Bagikan melalui

Mengonfigurasi tautan privat untuk Azure Monitor

  • Artikel

Artikel ini menyediakan detail langkah demi langkah untuk membuat dan mengonfigurasi Azure Monitor Private Link Scope (AMPLS) menggunakan portal Azure. Juga disertakan dalam artikel ini adalah metode alternatif untuk bekerja dengan AMPLS menggunakan templat CLI, PowerShell, dan ARM.

Mengonfigurasi instans Azure Private Link memerlukan langkah-langkah berikut. Masing-masing langkah ini dirinci di bagian di bawah ini.

  • Membuat Azure Monitor Private Link Scope (AMPLS).
  • Sambungkan sumber daya ke AMPLS.
  • Sambungkan AMPLS ke titik akhir privat.
  • Mengonfigurasi akses ke sumber daya AMPLS.

Artikel ini meninjau bagaimana konfigurasi dilakukan melalui portal Azure. Ini menyediakan contoh templat Azure Resource Manager (templat ARM) untuk mengotomatiskan proses.

  1. Dari menu Monitor di portal Azure, pilih Cakupan Private Link lalu Buat.

    Cuplikan layar memperlihatkan opsi untuk membuat dan Azure Monitor Private Link Scope.

  2. Pilih grup langganan dan sumber daya, dan beri AMPLS nama yang bermakna seperti AppServerProdTelem.

  3. Pilih Tinjau + buat.

    Cuplikan layar yang memperlihatkan pembuatan Cakupan Azure Monitor Private Link.

  4. Biarkan validasi lolos dan pilih Buat.

Menyambungkan sumber daya ke AMPLS

  1. Dari menu untuk AMPLS Anda, pilih Sumber Daya Azure Monitor lalu Tambahkan.

  2. Pilih komponen dan pilih Terapkan untuk menambahkannya ke cakupan Anda. Hanya sumber daya Azure Monitor termasuk ruang kerja Analitik Log, komponen Application Insights, dan titik akhir pengumpulan data (DCEs) yang tersedia.

    Cuplikan layar yang memperlihatkan pemilihan cakupan.

Catatan

Menghapus sumber daya Azure Monitor mengharuskan Anda terlebih dahulu memutuskan sambungannya dari objek AMPLS apa pun yang tersambung dengannya. Tidak dimungkinkan untuk menghapus sumber daya yang terhubung ke AMPLS.

Menyambungkan AMPLS ke titik akhir privat

Setelah sumber daya tersambung ke AMPLS, Anda dapat membuat titik akhir privat untuk menyambungkan jaringan Anda.

  1. Dari menu untuk AMPLS Anda, pilih Koneksi Titik Akhir Privat lalu Titik Akhir Privat. Anda juga dapat menyetujui koneksi yang dimulai di Pusat Private Link di sini dengan memilihnya dan memilih Setujui.

    Cuplikan layar yang memperlihatkan koneksi Titik Akhir Privat.

  2. Tab Dasar

    1. pilih grup Langganan dan Sumber Daya lalu masukkan Nama untuk titik akhir, dan Nama Antarmuka Jaringan.
    2. Pilih Wilayah tempat titik akhir privat harus dibuat. Wilayah harus menjadi wilayah yang sama dengan jaringan virtual tempat Anda menyambungkannya.

    Cuplikan layar memperlihatkan tab dasar-dasar buat titik akhir privat.

  3. Tab Sumber Daya

    1. Pilih Langganan yang berisi sumber daya Azure Monitor Private Link Scope Anda.
    2. Untuk Jenis sumber daya, pilih Microsoft.insights/privateLinkScopes.
    3. Dari menu dropdown Sumber Daya , pilih Cakupan Private Link yang Anda buat.

    Cuplikan layar yang memperlihatkan halaman Buat titik akhir privat di portal Azure dengan tab Sumber Daya dipilih.

  4. Tab Virtual Network

    1. Pilih Jaringan virtual dan Subnet yang ingin Anda sambungkan ke sumber daya Azure Monitor Anda.
    2. Untuk Kebijakan jaringan untuk titik akhir privat, pilih edit jika Anda ingin menerapkan grup keamanan jaringan atau tabel rute ke subnet yang berisi titik akhir privat. Lihat Mengelola kebijakan jaringan untuk titik akhir privat untuk detail lebih lanjut.
    3. Untuk konfigurasi IP Privat, secara default, Alamat IP yang dialokasikan secara dinamis dipilih. Jika Anda ingin menetapkan alamat IP statis, pilih Alokasikan alamat IP secara statis, lalu masukkan nama dan IP privat.
    4. Secara opsional, pilih atau buat grup keamanan Aplikasi. Anda dapat menggunakan grup keamanan aplikasi untuk mengelompokkan komputer virtual dan menentukan kebijakan keamanan jaringan berdasarkan grup tersebut.

    Cuplikan layar yang memperlihatkan halaman Buat titik akhir privat di portal Azure dengan tab Virtual Network dipilih.

  5. Tab DNS

    1. Pilih Ya untuk Integrasikan dengan zona DNS privat, yang akan secara otomatis membuat zona DNS privat baru. Zona DNS aktual mungkin berbeda dari apa yang diperlihatkan dalam cuplikan layar berikut.

    Catatan

    Jika Anda memilih Tidak dan lebih suka mengelola catatan DNS secara manual, pertama-tama selesaikan penyusupan tautan privat Anda. Sertakan titik akhir privat ini dan konfigurasi AMPLS lalu konfigurasikan DNS Anda sesuai dengan instruksi di konfigurasi DNS titik akhir privat Azure. Pastikan untuk tidak membuat rekaman kosong sebagai persiapan untuk penyiapan tautan privat Anda. Catatan DNS yang Anda buat dapat mengambil alih pengaturan yang ada dan memengaruhi konektivitas Anda dengan Azure Monitor.

    Baik Anda memilih Ya atau Tidak dan Anda menggunakan server DNS kustom Anda sendiri, Anda perlu menyiapkan penerus bersyarat untuk penerus zona DNS Publik yang disebutkan dalam konfigurasi DNS titik akhir privat Azure. Penerus bersyariah perlu meneruskan kueri DNS ke Azure DNS.

    Cuplikan layar yang memperlihatkan halaman Buat titik akhir privat di portal Azure dengan tab DNS dipilih.

  6. Tinjau + buat tab

    1. Setelah validasi lolos, pilih Buat.

Mengonfigurasi akses ke sumber daya AMPLS

Dari menu untuk AMPLS Anda, pilih Isolasi Jaringan untuk mengontrol jaringan mana yang dapat menjangkau sumber daya melalui tautan privat dan apakah jaringan lain dapat menjangkaunya atau tidak.

Cuplikan layar yang memperlihatkan Isolasi Jaringan.

AMPLS tersambung

Layar ini memungkinkan Anda meninjau dan mengonfigurasi koneksi sumber daya ke AMPLS. Menyambungkan ke AMPLS memungkinkan lalu lintas dari jaringan virtual yang terhubung yang terhubung untuk menjangkau sumber daya. Ini memiliki efek yang sama seperti menyambungkannya dari cakupan yang dijelaskan dalam Menyambungkan sumber daya Azure Monitor.

Untuk menambahkan koneksi baru, pilih Tambahkan dan pilih AMPLS. Sumber daya Anda dapat terhubung ke lima objek AMPLS, seperti yang dijelaskan dalam batas AMPLS.

Konfigurasi akses jaringan virtual

Pengaturan ini mengontrol akses dari jaringan publik yang tidak tersambung ke cakupan yang tercantum. Ini termasuk akses ke log, metrik, dan aliran metrik langsung. Ini juga mencakup pengalaman yang dibangun di atas data ini seperti buku kerja, dasbor, pengalaman klien berbasis API kueri, dan wawasan dalam portal Azure. Pengalaman yang berjalan di luar portal Azure dan data Analitik Log kueri juga harus berjalan dalam jaringan virtual yang ditautkan secara privat.

  • Jika Anda mengatur Terima penyerapan data dari jaringan publik yang tidak terhubung melalui Cakupan Private Link ke Tidak, klien seperti mesin atau SDK di luar cakupan yang terhubung tidak dapat mengunggah data atau mengirim log ke sumber daya.
  • Jika Anda mengatur Terima kueri dari jaringan publik yang tidak tersambung melalui Cakupan Private Link ke Tidak, klien seperti komputer atau SDK di luar cakupan yang tersambung tidak dapat mengkueri data dalam sumber daya.

Bekerja dengan AMPLS menggunakan CLI

Membuat AMPLS dengan Mode akses terbuka

Perintah CLI berikut membuat sumber daya AMPLS baru bernama "my-scope", dengan mode akses kueri dan penyerapan diatur ke Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Mengatur bendera akses sumber daya

Untuk mengelola bendera akses ruang kerja atau komponen, gunakan bendera [--ingestion-access {Disabled, Enabled}] dan [--query-access {Disabled, Enabled}]di ruang kerja az monitor log-analytics atau komponen az monitor app-insights.

Bekerja dengan AMPLS menggunakan PowerShell

Membuat AMPLS

Skrip PowerShell berikut membuat sumber daya AMPLS baru bernama "my-scope", dengan mode akses kueri diatur ke Open tetapi mode akses penyerapan diatur ke PrivateOnly. Pengaturan ini berarti akan memungkinkan penyerapan hanya ke sumber daya di AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Mengatur mode akses AMPLS

Gunakan kode PowerShell berikut untuk mengatur bendera mode akses di AMPLS Anda setelah dibuat.

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

Templat ARM

Membuat AMPLS

Templat ARM berikut melakukan hal berikut:

  • AMPLS bernama "my-scope", dengan mode akses kueri dan penyerapan diatur ke Open.
  • Ruang kerja Analitik Log bernama "my-workspace".
  • Menambahkan sumber daya terlingkup ke "my-scope" AMPLS bernama "my-workspace-connection".
{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Meninjau dan memvalidasi konfigurasi AMPLS

Ikuti langkah-langkah di bagian ini untuk meninjau dan memvalidasi penyiapan tautan privat Anda.

Meninjau pengaturan DNS titik akhir

Titik akhir privat yang dibuat dalam artikel ini harus memiliki lima zona DNS berikut yang dikonfigurasi:

  • privatelink.monitor.azure.com
  • privatelink.oms.opinsights.azure.com
  • privatelink.ods.opinsights.azure.com
  • privatelink.agentsvc.azure-automation.net
  • privatelink.blob.core.windows.net

Masing-masing zona ini memetakan titik akhir Azure Monitor tertentu ke IP privat dari kumpulan IP jaringan virtual. Alamat IP yang ditampilkan pada gambar di bawah ini hanyalah contoh. Konfigurasi Anda seharusnya menampilkan IP privat dari jaringan Anda sendiri.

privatelink-monitor-azure-com

Zona ini mencakup titik akhir global yang digunakan oleh Azure Monitor, yang berarti titik akhir melayani permintaan secara global/regional dan bukan permintaan khusus sumber daya. Zona ini harus memiliki titik akhir yang dipetakan untuk hal berikut:

  • in.ai: Titik akhir penyerapan Application Insights (baik entri global maupun regional).
  • api: Application Insights dan titik akhir API Analitik Log.
  • live: Titik akhir metrik langsung Application Insights.
  • profiler: Application Insights Profiler untuk titik akhir .NET.
  • rekam jepret: Titik akhir rekam jepret Application Insights.
  • diagservices-query: Application Insights Profiler untuk .NET dan Snapshot Debugger (digunakan saat mengakses profiler/debugger menghasilkan portal Azure).

Zona ini juga mencakup titik akhir khusus sumber daya untuk DCEs berikut:

  • <unique-dce-identifier>.<regionname>.handler.control: Titik akhir konfigurasi privat, bagian dari sumber daya DCE.

  • <unique-dce-identifier>.<regionname>.ingest: Titik akhir penyerapan privat, bagian dari sumber daya DCE.

    Cuplikan layar yang memperlihatkan zona DNS privat monitor-azure-com.

Titik akhir Analitik Log

Analitik Log menggunakan empat zona DNS berikut:

  • privatelink-oms-opinsights-azure-com: Mencakup pemetaan khusus ruang kerja ke titik akhir OMS. Anda akan melihat entri untuk setiap ruang kerja yang ditautkan ke AMPLS yang terhubung dengan titik akhir privat ini.
  • privatelink-ods-opinsights-azure-com: Mencakup pemetaan khusus ruang kerja ke titik akhir ODS, yang merupakan titik akhir penyerapan Analitik Log. Anda akan melihat entri untuk setiap ruang kerja yang ditautkan ke AMPLS yang terhubung dengan titik akhir privat ini.
  • privatelink-agentsvc-azure-automation-net*: Mencakup pemetaan khusus ruang kerja ke titik akhir otomatisasi layanan agen. Anda akan melihat entri untuk setiap ruang kerja yang ditautkan ke AMPLS yang terhubung dengan titik akhir privat ini.
  • privatelink-blob-core-windows-net: Mengonfigurasi konektivitas ke akun penyimpanan paket solusi agen global. Melaluinya, agen dapat mengunduh paket solusi baru atau yang diperbarui, yang juga dikenal sebagai paket manajemen. Hanya satu entri yang diperlukan untuk menangani agen Log Analitik, tidak peduli berapa banyak ruang kerja yang digunakan. Entri ini hanya ditambahkan ke penyiapan tautan privat yang dibuat pada atau setelah 19 April 2021 (atau mulai Juni 2021 di sovereign cloud Azure).

Cuplikan layar berikut menunjukkan titik akhir yang dipetakan untuk AMPLS dengan dua ruang kerja di US Timur dan satu ruang kerja di Eropa Barat. Perhatikan ruang kerja US Timur berbagi alamat IP. Titik akhir ruang kerja Eropa Barat dipetakan ke alamat IP yang berbeda. Titik akhir blob dikonfigurasi meskipun tidak muncul dalam gambar ini.

Cuplikan layar yang memperlihatkan titik akhir terkompresi tautan privat.

Memvalidasi komunikasi melalui AMPLS

  • Untuk memvalidasi bahwa permintaan Anda sekarang dikirim melalui titik akhir privat, tinjau dengan browser atau alat pelacakan jaringan Anda. Misalnya, saat Anda mencoba mengkueri ruang kerja atau aplikasi, pastikan permintaan dikirim ke IP privat yang dipetakan ke titik akhir API. Dalam contoh ini, ini adalah 172.17.0.9.

    Catatan

    Beberapa browser mungkin menggunakan pengaturan DNS lainnya. Untuk informasi selengkapnya, lihat Pengaturan DNS browser. Pastikan pengaturan DNS Anda berlaku.

  • Untuk memastikan ruang kerja atau komponen Anda tidak menerima permintaan dari jaringan publik (tidak terhubung melalui AMPLS), atur penyerapan publik sumber daya dan bendera kueri ke Tidak seperti yang dijelaskan dalam Mengonfigurasi akses ke sumber daya Anda.

  • Dari klien di jaringan yang dilindungi, gunakan nslookup ke salah satu titik akhir yang tercantum di zona DNS Anda. Ini harus diselesaikan oleh server DNS Anda ke IP privat yang dipetakan alih-alih IP publik yang digunakan secara default.

Pengujian secara lokal

Untuk menguji tautan privat secara lokal tanpa memengaruhi klien lain di jaringan Anda, pastikan untuk tidak memperbarui DNS anda saat membuat titik akhir privat. Sebagai gantinya, edit file host di komputer Anda sehingga akan mengirim permintaan ke titik akhir tautan privat:

  • Siapkan tautan privat, tetapi saat Anda tersambung ke titik akhir privat, pilih untuk tidak mengintegrasikan secara otomatis dengan DNS.
  • Konfigurasikan titik akhir yang relevan pada file host mesin Anda.

Konfigurasi tambahan

Ukuran subnet jaringan

Subnet IPv4 terkecil yang didukung adalah /27 menggunakan definisi subnet CIDR. Meskipun jaringan virtual Azure bisa sekucil /29, Azure mencadangkan lima alamat IP. Penyiapan tautan privat Azure Monitor memerlukan setidaknya 11 alamat IP lagi meskipun Anda menyambungkan ke satu ruang kerja. Tinjau pengaturan DNS titik akhir Anda untuk daftar titik akhir tautan privat Azure Monitor.

Portal Azure

Untuk menggunakan pengalaman portal Azure Monitor untuk Application Insights, Log Analytics, dan DCEs, izinkan ekstensi portal Azure dan Azure Monitor dapat diakses di jaringan privat. Tambahkan tag layanan AzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstParty, dan AzureFrontdoor.Frontend ke grup keamanan jaringan Anda.

Akses terprogram

Untuk menggunakan REST API, Azure CLI, atau PowerShell dengan Azure Monitor di jaringan privat, tambahkan tag layanan AzureActiveDirectory dan AzureResourceManager ke firewall Anda.

Pengaturan DNS browser

Jika Anda menyambungkan ke sumber daya Azure Monitor melalui tautan privat, lalu lintas ke sumber daya ini harus melalui titik akhir privat yang dikonfigurasi di jaringan Anda. Untuk mengaktifkan titik akhir privat, perbarui pengaturan DNS Anda seperti yang dijelaskan di Sambungkan ke titik akhir privat. Beberapa browser menggunakan pengaturan DNS mereka sendiri, bukan yang Anda tetapkan. Browser mungkin mencoba menyambungkan ke titik akhir publik Azure Monitor dan melewati tautan privat sepenuhnya. Verifikasi bahwa pengaturan browser Anda tidak mengambil alih atau menyimpan pengaturan DNS lama.

Batasan kueri: operator externaldata

  • Operator data eksternal tidak didukung melalui tautan privat karena membaca data dari akun penyimpanan tetapi tidak menjamin penyimpanan diakses secara privat.
  • Proksi Azure Data Explorer (proksi ADX) memungkinkan kueri log untuk mengkueri Azure Data Explorer. Proksi ADX tidak didukung melalui tautan privat karena tidak menjamin sumber daya yang ditargetkan diakses secara privat.

Langkah berikutnya

  • Pelajari tentang penyimpanan privat untuk log kustom dan kunci yang dikelola pelanggan.
  • Pelajari tentang titik akhir pengumpulan data baru.

Untuk membuat dan mengelola Cakupan Private Link, gunakan REST API atau Azure CLI (az monitor private-link-scope).