Hálózatok csatlakoztatása az Azure Monitorhoz az Azure Private Linkkel

Az Azure Private Link használatával biztonságosan csatlakoztathatja az Azure Platform mint szolgáltatás (PaaS) erőforrásait a virtuális hálózathoz privát végpontok használatával. Az Azure Monitor privát hivatkozásai másképpen vannak strukturálva, mint a más szolgáltatásokra mutató privát hivatkozások. Ez a cikk az Azure Monitor privát kapcsolatainak fő alapelveit és azok működését ismerteti.

A Private Link és az Azure Monitor használatának előnyei közé tartoznak a következők. További előnyökért tekintse meg a Private Link főbb előnyeit.

• Privát csatlakozás az Azure Monitorhoz nyilvános hálózati hozzáférés engedélyezése nélkül. Győződjön meg arról, hogy a monitorozási adatok csak engedélyezett magánhálózatokon keresztül érhetők el.
• A privát végponton keresztül csatlakozó konkrét Azure Monitor-erőforrások definiálásával megakadályozhatja a magánhálózatok adatkiszivárgását.
• Biztonságosan csatlakoztassa a helyszíni magánhálózatot az Azure Monitorhoz az Azure ExpressRoute és a Private Link használatával.
• Tartsa az összes forgalmat az Azure gerinchálózatán belül.

Alapfogalmak

Ahelyett, hogy privát kapcsolatot hoz létre minden olyan erőforráshoz, amelyhez a virtuális hálózat csatlakozik, az Azure Monitor egyetlen privát kapcsolati kapcsolatot használ a virtuális hálózat egy privát végpontja és egy Azure Monitor Private Link Scope (AMPLS) használatával. Az AMPLS olyan Azure Monitor-erőforrások készlete, amelyek meghatározzák a monitorozási hálózat határait.

Az AMPLS lényeges elemei a következők:

• Privát IP-címeket használ: A virtuális hálózat privát végpontja lehetővé teszi az Azure Monitor-végpontok elérését privát IP-címeken keresztül a hálózat készletéből a végpontok nyilvános IP-címeinek használata helyett. Ez lehetővé teszi, hogy az Azure Monitor-erőforrásokat továbbra is használja anélkül, hogy megnyitná a virtuális hálózatot a kimenő forgalom számára.
• Az Azure gerinchálózatán fut: A privát végpont és az Azure Monitor-erőforrások közötti forgalom az Azure gerinchálózatán halad át, és nem a nyilvános hálózatokra lesz irányítva.
• Szabályozza, hogy mely Azure Monitor-erőforrások érhetőek el: Konfigurálja, hogy csak a Private Link-erőforrásokra, illetve a Private Link és a nem privát kapcsolatú erőforrásokra irányuló forgalmat engedélyezze-e az AMPLS-en kívül.
• Szabályozza az Azure Monitor-erőforrásokhoz való hálózati hozzáférést: Konfigurálja az egyes munkaterületeket vagy összetevőket úgy, hogy fogadják vagy blokkolják a nyilvános hálózatokból érkező forgalmat, esetleg különböző beállításokat használva az adatbetöltéshez és a lekérdezési kérelmekhez.

DNS-zónák

AMPLS létrehozásakor a DNS-zónák leképezik az Azure Monitor-végpontokat a privát IP-címekre, hogy forgalmat küldjenek a privát kapcsolaton keresztül. Az Azure Monitor erőforrás-specifikus végpontokat és megosztott globális/regionális végpontokat is használ az AMPLS munkaterületeinek és összetevőinek eléréséhez.

Mivel az Azure Monitor néhány megosztott végpontot használ, a privát kapcsolat konfigurálása egyetlen erőforráshoz is megváltoztatja az összes erőforrás forgalmát befolyásoló DNS-konfigurációt. A megosztott végpontok használata azt is jelenti, hogy egyetlen AMPLS-t kell használnia az azonos DNS-t használó összes hálózathoz. Több AMPLS-erőforrás létrehozása esetén az Azure Monitor DNS-zónái felülbírálják egymást, és megszakítják a meglévő környezeteket. További részletekért lásd: Plan by network topology .

Megosztott globális és regionális végpontok

Ha a Private Linket egyetlen erőforráshoz is konfigurálja, a rendszer a következő végpontokra irányuló forgalmat a lefoglalt privát IP-címeken keresztül küldi el:

• Minden Application Insights-végpont: A betöltési adatokat kezelő végpontok, az élő metrikák, a .NET Profiler és az Application Insights-végpontok hibakeresője globálisak.
• A lekérdezési végpont: Az Application Insights és a Log Analytics-erőforrások lekérdezését kezelő végpont globális.

Erőforrás-specifikus végpontok

A Log Analytics-végpontok munkaterület-specifikusak, kivéve a korábban tárgyalt lekérdezési végpontot. Ennek eredményeképpen, ha egy adott Log Analytics-munkaterületet ad hozzá az AMPLS-hez, betöltési kéréseket küld erre a munkaterületre a privát hivatkozáson keresztül. A más munkaterületekre való betöltés továbbra is a nyilvános végpontokat fogja használni.

Az adatgyűjtési végpontok erőforrás-specifikusak is. Ezekkel egyedileg konfigurálhatja a betöltési beállításokat a vendég operációs rendszer telemetriai adatainak a gépekről (vagy gépek készletéből) történő gyűjtéséhez az új Azure Monitor-ügynök és adatgyűjtési szabályok használatakor. Az adatgyűjtési végpont beállítása egy gépcsoporthoz nem befolyásolja a vendég telemetriai adatok betöltését más, az új ügynököt használó gépekről.

Következő lépések

• Az Azure Private Link beállításának megtervezése.
• Megtudhatja, hogyan konfigurálhatja a privát hivatkozást.
• Ismerje meg az egyéni naplók és az ügyfél által felügyelt kulcsok privát tárolását .