مشاركة عبر

تصميم تكوين Azure Monitor Private Link

  • مقالة

عند إنشاء نطاق ارتباط خاص ل Azure Monitor (AMPLS)، فإنك تحد من الوصول إلى موارد Azure Monitor على الشبكات المتصلة بنقطة النهاية الخاصة فقط. توفر هذه المقالة إرشادات حول كيفية تصميم تكوين الارتباط الخاص ب Azure Monitor والاعتبارات الأخرى التي يجب أن تأخذها في الاعتبار قبل تنفيذها بالفعل باستخدام الإرشادات الموجودة في تكوين الارتباط الخاص ل Azure Monitor.

حدود AMPLS

كائنات AMPLS لها الحدود التالية:

  • يمكن للشبكة الظاهرية الاتصال بعنصر AMPLS واحد فقط. وهذا يعني أن كائن AMPLS يجب أن يوفر الوصول إلى جميع موارد Azure Monitor التي يجب أن يكون للشبكة الظاهرية حق الوصول إليها.
  • يمكن لعنصر AMPLS الاتصال إلى ما يصل إلى 300 مساحة عمل Log Analytics وما يصل إلى 1000 مكون Application Insights. ستزيد هذه الحدود إلى 3000 مساحة عمل Log Analytics و10000 مكون Application Insights بنهاية فبراير 2025.
  • يمكن لمورد Azure Monitor الاتصال إلى ما يصل إلى 5 AMPLS. سيزيد هذا الحد إلى 100 AMPLS بنهاية فبراير 2025.
  • يمكن لعنصر AMPLS الاتصال إلى ما يصل إلى 10 نقاط نهاية خاصة.

التخطيط حسب طوبولوجيا الشبكة

تصف الأقسام التالية كيفية تخطيط تكوين الارتباط الخاص ب Azure Monitor استنادا إلى مخطط الشبكة.

تجنب تجاوزات DNS باستخدام AMPLS واحد

تتكون بعض الشبكات من شبكات ظاهرية متعددة أو شبكات متصلة أخرى. إذا كانت هذه الشبكات تشترك في نفس DNS، فإن تكوين ارتباط خاص على أي منها سيؤدي إلى تحديث DNS والتأثير على حركة المرور عبر جميع الشبكات.

في الرسم التخطيطي التالي، تتصل الشبكة الظاهرية 10.0.1.x ب AMPLS1، والتي تنشئ إدخالات DNS التي تعين نقاط نهاية Azure Monitor إلى عناوين IP من النطاق 10.0.1.x. لاحقا، تتصل الشبكة الظاهرية 10.0.2.x ب AMPLS2، والتي تتجاوز نفس إدخالات DNS عن طريق تعيين نفس نقاط النهاية العمومية /الإقليمية إلى عناوين IP من النطاق 10.0.2.x. نظرا لعدم تناظر هذه الشبكات الظاهرية، تفشل الشبكة الظاهرية الأولى الآن في الوصول إلى نقاط النهاية هذه. لتجنب هذا التعارض، إنشاء كائن AMPLS واحد فقط لكل DNS.

رسم تخطيطي يوضح تجاوزات DNS في شبكات ظاهرية متعددة.

شبكات Hub-and-Speak

يجب أن تستخدم شبكات النظام المحوري اتصال ارتباط خاص واحد تم تعيينه على شبكة المركز (الرئيسية)، وليس على كل شبكة ظاهرية محورية.

قد تفضل إنشاء ارتباطات خاصة منفصلة للشبكات الظاهرية المحورية للسماح لكل شبكة ظاهرية بالوصول إلى مجموعة محدودة من موارد المراقبة. في هذه الحالة، يمكنك إنشاء نقطة نهاية خاصة مخصصة و AMPLS لكل شبكة ظاهرية. يجب عليك أيضا التحقق من عدم مشاركة مناطق DNS نفسها لتجنب تجاوزات DNS.

رسم تخطيطي يوضح ارتباط خاص واحد محوري.

شبكات نظيرة

مع تناظر الشبكة، يمكن للشبكات مشاركة عناوين IP الخاصة ببعضها البعض وعلى الأرجح مشاركة نفس DNS. في هذه الحالة، قم بإنشاء ارتباط خاص واحد على شبكة يمكن لشبكاتك الأخرى الوصول إليها. تجنب إنشاء نقاط نهاية خاصة متعددة وعناصر AMPLS لأن المجموعة الأخيرة فقط في DNS تنطبق.

شبكات معزولة

إذا لم تكن شبكاتك مقترنة، فيجب عليك أيضا فصل DNS الخاصة بها لاستخدام الارتباطات الخاصة. يمكنك بعد ذلك إنشاء نقطة نهاية خاصة منفصلة لكل شبكة، وعنصر AMPLS منفصل. يمكن أن ترتبط كائنات AMPLS بنفس مساحات العمل/المكونات أو بمساحات عمل مختلفة.

تحديد وضع الوصول

تسمح لك أوضاع الوصول إلى الارتباطات الخاصة بالتحكم في كيفية تأثير الارتباطات الخاصة على نسبة استخدام الشبكة. والذي تحدده أمر بالغ الأهمية لضمان نسبة استخدام الشبكة المستمرة وغير المنقطعة.

يمكن تطبيق أوضاع الوصول على جميع الشبكات المتصلة ب AMPLS أو على شبكات معينة متصلة به. يتم تعيين أوضاع الوصول بشكل منفصل للاستيعاب والاستعلامات. على سبيل المثال، يمكنك تعيين وضع خاص فقط للعرض ووضع فتح للاستعلامات.

هام

يستخدم استيعاب Log Analytics نقاط نهاية خاصة بالموارد حتى لا يلتزم بأوضاع الوصول إلى AMPLS. لضمان عدم تمكن طلبات استيعاب Log Analytics من الوصول إلى مساحات العمل خارج AMPLS، قم بتعيين جدار حماية الشبكة لمنع حركة المرور إلى نقاط النهاية العامة، بغض النظر عن أوضاع الوصول إلى AMPLS.

وضع الوصول الخاص فقط

يسمح هذا الوضع للشبكة الظاهرية بالوصول إلى موارد الارتباط الخاص فقط في AMPLS. هذا هو الخيار الأكثر أمانا ويمنع تسرب البيانات عن طريق حظر حركة المرور خارج AMPLS إلى موارد Azure Monitor.

رسم تخطيطي يوضح وضع الوصول الخاص ب AMPLS فقط.

فتح وضع الوصول

يسمح هذا الوضع للشبكة الظاهرية بالوصول إلى موارد الارتباط الخاص والموارد غير الموجودة في AMPLS (إذا كانت تقبل نسبة استخدام الشبكة من الشبكات العامة). لا يمنع وضع الوصول المفتوح النقل غير المصرح للبيانات، ولكنه لا يزال يوفر الفوائد الأخرى للارتباطات الخاصة. يتم إرسال نسبة استخدام الشبكة إلى موارد الارتباط الخاص من خلال نقاط النهاية الخاصة قبل التحقق من صحتها ثم إرسالها عبر العمود الفقري ل Microsoft. يعد وضع الفتح مفيدا في الوضع المختلط حيث يتم الوصول إلى بعض الموارد بشكل عام والوصول إلى الموارد الأخرى عبر ارتباط خاص. يمكن أن يكون مفيدا أيضا أثناء عملية الإعداد التدريجي.

رسم تخطيطي يوضح وضع الوصول المفتوح ل AMPLS.

هام

يجب توخي الحذر عند تحديد وضع الوصول. سيؤدي استخدام وضع الوصول الخاص فقط إلى حظر حركة المرور إلى الموارد غير الموجودة في AMPLS عبر جميع الشبكات التي تشترك في نفس DNS بغض النظر عن الاشتراك أو المستأجر. إذا لم تتمكن من إضافة جميع موارد Azure Monitor إلى AMPLS، فابدأ بإضافة موارد محددة وتطبيق وضع الوصول المفتوح. قم بالتبديل إلى وضع Private Only للحصول على أقصى قدر من الأمان فقط بعد إضافة جميع موارد Azure Monitor إلى AMPLS.

تعيين أوضاع الوصول لشبكات معينة

تؤثر أوضاع الوصول المعينة على مورد AMPLS على كافة الشبكات، ولكن يمكنك تجاوز هذه الإعدادات لشبكات معينة.

في الرسم التخطيطي التالي، يستخدم VNet1 الوضع فتح ويستخدم VNet2 وضع خاص فقط. يمكن أن تصل الطلبات من VNet1 إلى مساحة العمل 1 والمكون 2 عبر ارتباط خاص. يمكن أن تصل الطلبات إلى المكون 3 فقط إذا قبلت نسبة استخدام الشبكة من الشبكات العامة. لا يمكن لطلبات VNet2 الوصول إلى المكون 3.

رسم تخطيطي يوضح أوضاع الوصول المختلط.

التحكم في وصول الشبكة إلى موارد AMPLS

يمكن تعيين مكونات Azure Monitor إلى إما:

  • قبول أو حظر العرض من الشبكات العامة (الشبكات غير المتصلة بمورد AMPLS).
  • قبول أو حظر الاستعلامات من الشبكات العامة (الشبكات غير المتصلة بمصدر AMPLS).

تسمح لك هذه النقاوة بتعيين الوصول لكل مساحة عمل وفقا لاحتياجاتك المحددة. على سبيل المثال، قد تقبل الاستيعاب فقط من خلال الشبكات الخاصة المتصلة بالارتباط ولكن لا تزال تختار قبول الاستعلامات من جميع الشبكات العامة والخاصة.

إشعار

حظر الاستعلامات من الشبكات العامة يعني أن العملاء مثل الأجهزة وSDKs خارج AMPLS المتصلة لا يمكنهم الاستعلام عن البيانات في المورد. تتضمن هذه البيانات سجلات ومقاييس وتدفق المقاييس المباشرة. يؤثر حظر الاستعلامات من الشبكات العامة على جميع التجارب التي تقوم بتشغيل هذه الاستعلامات، مثل المصنفات ولوحات المعلومات والرؤى في مدخل Microsoft Azure والاستعلامات التي يتم تشغيلها من خارج مدخل Azure.

فيما يلي استثناءات للوصول إلى الشبكة هذا:

  • سجلات التشخيص. السجلات والمقاييس المرسلة إلى مساحة عمل من إعداد تشخيصي عبر قناة Microsoft خاصة آمنة ولا يتم التحكم فيها بواسطة هذه الإعدادات.
  • مقاييس مخصصة أو مقاييس ضيف Azure Monitor. لا يتم التحكم في المقاييس المخصصة المرسلة من عامل Azure Monitor بواسطة DCEs ولا يمكن تكوينها عبر الارتباطات الخاصة.

إشعار

لا يمكن للاستعلامات المرسلة من خلال واجهة برمجة تطبيقات Resource Manager استخدام ارتباطات Azure Monitor الخاصة. يمكن لهذه الاستعلامات الوصول فقط إذا كان المورد الهدف يسمح بالاستعلامات من الشبكات العامة.

تعرف التجارب التالية بتشغيل الاستعلامات من خلال واجهة برمجة تطبيقات Resource Manager:

  • موصل LogicApp
  • تحديث حل الإدارة
  • تغيير تعقب الحل
  • تفاصيل الأجهزة الظاهرية (VM)
  • نتائج تحليلات الحاوية
  • جزء ملخص مساحة عمل Log Analytics (مهمل) (الذي يعرض لوحة معلومات الحلول)

اعتبارات خاصة

Application Insights

  • إضافة موارد تستضيف أحمال العمل المراقبة إلى ارتباط خاص. على سبيل المثال، راجع استخدام نقاط النهاية الخاصة ل Azure Web App.
  • يجب أيضا تشغيل تجارب الاستهلاك غير المدخل على الشبكة الظاهرية المرتبطة الخاصة التي تتضمن أحمال العمل المراقبة.
  • قم بتوفير حساب التخزين الخاص بك لدعم الارتباطات الخاصة ل .NET Profiler و Debugger.

إشعار

لتأمين Application Insights المستند إلى مساحة العمل بالكامل، قم بتأمين الوصول إلى مورد Application Insights ومساحة عمل Log Analytics الأساسية.

Prometheus المدار

  • يتم إجراء إعدادات استيعاب الارتباط الخاص باستخدام AMPLS والإعدادات على نقاط نهاية تجميع البيانات (DCEs) التي تشير إلى مساحة عمل Azure Monitor المستخدمة لتخزين مقاييس Prometheus.
  • يتم إجراء إعدادات استعلام Private Link مباشرة على مساحة عمل Azure Monitor المستخدمة لتخزين مقاييس Prometheus ولا تتم معالجتها باستخدام AMPLS.

الخطوات التالية