Menggunakan Azure Private Link untuk menyambungkan jaringan ke Azure Monitor

Azure Private Link memungkinkan Anda menautkan layanan Azure PaaS dengan aman ke jaringan virtual Anda menggunakan titik akhir privat. Tautan privat Azure Monitor disusun secara berbeda dari tautan privat ke layanan lain. Artikel ini menjelaskan prinsip utama tautan privat Azure Monitor dan cara kerjanya.

Keuntungan menggunakan Private Link dengan Azure Monitor meliputi yang berikut ini. Lihat Manfaat utama Private Link untuk manfaat lebih lanjut.

• Sambungkan secara privat ke Azure Monitor tanpa mengizinkan akses jaringan publik apa pun. Pastikan data pemantauan Anda hanya diakses melalui jaringan privat resmi.
• Cegah penyelundupan data dari jaringan privat Anda dengan menentukan sumber daya Azure Monitor tertentu yang terhubung melalui titik akhir privat Anda.
• Sambungkan jaringan lokal privat Anda dengan aman ke Azure Monitor dengan menggunakan Azure ExpressRoute dan Private Link.
• Simpan semua lalu lintas di dalam jaringan backbone Azure.

Konsep dasar

Alih-alih membuat tautan privat untuk setiap sumber daya yang disambungkan jaringan virtual, Azure Monitor menggunakan satu koneksi tautan privat menggunakan titik akhir privat dari jaringan virtual ke Azure Monitor Private Link Scope (AMPLS). AMPLS adalah sekumpulan sumber daya Azure Monitor yang menentukan batas jaringan pemantauan Anda.

Aspek penting dari AMPLS meliputi hal-hal berikut:

• Menggunakan IP privat: Titik akhir privat di jaringan virtual Anda memungkinkannya menjangkau titik akhir Azure Monitor melalui IP privat dari kumpulan jaringan Anda alih-alih menggunakan IP publik titik akhir ini. Hal ini memungkinkan Anda untuk terus menggunakan sumber daya Azure Monitor tanpa membuka jaringan virtual Anda ke lalu lintas keluar yang tidak disyaratkan.
• Berjalan di backbone Azure: Lalu lintas dari titik akhir privat ke sumber daya Azure Monitor Anda akan melewati backbone Azure dan tidak dirutekan ke jaringan publik.
• Mengontrol sumber daya Azure Monitor mana yang dapat dicapai: Mengonfigurasi apakah akan mengizinkan lalu lintas hanya ke sumber daya Private Link atau ke sumber daya Private Link dan non-Private-Link di luar AMPLS.
• Mengontrol akses jaringan ke sumber daya Azure Monitor Anda: Konfigurasikan setiap ruang kerja atau komponen Anda untuk menerima atau memblokir lalu lintas dari jaringan publik, yang berpotensi menggunakan pengaturan yang berbeda untuk penyerapan data dan permintaan kueri.

Zona DNS

Saat Anda membuat AMPLS, zona DNS Anda memetakan titik akhir Azure Monitor ke IP privat untuk mengirim lalu lintas melalui tautan privat. Azure Monitor menggunakan titik akhir khusus sumber daya dan titik akhir global/regional bersama untuk menjangkau ruang kerja dan komponen di AMPLS Anda.

Karena Azure Monitor menggunakan beberapa titik akhir bersama, mengonfigurasi tautan privat bahkan untuk satu sumber daya mengubah konfigurasi DNS yang memengaruhi lalu lintas ke semua sumber daya. Penggunaan titik akhir bersama juga berarti Anda harus menggunakan AMPLS tunggal untuk semua jaringan yang berbagi DNS yang sama. Membuat beberapa sumber daya AMPLS akan menyebabkan zona DNS Azure Monitor saling mengambil alih dan merusak lingkungan yang ada. Lihat Merencanakan menurut topologi jaringan untuk detail lebih lanjut.

Titik akhir global dan regional bersama

Saat Anda mengonfigurasi Private Link bahkan untuk satu sumber daya, lalu lintas ke titik akhir berikut akan dikirim melalui IP privat yang dialokasikan:

• Semua titik akhir Application Insights: Titik akhir yang menangani penyerapan, metrik langsung, .NET Profiler, dan debugger ke titik akhir Application Insights bersifat global.
• Titik akhir kueri: Titik akhir menangani kueri ke sumber daya Application Insights dan Log Analytics bersifat global.

Titik akhir khusus sumber daya

Titik akhir Analitik Log adalah ruang kerja khusus, kecuali untuk titik akhir kueri yang dibahas sebelumnya. Akibatnya, menambahkan ruang kerja Analitik Log tertentu ke AMPLS akan mengirim permintaan penyerapan ke ruang kerja ini melalui tautan privat. Penyerapan ke ruang kerja lain akan terus menggunakan titik akhir publik.

Titik akhir pengumpulan data juga spesifik sumber daya. Anda dapat menggunakannya untuk mengonfigurasi pengaturan penyerapan secara unik untuk mengumpulkan data telemetri OS tamu dari komputer Anda (atau set komputer) saat Anda menggunakan Agen Azure Monitor baru dan aturan pengumpulan data. Mengonfigurasi titik akhir pengumpulan data untuk sekumpulan komputer tidak memengaruhi penyerapan telemetri tamu dari komputer lain yang menggunakan agen baru.

Langkah berikutnya

• Desain penyiapan Azure Private Link Anda.
• Pelajari cara mengonfigurasi tautan privat Anda.
• Pelajari tentang penyimpanan privat untuk log kustom dan kunci yang dikelola pelanggan.