصول إلى الاستيعاب إلى PrivateOnly. يعني هذا الإعداد أنه سيسمح باستيعاب الموارد في AMPLS فقط.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

تعيين أوضاع الوصول إلى AMPLS

استخدم التعليمات البرمجية PowerShell التالية لتعيين علامات وضع الوصول على AMPLS بعد إنشائها.

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

قوالب ARM

إنشاء AMPLS

يقوم قالب ARM التالي بتنفيذ ما يلي:

• AMPLS باسم "my-scope"، مع تعيين أوضاع الوصول إلى الاستعلام والاستيعاب إلى Open.
• مساحة عمل Log Analytics تسمى "my-workspace".
• إضافة مورد محدد النطاق إلى AMPLS المسمى "my-scope" "my-workspace-connection".

{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

مراجعة تكوين AMPLS والتحقق من صحته

اتبع الخطوات الواردة في هذا القسم لمراجعة إعداد الارتباط الخاص والتحقق من صحته.

مراجعة إعدادات DNS لنقطة النهاية

يجب أن تحتوي نقطة النهاية الخاصة التي تم إنشاؤها في هذه المقالة على مناطق DNS الخمس التالية المكونة:

• privatelink.monitor.azure.com
• privatelink.oms.opinsights.azure.com
• privatelink.ods.opinsights.azure.com
• privatelink.agentsvc.azure-automation.net
• privatelink.blob.core.windows.net

تقوم كل منطقة من هذه المناطق بتعيين نقاط نهاية Azure Monitor محددة إلى عناوين IP خاصة من مجموعة عناوين IP للشبكة الظاهرية. عناوين IP الموضحة في الصور أدناه هي أمثلة فقط. يجب أن يظهر التكوين IPs الخاصة من الشبكة عوضاً عن ذلك.

privatelink-monitor-azure-com

تغطي هذه المنطقة نقاط النهاية العمومية المستخدمة من قبل Azure Monitor، ما يعني أن نقاط النهاية تخدم الطلبات عالميا/إقليميا وليس طلبات خاصة بالموارد. يجب أن تحتوي هذه المنطقة على نقاط نهاية معينة لما يلي:

• in.ai: نقطة نهاية استيعاب Application Insights (إدخال عمومي وإقليمي).
• api: نقطة نهاية Application Insights وLog Analytics API.
• live: نقطة نهاية مقاييس Application Insights المباشرة.
• محلل ملفات التعريف: محلل ملفات تعريف Application Insights لنقطة نهاية .NET.
• لقطة: نقطة نهاية لقطة Application Insights.
• diagservices-query: محلل ملفات تعريف Application Insights ل .NET و Snapshot Debugger (يستخدم عند الوصول إلى نتائج محلل ملفات التعريف/مصحح الأخطاء في مدخل Microsoft Azure).

تغطي هذه المنطقة أيضا نقاط النهاية الخاصة بالموارد ل DCEs التالية:

• <unique-dce-identifier>.<regionname>.handler.control: نقطة نهاية التكوين الخاصة، جزء من مورد DCE.

• <unique-dce-identifier>.<regionname>.ingest: نقطة نهاية الاستيعاب الخاصة، جزء من مورد DCE.

  

نقاط نهاية Log Analytics

يستخدم Log Analytics مناطق DNS الأربع التالية:

• privatelink-oms-opinsights-azure-com: يغطي التعيين الخاص لمساحة العمل لنقاط نهاية OMS. يجب أن تشاهد إدخالا لكل مساحة عمل مرتبطة ب AMPLS المتصلة بنقطة النهاية الخاصة هذه.
• privatelink-ods-opinsights-azure-com: يغطي التعيين الخاص بمساحة العمل لنقاط نهاية ODS، وهي نقاط نهاية الاستيعاب لتحليلات السجل. يجب أن تشاهد إدخالا لكل مساحة عمل مرتبطة ب AMPLS المتصلة بنقطة النهاية الخاصة هذه.
• privatelink-agentsvc-azure-automation-net*: يغطي التعيين الخاص لمساحة العمل لنقاط نهاية أتمتة خدمة العامل. يجب أن تشاهد إدخالا لكل مساحة عمل مرتبطة ب AMPLS المتصلة بنقطة النهاية الخاصة هذه.
• privatelink-blob-core-windows-net: تكوين الاتصال بحساب تخزين حزم حلول الوكلاء العموميين. من خلال ذلك، يمكن للوكلاء تنزيل حزم حلول جديدة أو محدثة، والتي تعرف أيضا باسم حزم الإدارة. مطلوب إدخال واحد فقط للتعامل مع جميع عوامل تحليلات السجل، بغض النظر عن عدد مساحات العمل المستخدمة. تتم إضافة هذا الإدخال فقط إلى إعدادات الارتباط الخاص التي تم إنشاؤها في 19 أبريل 2021 أو بعد ذلك (أو بدءا من يونيو 2021 على السحب السيادية ل Azure).

تظهر لقطة الشاشة التالية نقاط النهاية المعينة ل AMPLS مع مساحات عمل في شرق الولايات المتحدة ومساحة عمل واحدة في غرب أوروبا. لاحظ أن مساحات عمل شرق الولايات المتحدة تشترك في عناوين IP. يتم تعيين نقطة نهاية مساحة عمل غرب أوروبا إلى عنوان IP مختلف. يتم تكوين نقطة نهاية الكائن الثنائي كبير الحجم على الرغم من أنها لا تظهر في هذه الصورة.

التحقق من صحة الاتصال عبر AMPLS

• للتحقق من إرسال طلباتك الآن من خلال نقطة النهاية الخاصة، راجعها باستخدام المستعرض أو أداة تتبع الشبكة. على سبيل المثال، عند محاولة الاستعلام عن مساحة العمل أو التطبيق، تأكد من إرسال الطلب إلى IP الخاص المعين إلى نقطة نهاية واجهة برمجة التطبيقات. في هذا المثال، هو 172.17.0.9.

  إشعار

  قد تستخدم بعض المستعرضات إعدادات DNS أخرى. لمزيد من المعلومات، راجع إعدادات DNS للمستعرض. احرص على التأكد من تطبيق إعدادات DNS.

• للتأكد من أن مساحات العمل أو المكونات لا تتلقى طلبات من الشبكات العامة (غير متصلة من خلال AMPLS)، قم بتعيين علامات الاستيعاب والاستعلام العامة للمورد إلى لا كما هو موضح في تكوين الوصول إلى مواردك.

• من خلال عميل موجود على شبكة الاتصال المحمية، استخدم nslookup أي من نقاط النهاية المدرجة في مناطق DNS. يجب أن يتم حلها باستخدام خادم DNS إلى IPs الخاصة المعينة بدلاً من IPs العامة المستخدمة بشكل افتراضي.

الاختبار محليا

لاختبار الارتباطات الخاصة محليا دون التأثير على العملاء الآخرين على شبكتك، تأكد من عدم تحديث DNS عند إنشاء نقطة النهاية الخاصة بك. بدلا من ذلك، قم بتحرير ملف المضيفين على جهازك بحيث يرسل الطلبات إلى نقاط نهاية الارتباط الخاص:

• قم بإعداد ارتباط خاص، ولكن عند الاتصال بنقطة نهاية خاصة، اختر عدم التكامل التلقائي مع DNS.
• تكوين نقاط النهاية ذات الصلة على ملفات مضيفي الأجهزة.

التكوين الإضافي

حجم الشبكة الفرعية للشبكة

أصغر شبكة فرعية IPv4 مدعومة هي /27 باستخدام تعريفات الشبكة الفرعية CIDR. على الرغم من أن شبكات Azure الظاهرية يمكن أن تكون صغيرة مثل /29، فإن Azure تحتفظ بخمسة عناوين IP. يتطلب إعداد الارتباط الخاص ل Azure Monitor 11 عنوان IP آخر على الأقل حتى إذا كنت تتصل بمساحة عمل واحدة. راجع إعدادات DNS الخاصة بنقطة النهاية لقائمة نقاط نهاية الارتباط الخاص ب Azure Monitor.

مدخل Azure

لاستخدام تجارب مدخل Azure Monitor ل Application Insights وLog Analytics وDCEs، اسمح بوصول مدخل Azure وملحقات Azure Monitor على الشبكات الخاصة. أضف علامات خدمة AzureActiveDirectory وAzureResourceManager وAzureFrontDoor.FirstParty وAzureFrontdoor.Frontend إلى مجموعة أمان الشبكة.

الوصول البرمجي

لاستخدام واجهة برمجة تطبيقات REST أو Azure CLI أو PowerShell مع Azure Monitor على الشبكات الخاصة، أضف علامات الخدمة AzureActiveDirectory وAzureResourceManager إلى جدار الحماية الخاص بك.

إعدادات DNS للمتصفح

إذا كنت تتصل بموارد Azure Monitor عبر ارتباط خاص، فيجب أن تمر نسبة استخدام الشبكة إلى هذه الموارد عبر نقطة النهاية الخاصة التي تم تكوينها على شبكتك. لتمكين نقطة النهاية الخاصة، قم بتحديث إعدادات DNS كما هو موضح في الاتصال بنقطة نهاية خاصة. تستخدم بعض المتصفحات إعدادات DNS الخاصة بها بدلاً من تلك التي قمت بتعيينها. قد يحاول المستعرض الاتصال بنقاط النهاية العامة ل Azure Monitor وتجاوز الارتباط الخاص بالكامل. تحقق من أن إعدادات المستعرض لا تتجاوز إعدادات DNS القديمة أو تخزنها مؤقتا.

الاستعلام عن القيد: عامل تشغيل البيانات الخارجية

• عامل تشغيل البيانات الخارجية غير مدعوم عبر ارتباط خاص لأنه يقرأ البيانات من حسابات التخزين ولكنه لا يضمن الوصول إلى التخزين بشكل خاص.
• يسمح وكيل Azure Data Explorer (وكيل ADX) لاستعلامات السجل بالاستعلام عن Azure Data Explorer. وكيل ADX غير مدعوم عبر ارتباط خاص لأنه لا يضمن الوصول إلى المورد المستهدف بشكل خاص.

الخطوات التالية

• تعرف على التخزين الخاص للسجلات المخصصة والمفاتيح التي يديرها العملاء.
• تعرف على نقاط نهاية جمع البيانات الجديدة.

لإنشاء نطاقات الارتباط الخاص وإدارتها، استخدم واجهة برمجة تطبيقات REST أو Azure CLI (az monitor private-link-scope).