Megosztás a következőn keresztül:

Privát kapcsolat konfigurálása az Azure Monitorhoz

  • Cikk

Ez a cikk lépésről lépésre ismerteti az Azure Monitor Private Link Scope (AMPLS) azure portalon történő létrehozásának és konfigurálásának részleteit. A cikkben az AMPLS parancssori felülettel, PowerShell-lel és ARM-sablonokkal való használatához használható alternatív módszerek is szerepelnek.

Az Azure Private Link egy példányának konfigurálásához a következő lépések szükségesek. Ezeket a lépéseket az alábbi szakaszok ismertetik.

  • Azure Monitor Private Link Scope (AMPLS) létrehozása.
  • Erőforrások csatlakoztatása az AMPLS-hez.
  • Csatlakoztassa az AMPLS-t egy privát végponthoz.
  • Konfigurálja az AMPLS-erőforrásokhoz való hozzáférést.

Ez a cikk áttekinti, hogyan történik a konfiguráció az Azure Portalon. Egy példa Azure Resource Manager-sablont (ARM-sablont) kínál a folyamat automatizálásához.

  1. Az Azure Portal Monitor menüjében válassza a Privát kapcsolat hatókörei, majd a Létrehozás lehetőséget.

    Képernyőkép a létrehozási lehetőségről és az Azure Monitor privát kapcsolat hatókörről.

  2. Válasszon ki egy előfizetést és erőforráscsoportot, és adjon az AMPLS-nek egy olyan értelmes nevet, mint az AppServerProdTelem.

  3. Válassza az Áttekintés + létrehozás lehetőséget.

    Az Azure Monitor privát kapcsolat hatókörének létrehozását bemutató képernyőkép.

  4. Hagyja, hogy az ellenőrzés sikeres legyen, és válassza a Létrehozás lehetőséget.

Erőforrások csatlakoztatása az AMPLS-hez

  1. Az AMPLS menüjében válassza az Azure Monitor-erőforrások , majd a Hozzáadás lehetőséget.

  2. Jelölje ki az összetevőt, és válassza az Alkalmaz elemet, ha hozzá szeretné adni a hatókörhöz. Csak az Azure Monitor-erőforrások, köztük a Log Analytics-munkaterületek, az Application Insights-összetevők és az adatgyűjtési végpontok (DCE-k) érhetők el.

    Képernyőkép egy hatókör kiválasztásáról.

Feljegyzés

Az Azure Monitor-erőforrások törléséhez először le kell választania őket minden olyan AMPLS-objektumról, amelyhez csatlakoznak. Az AMPLS-hez csatlakoztatott erőforrások nem törölhetők.

AMPLS csatlakoztatása privát végponthoz

Miután az erőforrások csatlakoznak az AMPLS-hez, létrehozhat egy privát végpontot a hálózat csatlakoztatásához.

  1. Az AMPLS menüjében válassza a Privát végpont kapcsolatok , majd a Privát végpont lehetőséget. A Private Link Centerben elindított kapcsolatokat is jóváhagyhatja, ha kijelöli őket, és kiválasztja a Jóváhagyás lehetőséget.

    A privát végpont kapcsolatait bemutató képernyőkép.

  2. Alapvető beállítások lap

    1. válassza ki az Előfizetés és erőforrás csoportot, majd adja meg a végpont nevét és a hálózati adapter nevét.
    2. Válassza ki azt a régiót, amelyben létre kell hozni a privát végpontot. A régiónak meg kell egyeznie azzal a virtuális hálózattal, amelyhez csatlakoztatja.

    Képernyőkép a privát végpont létrehozása alapszintű beállítások lapról.

  3. Erőforrás lap

    1. Válassza ki az Azure Monitor Private Link Scope-erőforrást tartalmazó előfizetést .
    2. Erőforrástípus esetén válassza a Microsoft.insights/privateLinkScopes lehetőséget.
    3. Az Erőforrás legördülő listában válassza ki a létrehozott privát kapcsolat hatókörét.

    Képernyőkép a Privát végpont létrehozása lapról az Azure Portalon az Erőforrás lap kiválasztásával.

  4. Virtuális hálózat lap

    1. Válassza ki azt a virtuális hálózatot és alhálózatot , amelyhez csatlakozni szeretne az Azure Monitor-erőforrásokhoz.
    2. A privát végpontok hálózati házirendje esetén válassza a szerkesztés lehetőséget, ha hálózati biztonsági csoportokat vagy útválasztási táblákat szeretne alkalmazni a privát végpontot tartalmazó alhálózatra. További részletekért tekintse meg a privát végpontok hálózati házirendjeinek kezelése című témakört.
    3. Privát IP-konfiguráció esetén alapértelmezés szerint a dinamikusan lefoglalt IP-cím van kiválasztva. Ha statikus IP-címet szeretne hozzárendelni, válassza az IP-cím statikus lefoglalása lehetőséget, majd adjon meg egy nevet és egy privát IP-címet.
    4. Igény szerint válasszon vagy hozzon létre egy alkalmazásbiztonsági csoportot. Alkalmazásbiztonsági csoportokkal csoportosíthatja a virtuális gépeket, és ezek alapján határozhatja meg a hálózati biztonsági szabályzatokat.

    Képernyőkép a Privát végpont létrehozása lapról az Azure Portalon, amelyen a Virtuális hálózat lap van kiválasztva.

  5. DNS lap

    1. Válassza az Igen lehetőséget a privát DNS-zónával való integrációhoz, amely automatikusan létrehoz egy új privát DNS-zónát. A tényleges DNS-zónák eltérhetnek az alábbi képernyőképen láthatótól.

    Feljegyzés

    Ha a Nem lehetőséget választja, és inkább manuálisan szeretné kezelni a DNS-rekordokat, először végezze el a privát kapcsolat beállítását. Adja meg ezt a privát végpontot és az AMPLS-konfigurációt, majd konfigurálja a DNS-t az Azure privát végpont DNS-konfigurációjának utasításai szerint. Ügyeljen arra, hogy ne hozzon létre üres rekordokat a privát kapcsolat beállításának előkészítéseként. A létrehozott DNS-rekordok felülbírálhatják a meglévő beállításokat, és hatással lehetnek az Azure Monitorral való kapcsolatra.

    Függetlenül attól, hogy az Igen vagy a Nem lehetőséget választja, és saját egyéni DNS-kiszolgálókat használ, feltételes továbbítókat kell beállítania az Azure privát végpont DNS-konfigurációjában említett nyilvános DNS-zónatovábbítókhoz. A feltételes továbbítóknak továbbítaniuk kell a DNS-lekérdezéseket az Azure DNS-nek.

    Képernyőkép a privát végpont létrehozása lapról az Azure Portalon, amelyen a DNS lap van kiválasztva.

  6. Felülvizsgálat + létrehozás lap

    1. Miután az ellenőrzés megfelelt, válassza a Létrehozás lehetőséget.

AMPLS-erőforrásokhoz való hozzáférés konfigurálása

Az AMPLS menüjében válassza a Hálózatelkülönítés lehetőséget annak szabályozásához, hogy mely hálózatok érhetik el az erőforrást egy privát kapcsolaton keresztül, és hogy más hálózatok elérhetik-e vagy sem.

A hálózatelkülönítést bemutató képernyőkép.

Csatlakoztatott AMPLS

Ezen a képernyőn áttekintheti és konfigurálhatja az erőforrás AMPLS-hez való kapcsolatait. Az AMPLS-hez való csatlakozás lehetővé teszi, hogy a csatlakoztatott virtuális hálózatról érkező forgalom elérje az erőforrást. Ugyanazzal a hatással bír, mint az Azure Monitor-erőforrások összekapcsolása a Connect Azure Monitor-erőforrásokban leírt hatókörből.

Új kapcsolat hozzáadásához válassza a Hozzáadás és az AMPLS lehetőséget. Az erőforrás öt AMPLS-objektumhoz tud csatlakozni az AMPLS-korlátokban leírtak szerint.

Virtuális hálózatok hozzáférésének konfigurációja

Ezek a beállítások a felsorolt hatókörökhöz nem csatlakozó nyilvános hálózatok hozzáférését szabályozzák. Ez magában foglalja a naplókhoz, a metrikákhoz és az élő metrikák streamjeihez való hozzáférést. Emellett olyan, ezen adatokra épülő szolgáltatásokat is tartalmaz, mint a munkafüzetek, irányítópultok, lekérdezési API-alapú ügyfélélmények és az Azure Portalon elérhető elemzések. Az Azure Portalon kívül futó szolgáltatásoknak és a Log Analytics-adatok lekérdezésének is a privát társított virtuális hálózaton belül kell futnia.

  • Ha nem privát kapcsolati hatókörön keresztül nem csatlakoztatott nyilvános hálózatokból a Nem értékre állítja be az adatbetöltés elfogadását, a csatlakoztatott hatókörön kívüli ügyfelek, például gépek vagy SDK-k nem tölthetnek fel adatokat, és nem küldhetnek naplókat az erőforrásnak.
  • Ha nem privát kapcsolati hatókörön keresztül nem csatlakoztatott nyilvános hálózatok lekérdezéseinek elfogadása nem értékre állítja be a lekérdezéseket, az olyan ügyfelek, mint a csatlakoztatott hatókörön kívüli gépek vagy SDK-k nem tudnak adatokat lekérdezni az erőforrásban.

AZ AMPLS használata parancssori felülettel

AMPLS létrehozása nyílt hozzáférési módokkal

A következő CLI-parancs létrehoz egy új, a lekérdezési és a betöltési hozzáférési módokkal rendelkező AMPLS-erőforrást"my-scope"Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Erőforrás-hozzáférési jelzők beállítása

A munkaterület vagy az összetevő hozzáférési jelzőinek kezeléséhez használja a jelölőket [--ingestion-access {Disabled, Enabled}] és [--query-access {Disabled, Enabled}]az az monitor log-analytics munkaterületet vagy az az monitor app-insights összetevőt.

AZ AMPLS használata a PowerShell használatával

AMPLS létrehozása

A következő PowerShell-szkript létrehoz egy új AMPLS-erőforrást, amelynek a "my-scope"lekérdezési hozzáférési módja be van állítva Open , de a betöltési hozzáférési módok a következőre PrivateOnlyvan állítva. Ez a beállítás azt jelenti, hogy csak az AMPLS-ben lévő erőforrások betöltését engedélyezi.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

AMPLS hozzáférési módok beállítása

A következő PowerShell-kód használatával állítsa be a hozzáférési mód jelzőit az AMPLS-en a létrehozás után.

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

ARM-sablonok

AMPLS létrehozása

A következő ARM-sablon a következőket hajtja végre:

  • Egy AMPLS névvel "my-scope", amelynek lekérdezési és betöltési hozzáférési módjai a következőre Openvan állítva: .
  • Egy Log Analytics-munkaterület neve "my-workspace".
  • Hatókörrel rendelkező erőforrást ad hozzá a "my-scope" névvel ellátott "my-workspace-connection"AMPLS-hez.
{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

AMPLS-konfiguráció áttekintése és ellenőrzése

A privát hivatkozás beállításának áttekintéséhez és ellenőrzéséhez kövesse az ebben a szakaszban leírt lépéseket.

A végpont DNS-beállításainak áttekintése

A cikkben létrehozott privát végpontnak a következő öt DNS-zónát kell konfigurálnia:

  • privatelink.monitor.azure.com
  • privatelink.oms.opinsights.azure.com
  • privatelink.ods.opinsights.azure.com
  • privatelink.agentsvc.azure-automation.net
  • privatelink.blob.core.windows.net

Ezen zónák mindegyike adott Azure Monitor-végpontokat képez le magánhálózati IP-címekre a virtuális hálózat IP-címkészletéből. Az alábbi képeken látható IP-címek csak példák. A konfigurációnak ehelyett a saját hálózatából származó privát IP-címeket kell megjelenítenie.

privatelink-monitor-azure-com

Ez a zóna az Azure Monitor által használt globális végpontokat fedi le, ami azt jelenti, hogy a végpontok globálisan/regionálisan, nem pedig erőforrás-specifikus kéréseket szolgálnak ki. Ennek a zónának a következő végpontokhoz kell leképeznie a végpontokat:

  • in.ai: Application Insights betöltési végpont (globális és regionális bejegyzés egyaránt).
  • api: Application Insights és Log Analytics API-végpont.
  • live: Application Insights élő metrikák végpontja.
  • profilkészítő: Application Insights Profiler a .NET-végponthoz.
  • pillanatkép: Application Insights pillanatképvégpont.
  • diagservices-query: Application Insights Profiler for .NET és Snapshot Debugger (a profiler/hibakereső eredmények elérésekor használatos az Azure Portalon).

Ez a zóna a következő DCE-k erőforrás-specifikus végpontjait is lefedi:

  • <unique-dce-identifier>.<regionname>.handler.control: Privát konfigurációs végpont, egy DCE-erőforrás része.

  • <unique-dce-identifier>.<regionname>.ingest: Privát betöltési végpont, egy DCE-erőforrás része.

    Képernyőkép saját DNS zónafigyelő-azure-com webhelyről.

Log Analytics-végpontok

A Log Analytics a következő négy DNS-zónát használja:

  • privatelink-oms-opinsights-azure-com: Az OMS-végpontokhoz való munkaterület-specifikus leképezést ismerteti. Minden egyes munkaterülethez látnia kell egy bejegyzést, amely a privát végponthoz csatlakoztatott AMPLS-hez van csatolva.
  • privatelink-ods-opinsights-azure-com: A Log Analytics betöltési végpontjait tartalmazó ODS-végpontokhoz való munkaterület-specifikus leképezést ismerteti. Minden egyes munkaterülethez látnia kell egy bejegyzést, amely a privát végponthoz csatlakoztatott AMPLS-hez van csatolva.
  • privatelink-agentsvc-azure-automation-net*: Az ügynökszolgáltatás automatizálási végpontjaihoz való munkaterület-specifikus leképezést ismerteti. Minden egyes munkaterülethez látnia kell egy bejegyzést, amely a privát végponthoz csatlakoztatott AMPLS-hez van csatolva.
  • privatelink-blob-core-windows-net: Konfigurálja a globális ügynökök megoldáscsomag-tárfiókjának kapcsolatát. Ezen keresztül az ügynökök letölthetik az új vagy frissített megoldáscsomagokat, amelyeket felügyeleti csomagoknak is neveznek. Az összes Log Analytics-ügynök kezeléséhez csak egy bejegyzés szükséges, függetlenül attól, hogy hány munkaterület van használatban. Ez a bejegyzés csak a 2021. április 19-én vagy azt követően (vagy 2021 júniusától az Azure szuverén felhőkben) létrehozott privát kapcsolati beállításokhoz lesz hozzáadva.

Az alábbi képernyőképen egy AMPLS-hez hozzárendelt végpontok láthatók, amelyek az USA keleti régiójában és egy nyugat-európai munkaterületen találhatóak. Figyelje meg, hogy az USA keleti munkaterületei megosztják az IP-címeket. A nyugat-európai munkaterület végpontja egy másik IP-címre van leképezve. A blobvégpont konfigurálva van, bár nem jelenik meg a képen.

Képernyőkép a privát kapcsolat tömörített végpontjairól.

Kommunikáció ellenőrzése AMPLS-en keresztül

  • Annak ellenőrzéséhez, hogy a kéréseket most már a privát végponton keresztül küldi-e el, tekintse át őket a böngészővel vagy egy hálózatkövetési eszközzel. Amikor például megkísérli lekérdezni a munkaterületet vagy az alkalmazást, győződjön meg arról, hogy a kérés az API-végpontra leképezett privát IP-címre lesz elküldve. Ebben a példában ez a 172.17.0.9.

    Feljegyzés

    Egyes böngészők más DNS-beállításokat is használhatnak. További információ: Böngésző DNS-beállításai. Győződjön meg arról, hogy a DNS-beállítások érvényesek.

  • Ha meg szeretné győződni arról, hogy a munkaterületek vagy összetevők nem fogadják a nyilvános hálózatoktól érkező kéréseket (nem AMPLS-kapcsolaton keresztül), állítsa az erőforrás nyilvános betöltési és lekérdezési jelzőit Nem értékre az erőforrásokhoz való hozzáférés konfigurálása című cikkben leírtak szerint.

  • A védett hálózaton lévő ügyféltől használja nslookup a DNS-zónákban felsorolt végpontok bármelyikét. Ezt a DNS-kiszolgálónak az alapértelmezés szerint használt nyilvános IP-címek helyett a leképezett privát IP-címekre kell feloldania.

Helyi tesztelés

Ha helyileg szeretné tesztelni a privát kapcsolatokat anélkül, hogy a hálózat többi ügyfelet érintené, ne frissítse a DNS-t a privát végpont létrehozásakor. Ehelyett szerkessze a gép gazdagépfájlját, hogy kéréseket küldjön a privát kapcsolat végpontjainak:

  • Állítson be egy privát hivatkozást, de amikor privát végponthoz csatlakozik, válassza ki, hogy nem szeretné automatikusan integrálni a DNS-t.
  • Konfigurálja a megfelelő végpontokat a gépek gazdagépfájljaiban.

További konfiguráció

Hálózati alhálózat mérete

A legkisebb támogatott IPv4-alhálózat a /27 CIDR-alhálózat-definíciók használatával. Bár az Azure-beli virtuális hálózatok akár /29 is lehetnek, az Azure öt IP-címet foglal le. Az Azure Monitor privát kapcsolat beállítása legalább 11 további IP-címet igényel, még akkor is, ha egyetlen munkaterülethez csatlakozik. Tekintse át a végpont DNS-beállításait az Azure Monitor privát kapcsolati végpontjainak listájához.

Azure Portal

Az Azure Monitor portálfelületek Application Insightshoz, Log Analyticshez és DCES-hez való használatához engedélyezze, hogy az Azure Portal és az Azure Monitor-bővítmények elérhetők legyenek a magánhálózatokon. Adja hozzá az AzureActiveDirectory, az AzureResourceManager, az AzureFrontDoor.FirstParty és az AzureFrontdoor.Frontend szolgáltatáscímkéket a hálózati biztonsági csoporthoz.

Szoftveres hozzáférés

Ha privát hálózatokon szeretné használni a REST API-t, az Azure CLI-t vagy a PowerShellt az Azure Monitorral, adja hozzá az AzureActiveDirectory és az AzureResourceManager szolgáltatáscímkéket a tűzfalhoz.

Böngésző DNS-beállításai

Ha privát kapcsolaton keresztül csatlakozik az Azure Monitor-erőforrásokhoz, ezeknek az erőforrásoknak a forgalmának a hálózaton konfigurált privát végponton kell áthaladnia. A privát végpont engedélyezéséhez frissítse a DNS-beállításokat a Csatlakozás privát végponthoz című cikkben leírtak szerint. Egyes böngészők saját DNS-beállításokat használnak a beállítottak helyett. Előfordulhat, hogy a böngésző megpróbál csatlakozni az Azure Monitor nyilvános végpontjaihoz, és teljesen megkerüli a privát kapcsolatot. Győződjön meg arról, hogy a böngésző beállításai nem bírálják felül vagy gyorsítótárazzák a régi DNS-beállításokat.

Lekérdezési korlátozás: externaldata operátor

  • A külsőadat-operátor nem támogatott privát kapcsolaton keresztül, mert adatokat olvas be a tárfiókokból, de nem garantálja, hogy a tárterület privát módon érhető el.
  • Az Azure Data Explorer-proxy (ADX-proxy) lehetővé teszi, hogy a napló lekérdezései lekérdezik az Azure Data Explorert. Az ADX-proxy nem támogatott privát kapcsolaton keresztül, mert nem garantálja, hogy a megcélzott erőforrás privát módon érhető el.

Következő lépések

A Private Link-hatókörök létrehozásához és kezeléséhez használja a REST API-t vagy az Azure CLI-t (az monitor private-link-scope).