Megosztás a következőn keresztül:


Az Azure Monitor Private Link konfigurációjának megtervezése

Azure Monitor Private Link Scope (AMPLS) létrehozásakor csak a privát végponthoz csatlakoztatott hálózatokra korlátozza az Azure Monitor-erőforrásokhoz való hozzáférést. Ez a cikk útmutatást nyújt az Azure Monitor privát kapcsolat konfigurációjának megtervezéséhez, és egyéb szempontokat is figyelembe kell vennie, mielőtt ténylegesen megvalósítanák az Azure Monitor privát kapcsolatának konfigurálása című útmutatót.

AMPLS-korlátok

Az AMPLS-objektumokra a következő korlátozások vonatkoznak:

  • Egy virtuális hálózat csak egy AMPLS-objektumhoz tud csatlakozni. Ez azt jelenti, hogy az AMPLS-objektumnak hozzáférést kell biztosítania az összes Azure Monitor-erőforráshoz, amelyhez a virtuális hálózatnak hozzáféréssel kell rendelkeznie.
  • Az AMPLS-objektumok legfeljebb 300 Log Analytics-munkaterülethez és legfeljebb 1000 Application Insights-összetevőhöz csatlakozhatnak. Ezek a korlátok 2025 február végéig 3000 Log Analytics-munkaterületre és 10 000 Application Insights-összetevőre növekednek.
  • Egy Azure Monitor-erőforrás legfeljebb 5 AMPLS-hez tud csatlakozni. Ez a korlát 2025 február végéig 100 AMPLS-re nő.
  • Az AMPLS-objektumok legfeljebb 10 privát végponthoz csatlakozhatnak.

Tervezés hálózati topológia szerint

A következő szakaszok ismertetik, hogyan tervezheti meg az Azure Monitor privát kapcsolat konfigurációját a hálózati topológia alapján.

A DNS-felülbírálások elkerülése egyetlen AMPLS használatával

Egyes hálózatok több virtuális hálózatból vagy más csatlakoztatott hálózatból állnak. Ha ezek a hálózatok ugyanazt a DNS-t használják, egy privát kapcsolat konfigurálása bármelyiken frissítené a DNS-t, és hatással lenne az összes hálózat forgalmára.

Az alábbi ábrán a 10.0.1.x virtuális hálózat csatlakozik az AMPLS1-hez, amely olyan DNS-bejegyzéseket hoz létre, amelyek az Azure Monitor-végpontokat a 10.0.1.x tartomány ip-címeihez rendelik. Később a 10.0.2.x virtuális hálózat csatlakozik az AMPLS2-hez, amely felülbírálja ugyanazokat a DNS-bejegyzéseket azáltal, hogy a 10.0.2.x tartományból leképezi ugyanazokat a globális/regionális végpontokat IP-címekre. Mivel ezek a virtuális hálózatok nincsenek társviszonyban, az első virtuális hálózat nem éri el ezeket a végpontokat. Az ütközés elkerülése érdekében DNS-enként csak egyetlen AMPLS-objektumot hozzon létre.

Több virtuális hálózat DNS-felülbírálásait bemutató ábra.

Küllős hálózatok

A küllős hálózatoknak egyetlen privát kapcsolati kapcsolatot kell használniuk a központi (fő) hálózaton, és nem minden küllős virtuális hálózaton.

Érdemes lehet külön privát kapcsolatokat létrehozni a küllős virtuális hálózatokhoz, hogy az egyes virtuális hálózatok korlátozott számú monitorozási erőforráshoz férhessenek hozzá. Ebben az esetben minden virtuális hálózathoz létrehozhat egy dedikált privát végpontot és AMPLS-t. A DNS-felülbírálások elkerülése érdekében azt is ellenőriznie kell, hogy nem ugyanazokkal a DNS-zónákkal rendelkeznek-e.

Egy küllős magánkapcsolatot ábrázoló diagram.

Társhálózatok

A hálózati társviszony-létesítéssel a hálózatok megoszthatják egymás IP-címét, és valószínűleg ugyanazt a DNS-t használhatják. Ebben az esetben hozzon létre egyetlen privát kapcsolatot egy olyan hálózaton, amely elérhető a többi hálózat számára. Ne hozzon létre több privát végpontot és AMPLS-objektumot, mert csak a DNS utolsó készlete érvényes.

Izolált hálózatok

Ha a hálózatok nincsenek társviszonyban, a privát kapcsolatok használatához külön kell különítenie a DNS-üket is. Ezután létrehozhat egy külön privát végpontot minden hálózathoz és egy külön AMPLS-objektumot. Az AMPLS-objektumok ugyanahhoz a munkaterülethez/összetevőhöz vagy más-máshoz kapcsolhatók.

Hozzáférési mód kiválasztása

A privát kapcsolat hozzáférési módjai lehetővé teszik annak szabályozását, hogy a privát kapcsolatok hogyan befolyásolják a hálózati forgalmat. A kiválasztott elem kritikus fontosságú a folyamatos, zavartalan hálózati forgalom biztosításához.

A hozzáférési módok az AMPLS-hez csatlakoztatott összes hálózatra vagy a hozzá csatlakoztatott meghatározott hálózatokra vonatkozhatnak. A hozzáférési módok külön vannak beállítva a betöltéshez és a lekérdezésekhez. Beállíthatja például a csak privát módot a betöltéshez, a lekérdezések megnyitási módját.

Fontos

A Log Analytics-betöltés erőforrás-specifikus végpontokat használ, hogy ne tartsa be az AMPLS hozzáférési módokat. Annak biztosítása érdekében, hogy a Log Analytics betöltési kérései nem férnek hozzá a munkaterületekhez az AMPLS-ből, állítsa be a hálózati tűzfalat úgy, hogy az AMPLS hozzáférési módtól függetlenül blokkolja a nyilvános végpontok felé irányuló forgalmat.

Csak privát hozzáférési mód

Ez a mód lehetővé teszi, hogy a virtuális hálózat csak a privát kapcsolat erőforrásait érje el az AMPLS-ben. Ez a legbiztonságosabb lehetőség, és megakadályozza az adatszivárgást azáltal, hogy blokkolja az AMPLS-ből az Azure Monitor-erőforrásokba történő forgalmat.

Az AMPLS Csak privát hozzáférési módot bemutató diagram.

Hozzáférési mód megnyitása

Ez a mód lehetővé teszi a virtuális hálózat számára, hogy az AMPLS-ben nem található privát kapcsolatú erőforrásokat és erőforrásokat is elérje (ha a nyilvános hálózatokról érkező forgalmat fogadják el). A Nyílt hozzáférés mód nem akadályozza meg az adatok kiszivárgását, de továbbra is a privát hivatkozások egyéb előnyeit kínálja. A privát kapcsolati erőforrások felé érkező forgalmat a rendszer privát végpontokon keresztül küldi el az ellenőrzés előtt, majd a Microsoft gerinchálózatán keresztül küldi el. A Nyitott mód olyan vegyes mód esetén hasznos, ahol egyes erőforrások nyilvánosan, mások pedig privát kapcsolaton keresztül érhetők el. A fokozatos előkészítési folyamat során is hasznos lehet.

Az AMPLS Open hozzáférési módot bemutató ábra.

Fontos

A hozzáférési mód kiválasztásakor körültekintően járjon el. A Csak privát hozzáférési mód használata letiltja az AMPLS-ben nem szereplő erőforrások forgalmát minden olyan hálózatban, amely előfizetéstől vagy bérlőtől függetlenül ugyanazt a DNS-t használja. Ha nem tudja hozzáadni az összes Azure Monitor-erőforrást az AMPLS-hez, először adja hozzá a kiválasztott erőforrásokat, és alkalmazza a Nyílt hozzáférési módot. A maximális biztonság érdekében csak akkor váltson a Csak privát módra, ha hozzáadta az összes Azure Monitor-erőforrást az AMPLS-hez.

Hozzáférési módok beállítása adott hálózatokhoz

Az AMPLS-erőforráson beállított hozzáférési módok minden hálózatra hatással vannak, de ezeket a beállításokat felülbírálhatja bizonyos hálózatok esetében.

Az alábbi ábrán a VNet1 a Megnyitás, a VNet2 pedig a Csak privát módot használja. A VNet1 kérései privát kapcsolaton keresztül elérhetik az 1. és a 2. munkaterületet. A kérések csak akkor érhetik el a 3. összetevőt, ha a nyilvános hálózatokról érkező forgalmat fogadja el. A VNet2-kérelmek nem érik el a 3. összetevőt.

Vegyes hozzáférési módokat bemutató diagram.

Az AMPLS-erőforrásokhoz való hálózati hozzáférés szabályozása

Az Azure Monitor-összetevők a következőkre állíthatók be:

  • Nyilvános hálózatokból (az erőforrás AMPLS-hez nem csatlakozó hálózatokból) történő betöltés elfogadása vagy letiltása.
  • Nyilvános hálózatokról (az erőforrás AMPLS-hez nem csatlakozó hálózatokról) érkező lekérdezések elfogadása vagy letiltása.

Ez a részletesség lehetővé teszi a munkaterületenkénti hozzáférés beállítását az ön igényeinek megfelelően. Előfordulhat például, hogy csak a privát kapcsolattal összekapcsolt hálózatokon keresztül fogadja el a betöltést, de továbbra is úgy dönt, hogy az összes hálózatból, nyilvános és privát hálózatból fogad lekérdezéseket.

Feljegyzés

A nyilvános hálózatokról érkező lekérdezések blokkolása azt jelenti, hogy az olyan ügyfelek, mint a csatlakoztatott AMPLS-en kívüli gépek és SDK-k, nem tudnak adatokat lekérdezni az erőforrásban. Az adatok közé tartoznak a naplók, a metrikák és az élő metrikák streamje. A nyilvános hálózatok lekérdezéseinek letiltása hatással van a lekérdezéseket futtató összes felületre, például munkafüzetekre, irányítópultokra, az Azure Portalon található megállapításokra, valamint az Azure Portalon kívülről futtatott lekérdezésekre.

A hálózati hozzáférésre az alábbi kivételek tartoznak:

  • Diagnosztikai naplók. A diagnosztikai beállításból a munkaterületre küldött naplók és metrikák biztonságos privát Microsoft-csatornán keresztül érkeznek, és ezek a beállítások nem vezérlik őket.
  • Egyéni metrikák vagy Azure Monitor-vendégmetrikák. Az Azure Monitor-ügynöktől küldött egyéni metrikákat nem a tartományvezérlők vezérlik, és nem konfigurálhatók privát hivatkozásokon keresztül.

Feljegyzés

A Resource Manager API-val küldött lekérdezések nem használhatják az Azure Monitor privát hivatkozásait. Ezek a lekérdezések csak akkor férhetnek hozzá, ha a célerőforrás nyilvános hálózatokról engedélyezi a lekérdezéseket.

A következő szolgáltatásokról ismert, hogy lekérdezéseket futtatnak a Resource Manager API-val:

  • Logika Alkalmazás-összekötő
  • Az Update Management megoldás
  • Változáskövetési megoldás
  • Virtuálisgép-elemzések
  • Container Insights
  • Log Analytics-munkaterület összefoglalása (elavult) panel (amely a megoldások irányítópultját jeleníti meg)

Különleges megfontolások

Application Insights

  • Adja hozzá a figyelt számítási feladatokat futtató erőforrásokat egy privát hivatkozáshoz. Lásd például a Privát végpontok használata az Azure Web Apphoz című témakört.
  • A nem portálhasználati élményeknek a felügyelt számítási feladatokat tartalmazó, privát társított virtuális hálózaton is futniuk kell.
  • Adjon meg saját tárfiókot a .NET Profiler és Hibakereső privát hivatkozásainak támogatásához.

Feljegyzés

A munkaterület-alapú Application Insights teljes körű védelméhez zárolja az Application Insights-erőforráshoz és a mögöttes Log Analytics-munkaterülethez való hozzáférést.

Felügyelt Prometheus

  • A Private Link betöltési beállításai az AMPLS és az adatgyűjtési végpontok (DCE-k) beállításaival készülnek, amelyek a Prometheus-metrikák tárolásához használt Azure Monitor-munkaterületre hivatkoznak.
  • A Private Link lekérdezési beállításai közvetlenül a Prometheus-metrikák tárolására használt Azure Monitor-munkaterületen vannak megadva, és nem kezelik az AMPLS-sel.

Következő lépések