Az Azure Monitor Private Link konfigurációjának megtervezése
Azure Monitor Private Link Scope (AMPLS) létrehozásakor csak a privát végponthoz csatlakoztatott hálózatokra korlátozza az Azure Monitor-erőforrásokhoz való hozzáférést. Ez a cikk útmutatást nyújt az Azure Monitor privát kapcsolat konfigurációjának megtervezéséhez, és egyéb szempontokat is figyelembe kell vennie, mielőtt ténylegesen megvalósítanák az Azure Monitor privát kapcsolatának konfigurálása című útmutatót.
AMPLS-korlátok
Az AMPLS-objektumokra a következő korlátozások vonatkoznak:
- Egy virtuális hálózat csak egy AMPLS-objektumhoz tud csatlakozni. Ez azt jelenti, hogy az AMPLS-objektumnak hozzáférést kell biztosítania az összes Azure Monitor-erőforráshoz, amelyhez a virtuális hálózatnak hozzáféréssel kell rendelkeznie.
- Az AMPLS-objektumok legfeljebb 300 Log Analytics-munkaterülethez és legfeljebb 1000 Application Insights-összetevőhöz csatlakozhatnak. Ezek a korlátok 2025 február végéig 3000 Log Analytics-munkaterületre és 10 000 Application Insights-összetevőre növekednek.
- Egy Azure Monitor-erőforrás legfeljebb 5 AMPLS-hez tud csatlakozni. Ez a korlát 2025 február végéig 100 AMPLS-re nő.
- Az AMPLS-objektumok legfeljebb 10 privát végponthoz csatlakozhatnak.
Tervezés hálózati topológia szerint
A következő szakaszok ismertetik, hogyan tervezheti meg az Azure Monitor privát kapcsolat konfigurációját a hálózati topológia alapján.
A DNS-felülbírálások elkerülése egyetlen AMPLS használatával
Egyes hálózatok több virtuális hálózatból vagy más csatlakoztatott hálózatból állnak. Ha ezek a hálózatok ugyanazt a DNS-t használják, egy privát kapcsolat konfigurálása bármelyiken frissítené a DNS-t, és hatással lenne az összes hálózat forgalmára.
Az alábbi ábrán a 10.0.1.x virtuális hálózat csatlakozik az AMPLS1-hez, amely olyan DNS-bejegyzéseket hoz létre, amelyek az Azure Monitor-végpontokat a 10.0.1.x tartomány ip-címeihez rendelik. Később a 10.0.2.x virtuális hálózat csatlakozik az AMPLS2-hez, amely felülbírálja ugyanazokat a DNS-bejegyzéseket azáltal, hogy a 10.0.2.x tartományból leképezi ugyanazokat a globális/regionális végpontokat IP-címekre. Mivel ezek a virtuális hálózatok nincsenek társviszonyban, az első virtuális hálózat nem éri el ezeket a végpontokat. Az ütközés elkerülése érdekében DNS-enként csak egyetlen AMPLS-objektumot hozzon létre.
Küllős hálózatok
A küllős hálózatoknak egyetlen privát kapcsolati kapcsolatot kell használniuk a központi (fő) hálózaton, és nem minden küllős virtuális hálózaton.
Érdemes lehet külön privát kapcsolatokat létrehozni a küllős virtuális hálózatokhoz, hogy az egyes virtuális hálózatok korlátozott számú monitorozási erőforráshoz férhessenek hozzá. Ebben az esetben minden virtuális hálózathoz létrehozhat egy dedikált privát végpontot és AMPLS-t. A DNS-felülbírálások elkerülése érdekében azt is ellenőriznie kell, hogy nem ugyanazokkal a DNS-zónákkal rendelkeznek-e.
Társhálózatok
A hálózati társviszony-létesítéssel a hálózatok megoszthatják egymás IP-címét, és valószínűleg ugyanazt a DNS-t használhatják. Ebben az esetben hozzon létre egyetlen privát kapcsolatot egy olyan hálózaton, amely elérhető a többi hálózat számára. Ne hozzon létre több privát végpontot és AMPLS-objektumot, mert csak a DNS utolsó készlete érvényes.
Izolált hálózatok
Ha a hálózatok nincsenek társviszonyban, a privát kapcsolatok használatához külön kell különítenie a DNS-üket is. Ezután létrehozhat egy külön privát végpontot minden hálózathoz és egy külön AMPLS-objektumot. Az AMPLS-objektumok ugyanahhoz a munkaterülethez/összetevőhöz vagy más-máshoz kapcsolhatók.
Hozzáférési mód kiválasztása
A privát kapcsolat hozzáférési módjai lehetővé teszik annak szabályozását, hogy a privát kapcsolatok hogyan befolyásolják a hálózati forgalmat. A kiválasztott elem kritikus fontosságú a folyamatos, zavartalan hálózati forgalom biztosításához.
A hozzáférési módok az AMPLS-hez csatlakoztatott összes hálózatra vagy a hozzá csatlakoztatott meghatározott hálózatokra vonatkozhatnak. A hozzáférési módok külön vannak beállítva a betöltéshez és a lekérdezésekhez. Beállíthatja például a csak privát módot a betöltéshez, a lekérdezések megnyitási módját.
Fontos
A Log Analytics-betöltés erőforrás-specifikus végpontokat használ, hogy ne tartsa be az AMPLS hozzáférési módokat. Annak biztosítása érdekében, hogy a Log Analytics betöltési kérései nem férnek hozzá a munkaterületekhez az AMPLS-ből, állítsa be a hálózati tűzfalat úgy, hogy az AMPLS hozzáférési módtól függetlenül blokkolja a nyilvános végpontok felé irányuló forgalmat.
Csak privát hozzáférési mód
Ez a mód lehetővé teszi, hogy a virtuális hálózat csak a privát kapcsolat erőforrásait érje el az AMPLS-ben. Ez a legbiztonságosabb lehetőség, és megakadályozza az adatszivárgást azáltal, hogy blokkolja az AMPLS-ből az Azure Monitor-erőforrásokba történő forgalmat.
Hozzáférési mód megnyitása
Ez a mód lehetővé teszi a virtuális hálózat számára, hogy az AMPLS-ben nem található privát kapcsolatú erőforrásokat és erőforrásokat is elérje (ha a nyilvános hálózatokról érkező forgalmat fogadják el). A Nyílt hozzáférés mód nem akadályozza meg az adatok kiszivárgását, de továbbra is a privát hivatkozások egyéb előnyeit kínálja. A privát kapcsolati erőforrások felé érkező forgalmat a rendszer privát végpontokon keresztül küldi el az ellenőrzés előtt, majd a Microsoft gerinchálózatán keresztül küldi el. A Nyitott mód olyan vegyes mód esetén hasznos, ahol egyes erőforrások nyilvánosan, mások pedig privát kapcsolaton keresztül érhetők el. A fokozatos előkészítési folyamat során is hasznos lehet.
Fontos
A hozzáférési mód kiválasztásakor körültekintően járjon el. A Csak privát hozzáférési mód használata letiltja az AMPLS-ben nem szereplő erőforrások forgalmát minden olyan hálózatban, amely előfizetéstől vagy bérlőtől függetlenül ugyanazt a DNS-t használja. Ha nem tudja hozzáadni az összes Azure Monitor-erőforrást az AMPLS-hez, először adja hozzá a kiválasztott erőforrásokat, és alkalmazza a Nyílt hozzáférési módot. A maximális biztonság érdekében csak akkor váltson a Csak privát módra, ha hozzáadta az összes Azure Monitor-erőforrást az AMPLS-hez.
Hozzáférési módok beállítása adott hálózatokhoz
Az AMPLS-erőforráson beállított hozzáférési módok minden hálózatra hatással vannak, de ezeket a beállításokat felülbírálhatja bizonyos hálózatok esetében.
Az alábbi ábrán a VNet1 a Megnyitás, a VNet2 pedig a Csak privát módot használja. A VNet1 kérései privát kapcsolaton keresztül elérhetik az 1. és a 2. munkaterületet. A kérések csak akkor érhetik el a 3. összetevőt, ha a nyilvános hálózatokról érkező forgalmat fogadja el. A VNet2-kérelmek nem érik el a 3. összetevőt.
Az AMPLS-erőforrásokhoz való hálózati hozzáférés szabályozása
Az Azure Monitor-összetevők a következőkre állíthatók be:
- Nyilvános hálózatokból (az erőforrás AMPLS-hez nem csatlakozó hálózatokból) történő betöltés elfogadása vagy letiltása.
- Nyilvános hálózatokról (az erőforrás AMPLS-hez nem csatlakozó hálózatokról) érkező lekérdezések elfogadása vagy letiltása.
Ez a részletesség lehetővé teszi a munkaterületenkénti hozzáférés beállítását az ön igényeinek megfelelően. Előfordulhat például, hogy csak a privát kapcsolattal összekapcsolt hálózatokon keresztül fogadja el a betöltést, de továbbra is úgy dönt, hogy az összes hálózatból, nyilvános és privát hálózatból fogad lekérdezéseket.
Feljegyzés
A nyilvános hálózatokról érkező lekérdezések blokkolása azt jelenti, hogy az olyan ügyfelek, mint a csatlakoztatott AMPLS-en kívüli gépek és SDK-k, nem tudnak adatokat lekérdezni az erőforrásban. Az adatok közé tartoznak a naplók, a metrikák és az élő metrikák streamje. A nyilvános hálózatok lekérdezéseinek letiltása hatással van a lekérdezéseket futtató összes felületre, például munkafüzetekre, irányítópultokra, az Azure Portalon található megállapításokra, valamint az Azure Portalon kívülről futtatott lekérdezésekre.
A hálózati hozzáférésre az alábbi kivételek tartoznak:
- Diagnosztikai naplók. A diagnosztikai beállításból a munkaterületre küldött naplók és metrikák biztonságos privát Microsoft-csatornán keresztül érkeznek, és ezek a beállítások nem vezérlik őket.
- Egyéni metrikák vagy Azure Monitor-vendégmetrikák. Az Azure Monitor-ügynöktől küldött egyéni metrikákat nem a tartományvezérlők vezérlik, és nem konfigurálhatók privát hivatkozásokon keresztül.
Feljegyzés
A Resource Manager API-val küldött lekérdezések nem használhatják az Azure Monitor privát hivatkozásait. Ezek a lekérdezések csak akkor férhetnek hozzá, ha a célerőforrás nyilvános hálózatokról engedélyezi a lekérdezéseket.
A következő szolgáltatásokról ismert, hogy lekérdezéseket futtatnak a Resource Manager API-val:
- Logika Alkalmazás-összekötő
- Az Update Management megoldás
- Változáskövetési megoldás
- Virtuálisgép-elemzések
- Container Insights
- Log Analytics-munkaterület összefoglalása (elavult) panel (amely a megoldások irányítópultját jeleníti meg)
Különleges megfontolások
Application Insights
- Adja hozzá a figyelt számítási feladatokat futtató erőforrásokat egy privát hivatkozáshoz. Lásd például a Privát végpontok használata az Azure Web Apphoz című témakört.
- A nem portálhasználati élményeknek a felügyelt számítási feladatokat tartalmazó, privát társított virtuális hálózaton is futniuk kell.
- Adjon meg saját tárfiókot a .NET Profiler és Hibakereső privát hivatkozásainak támogatásához.
Feljegyzés
A munkaterület-alapú Application Insights teljes körű védelméhez zárolja az Application Insights-erőforráshoz és a mögöttes Log Analytics-munkaterülethez való hozzáférést.
Felügyelt Prometheus
- A Private Link betöltési beállításai az AMPLS és az adatgyűjtési végpontok (DCE-k) beállításaival készülnek, amelyek a Prometheus-metrikák tárolásához használt Azure Monitor-munkaterületre hivatkoznak.
- A Private Link lekérdezési beállításai közvetlenül a Prometheus-metrikák tárolására használt Azure Monitor-munkaterületen vannak megadva, és nem kezelik az AMPLS-sel.
Következő lépések
- Megtudhatja, hogyan konfigurálhatja a privát hivatkozást.
- Ismerje meg az egyéni naplók és az ügyfél által felügyelt kulcsok privát tárolását .
- További információ a Private Link for Automation szolgáltatásról.