Bagikan melalui

Mendesain konfigurasi Azure Monitor Private Link

  • Artikel

Saat membuat Azure Monitor Private Link Scope (AMPLS), Anda membatasi akses ke sumber daya Azure Monitor hanya ke jaringan yang tersambung ke titik akhir privat. Artikel ini menyediakan panduan tentang cara merancang konfigurasi tautan privat Azure Monitor dan pertimbangan lain yang harus Anda perhitungkan sebelum Anda benar-benar menerapkannya menggunakan panduan di Mengonfigurasi tautan privat untuk Azure Monitor.

Batas AMPLS

Objek AMPLS memiliki batas berikut:

  • Jaringan virtual hanya dapat tersambung ke satu objek AMPLS. Itu berarti objek AMPLS harus menyediakan akses ke semua sumber daya Azure Monitor tempat jaringan virtual harus memiliki akses.
  • Objek AMPLS dapat tersambung ke hingga 300 ruang kerja Analitik Log dan hingga 1.000 komponen Application Insights. Batas ini akan meningkat menjadi 3.000 ruang kerja Analitik Log dan 10.000 komponen Application Insights pada akhir Februari 2025.
  • Sumber daya Azure Monitor dapat tersambung hingga 5 AMPLS. Batas ini akan meningkat menjadi 100 AMPLS pada akhir Februari 2025.
  • Objek AMPLS dapat tersambung ke hingga 10 titik akhir privat.

Paket berdasarkan topologi jaringan

Bagian berikut menjelaskan cara merencanakan konfigurasi tautan privat Azure Monitor Anda berdasarkan topologi jaringan Anda.

Hindari penimpaan DNS dengan menggunakan satu AMPLS

Beberapa jaringan terdiri dari beberapa jaringan virtual atau jaringan terhubung lainnya. Jika jaringan ini berbagi DNS yang sama, mengonfigurasi tautan privat pada salah satunya akan memperbarui DNS dan memengaruhi lalu lintas di semua jaringan.

Dalam diagram berikut, jaringan virtual 10.0.1.x tersambung ke AMPLS1, yang membuat entri DNS yang memetakan titik akhir Azure Monitor ke IP dari rentang 10.0.1.x. Kemudian, jaringan virtual 10.0.2.x terhubung ke AMPLS2, yang mengambil alih entri DNS yang sama dengan memetakan titik akhir global/regional yang sama ke IP dari rentang 10.0.2.x. Karena jaringan virtual ini tidak di-peering, jaringan virtual pertama sekarang gagal mencapai titik akhir ini. Untuk menghindari konflik ini, buat hanya satu objek AMPLS per DNS.

Diagram yang memperlihatkan penimpaan DNS di beberapa jaringan virtual.

Jaringan hub-dan-spoke

Jaringan hub-and-spoke harus menggunakan satu koneksi tautan privat yang diatur pada jaringan hub (utama), dan bukan di setiap jaringan virtual spoke.

Anda mungkin lebih suka membuat tautan privat terpisah untuk jaringan virtual spoke Anda untuk memungkinkan setiap jaringan virtual mengakses serangkaian sumber daya pemantauan terbatas. Dalam hal ini, Anda dapat membuat titik akhir privat khusus dan AMPLS untuk setiap jaringan virtual. Anda juga harus memverifikasi bahwa mereka tidak berbagi zona DNS yang sama untuk menghindari penimpaan DNS.

Diagram yang memperlihatkan tautan privat tunggal hub-and-spoke.

Jaringan yang di-peering

Dengan peering jaringan, jaringan dapat berbagi alamat IP satu sama lain dan kemungkinan besar berbagi DNS yang sama. Dalam hal ini, buat satu tautan privat di jaringan yang dapat diakses oleh jaringan Anda yang lain. Hindari membuat beberapa titik akhir privat dan objek AMPLS karena hanya yang terakhir diatur dalam DNS yang berlaku.

Jaringan yang diisolasi

Jika jaringan Anda tidak di-peering, Anda juga harus memisahkan DNS mereka untuk menggunakan tautan privat. Anda kemudian dapat membuat titik akhir privat terpisah untuk setiap jaringan, dan objek AMPLS terpisah. Objek AMPLS Anda dapat ditautkan ke ruang kerja/komponen yang sama atau ke yang berbeda.

Pilih mode akses

Mode akses tautan privat memungkinkan Anda mengontrol bagaimana tautan privat memengaruhi lalu lintas jaringan Anda. Yang Anda pilih sangat penting untuk memastikan lalu lintas jaringan yang berkelanjutan dan tidak terganggu.

Mode akses dapat berlaku untuk semua jaringan yang terhubung ke AMPLS Anda atau ke jaringan tertentu yang terhubung ke jaringan tersebut. Mode akses diatur secara terpisah untuk penyerapan dan kueri. Contohnya, Anda dapat mengatur mode Hanya Privat untuk konsumsi dan mode Terbuka untuk kueri.

Penting

Penyerapan Analitik Log menggunakan titik akhir khusus sumber daya sehingga tidak mematuhi mode akses AMPLS. Untuk memastikan permintaan penyerapan Analitik Log tidak dapat mengakses ruang kerja dari AMPLS, atur firewall jaringan untuk memblokir lalu lintas ke titik akhir publik, terlepas dari mode akses AMPLS.

Mode akses Privat Saja

Mode ini memungkinkan jaringan virtual hanya menjangkau sumber daya tautan privat di AMPLS. Ini adalah opsi yang paling aman dan mencegah penyelundupan data dengan memblokir lalu lintas dari AMPLS ke sumber daya Azure Monitor.

Diagram yang memperlihatkan mode akses Hanya Privat AMPLS.

Buka mode akses

Mode ini memungkinkan jaringan virtual untuk menjangkau sumber daya tautan privat dan sumber daya yang tidak ada di AMPLS (jika mereka menerima lalu lintas dari jaringan publik). Mode Akses terbuka tidak mencegah penyelundupan data, tetapi masih menawarkan manfaat lain dari tautan privat. Lalu lintas ke sumber daya tautan privat dikirim melalui titik akhir privat sebelum divalidasi lalu dikirim melalui backbone Microsoft. Mode Buka berguna untuk mode campuran di mana beberapa sumber daya diakses secara publik dan yang lain diakses melalui tautan privat. Ini juga dapat berguna selama proses onboarding bertahap.

Diagram yang memperlihatkan mode akses Buka AMPLS.

Penting

Berhati-hatilah saat Anda memilih mode akses Anda. Menggunakan mode akses Privat Saja akan memblokir lalu lintas ke sumber daya yang tidak ada di AMPLS di semua jaringan yang berbagi DNS yang sama terlepas dari langganan atau penyewa. Jika Anda tidak dapat menambahkan semua sumber daya Azure Monitor ke AMPLS, mulailah dengan menambahkan sumber daya tertentu dan menerapkan mode Buka akses. Beralih ke mode Hanya Privat untuk keamanan maksimum hanya setelah Anda menambahkan semua sumber daya Azure Monitor ke AMPLS Anda.

Mengatur mode akses untuk jaringan tertentu

Mode akses yang diatur pada sumber daya AMPLS memengaruhi semua jaringan, tetapi Anda dapat mengambil alih pengaturan ini untuk jaringan tertentu.

Dalam diagram berikut, VNet1 menggunakan mode Terbuka dan VNet2 menggunakan mode Hanya Privat. Permintaan dari VNet1 dapat mencapai Ruang Kerja 1 dan Komponen 2 melalui tautan privat. Permintaan dapat mencapai Komponen 3 hanya jika menerima lalu lintas dari jaringan publik. Permintaan VNet2 tidak dapat mencapai Komponen 3.

Diagram yang memperlihatkan mode akses campuran.

Mengontrol akses jaringan ke sumber daya AMPLS

Komponen Azure Monitor dapat diatur ke:

  • Menerima atau memblokir konsumsi dari jaringan publik (jaringan yang tidak terhubung ke AMPLS sumber daya).
  • Menerima atau memblokir kueri dari jaringan publik (jaringan yang tidak terhubung ke AMPLS sumber daya).

Granularitas ini memungkinkan Anda mengatur akses per ruang kerja sesuai dengan kebutuhan spesifik Anda. Misalnya, Anda mungkin menerima penyerapan hanya melalui jaringan yang terhubung dengan tautan privat tetapi masih memilih untuk menerima kueri dari semua jaringan, publik, dan privat.

Catatan

Memblokir kueri dari jaringan publik berarti klien seperti komputer dan SDK di luar AMPLS yang terhubung tidak dapat mengkueri data dalam sumber daya. Data tersebut termasuk log, metrik, dan aliran metrik langsung. Memblokir kueri dari jaringan publik memengaruhi semua pengalaman yang menjalankan kueri ini, seperti buku kerja, dasbor, wawasan dalam portal Azure, dan kueri yang dijalankan dari luar portal Azure.

Berikut ini adalah pengecualian untuk akses jaringan ini:

  • Log diagnostik. Log dan metrik yang dikirim ke ruang kerja dari pengaturan diagnostik melalui saluran Microsoft privat yang aman dan tidak dikontrol oleh pengaturan ini.
  • Metrik kustom atau metrik tamu Azure Monitor. Metrik kustom yang dikirim dari Agen Azure Monitor tidak dikontrol oleh DCEs dan tidak dapat dikonfigurasi melalui tautan privat.

Catatan

Kueri yang dikirim melalui RESOURCE Manager API tidak dapat menggunakan tautan privat Azure Monitor. Kueri ini hanya dapat memperoleh akses jika sumber daya target mengizinkan kueri dari jaringan publik.

Pengalaman berikut diketahui menjalankan kueri melalui RESOURCE Manager API:

  • Konektor LogicApp
  • Perbarui solusi Pengelolaan
  • Ubah solusi Pelacakan
  • VM Insights
  • Insight Kontainer
  • Panel Ringkasan Ruang Kerja Analitik Log (tidak digunakan lagi) (yang memperlihatkan dasbor solusi)

Pertimbangan khusus

Application Insights

  • Tambahkan sumber daya yang menghosting beban kerja yang dipantau ke tautan privat. Misalnya, lihat Menggunakan titik akhir privat untuk Azure Web App.
  • Pengalaman konsumsi non-portal juga harus berjalan pada jaringan virtual tertaut privat yang mencakup beban kerja yang dipantau.
  • Sediakan akun penyimpanan Anda sendiri untuk mendukung tautan privat untuk .NET Profiler dan Debugger.

Catatan

Untuk sepenuhnya mengamankan Application Insights berbasis ruang kerja, kunci akses ke sumber daya Application Insights dan ruang kerja Analitik Log yang mendasar.

Prometheus Terkelola

  • Pengaturan penyerapan Private Link dibuat menggunakan AMPLS dan pengaturan pada Titik Akhir Pengumpulan Data (DCEs) yang mereferensikan ruang kerja Azure Monitor yang digunakan untuk menyimpan metrik Prometheus.
  • Pengaturan kueri Private Link dibuat langsung di ruang kerja Azure Monitor yang digunakan untuk menyimpan metrik Prometheus dan tidak ditangani dengan AMPLS.

Langkah berikutnya