Aracılığıyla paylaş


Azure İzleyici Özel Bağlantı yapılandırmasını tasarlama

Azure İzleyici Özel Bağlantı Kapsamı (AMPLS) oluşturduğunuzda, Azure İzleyici kaynaklarına erişimi yalnızca özel uç noktaya bağlı ağlara sınırlarsınız. Bu makalede, Azure İzleyici özel bağlantı yapılandırmanızı tasarlama hakkında yönergeler ve Azure İzleyici için özel bağlantı yapılandırma başlığı altında yer alan kılavuzu kullanarak bunu uygulamadan önce dikkate almanız gereken diğer noktalar açıklanmaktadır.

AMPLS sınırları

AMPLS nesneleri aşağıdaki sınırlara sahiptir:

  • Sanal ağ yalnızca bir AMPLS nesnesine bağlanabilir. Bu, AMPLS nesnesinin sanal ağın erişimi olması gereken tüm Azure İzleyici kaynaklarına erişim sağlaması gerektiği anlamına gelir.
  • AMPLS nesnesi en fazla 300 Log Analytics çalışma alanına ve 1.000'e kadar Application Insights bileşenine bağlanabilir. Bu sınırlar Şubat 2025 sonuna kadar 3.000 Log Analytics çalışma alanına ve 10.000 Application Insights bileşenine yükseltilecektir.
  • Azure İzleyici kaynağı en fazla 5 AMPLS'ye bağlanabilir. Bu sınır Şubat 2025 sonuna kadar 100 AMPLS'ye çıkacaktır.
  • AMPLS nesnesi en fazla 10 özel uç noktaya bağlanabilir.

Ağ topolojisi ile planlama

Aşağıdaki bölümlerde Azure İzleyici özel bağlantı yapılandırmanızın ağ topolojinize göre nasıl planlandığı açıklanmaktadır.

Tek bir AMPLS kullanarak DNS geçersiz kılmalarını önleme

Bazı ağlar birden çok sanal ağdan veya diğer bağlı ağlardan oluşur. Bu ağlar aynı DNS'yi paylaşıyorsa, herhangi birinde özel bir bağlantı yapılandırmak DNS'yi güncelleştirir ve tüm ağlardaki trafiği etkiler.

Aşağıdaki diyagramda, 10.0.1.x sanal ağı AMPLS1'e bağlanarak Azure İzleyici uç noktalarını 10.0.1.x aralığındaki IP'lere eşleyen DNS girişleri oluşturur. Daha sonra, sanal ağ 10.0.2.x AMPLS2'ye bağlanır ve bu da aynı genel/bölgesel uç noktaları 10.0.2.x aralığındaki IP'lere eşleyerek aynı DNS girdilerini geçersiz kılar. Bu sanal ağlar eşlenmediğinden, ilk sanal ağ artık bu uç noktalara ulaşamaz. Bu çakışmayı önlemek için DNS başına tek bir AMPLS nesnesi oluşturun.

Birden çok sanal ağda DNS geçersiz kılmalarını gösteren diyagram.

Merkez-uç ağları

Merkez-uç ağları her uç sanal ağında değil merkez (ana) ağda tek bir özel bağlantı bağlantısı kümesi kullanmalıdır.

Uç sanal ağlarınız için her sanal ağın sınırlı bir izleme kaynakları kümesine erişmesine izin vermek için ayrı özel bağlantılar oluşturmayı tercih edebilirsiniz. Bu durumda, her sanal ağ için ayrılmış bir özel uç nokta ve AMPLS oluşturabilirsiniz. DNS geçersiz kılmalarını önlemek için aynı DNS bölgelerini paylaşmadıklarını da doğrulamanız gerekir.

Merkez-uç tek bir özel bağlantıyı gösteren diyagram.

Eşlenen ağlar

Ağ eşleme ile ağlar birbirlerinin IP adreslerini paylaşabilir ve büyük olasılıkla aynı DNS'yi paylaşabilir. Bu durumda, diğer ağlarınız için erişilebilir bir ağda tek bir özel bağlantı oluşturun. DNS'de yalnızca son küme geçerli olduğundan, birden çok özel uç nokta ve AMPLS nesnesi oluşturmaktan kaçının.

Yalıtılmış ağlar

Ağlarınız eşlenmemişse, özel bağlantıları kullanmak için dns'lerini de ayırmanız gerekir. Ardından her ağ için ayrı bir özel uç nokta ve ayrı bir AMPLS nesnesi oluşturabilirsiniz. AMPLS nesneleriniz aynı çalışma alanlarına/bileşenlere veya farklı çalışma alanlarına bağlanabilir.

Erişim modu seçme

Özel bağlantı erişim modları, özel bağlantıların ağ trafiğinizi nasıl etkilediğini denetlemenize olanak tanır. Seçtiğiniz, sürekli ve kesintisiz ağ trafiğini sağlamak için kritik öneme sahiptir.

Erişim modları, AMPLS'nize bağlı tüm ağlara veya buna bağlı belirli ağlara uygulanabilir. Erişim modları, alım ve sorgular için ayrı olarak ayarlanır. Örneğin, alım için Yalnızca Özel modunu ve sorgular için Açma modunu ayarlayabilirsiniz.

Önemli

Log Analytics alımı, AMPLS erişim modlarına uymaması için kaynağa özgü uç noktaları kullanır. Log Analytics alma isteklerinin AMPLS dışında çalışma alanlarına erişemediğinden emin olmak için, AMPLS erişim modlarından bağımsız olarak ağ güvenlik duvarını genel uç noktalara giden trafiği engelleyecek şekilde ayarlayın.

Yalnızca Özel erişim modu

Bu mod, sanal ağın AMPLS'deki yalnızca özel bağlantı kaynaklarına erişmesini sağlar. Bu en güvenli seçenektir ve AMPLS'den Azure İzleyici kaynaklarına giden trafiği engelleyerek veri sızdırmayı önler.

AMPLS Yalnızca Özel erişim modunu gösteren diyagram.

Erişim modunu açma

Bu mod, sanal ağın hem özel bağlantı kaynaklarına hem de AMPLS'de olmayan kaynaklara (genel ağlardan gelen trafiği kabul ederse) erişmesini sağlar. Açık erişim modu veri sızdırmayı engellemez, ancak yine de özel bağlantıların diğer avantajlarını sunar. Özel bağlantı kaynaklarına giden trafik, doğrulanmasından önce özel uç noktalar üzerinden gönderilir ve ardından Microsoft omurgası üzerinden gönderilir. Açık modu, bazı kaynaklara genel olarak, diğer kaynaklara ise özel bağlantı üzerinden erişilen karma mod için kullanışlıdır. Aşamalı bir ekleme işlemi sırasında da yararlı olabilir.

AMPLS Açık erişim modunu gösteren diyagram.

Önemli

Erişim modunuzu seçtiğinizde dikkatli olun. Yalnızca Özel erişim modunun kullanılması, abonelik veya kiracıdan bağımsız olarak aynı DNS'yi paylaşan tüm ağlarda AMPLS'de olmayan kaynaklara gelen trafiği engeller. Tüm Azure İzleyici kaynaklarını AMPLS'ye ekleyemiyorsanız, başlangıç olarak belirli kaynakları ekleyin ve Açık erişim modunu uygulayın. Maksimum güvenlik için yalnızca tüm Azure İzleyici kaynaklarını AMPLS'nize ekledikten sonra Özel Moduna geçin.

Belirli ağlar için erişim modlarını ayarlama

AMPLS kaynağında ayarlanan erişim modları tüm ağları etkiler, ancak belirli ağlar için bu ayarları geçersiz kılabilirsiniz.

Aşağıdaki diyagramda, VNet1 Açık modunu, VNet2 ise Yalnızca Özel modunu kullanır. VNet1'den gelen istekler özel bir bağlantı üzerinden Çalışma Alanı 1 ve Bileşen 2'ye ulaşabilir. İstekler yalnızca ortak ağlardan gelen trafiği kabul ederse Bileşen 3'e ulaşabilir. VNet2 istekleri Bileşen 3'e erişemiyor.

Karma erişim modlarını gösteren diyagram.

AMPLS kaynaklarına ağ erişimini denetleme

Azure İzleyici bileşenleri şu şekilde ayarlanabilir:

  • Genel ağlardan (kaynak AMPLS'ye bağlı olmayan ağlar) alımı kabul edin veya engelleyin.
  • Genel ağlardan gelen sorguları kabul edin veya engelleyin (kaynak AMPLS'lerine bağlı olmayan ağlar).

Bu ayrıntı düzeyi, çalışma alanı başına erişimi ihtiyaçlarınıza göre ayarlamanıza olanak tanır. Örneğin, yalnızca özel bağlantıya bağlı ağlar aracılığıyla alımı kabul edebilirsiniz, ancak yine de genel ve özel tüm ağlardan gelen sorguları kabul etmeyi seçebilirsiniz.

Not

Genel ağlardan gelen sorguların engellenmesi, bağlı AMPLS'nin dışındaki makineler ve SDK'lar gibi istemcilerin kaynaktaki verileri sorgulayabileceği anlamına gelir. Bu veriler günlükleri, ölçümleri ve canlı ölçüm akışını içerir. Genel ağlardan gelen sorguların engellenmesi, çalışma kitapları, panolar, Azure portalındaki içgörüler ve Azure portalı dışından çalıştırılacak sorgular gibi bu sorguları çalıştıran tüm deneyimleri etkiler.

Bu ağ erişimine yönelik özel durumlar şunlardır:

  • Tanılama günlükleri. Bir tanılama ayarından çalışma alanına gönderilen günlükler ve ölçümler güvenli bir özel Microsoft kanalı üzerinden yapılır ve bu ayarlar tarafından denetlenemez.
  • Özel ölçümler veya Azure İzleyici konuk ölçümleri. Azure İzleyici Aracısı'ndan gönderilen özel ölçümler DCE'ler tarafından denetlenemez ve özel bağlantılar üzerinden yapılandırılamaz.

Not

Resource Manager API'si aracılığıyla gönderilen sorgular Azure İzleyici özel bağlantılarını kullanamaz. Bu sorgular yalnızca hedef kaynak genel ağlardan gelen sorgulara izin veriyorsa erişim elde edebilir.

Aşağıdaki deneyimlerin Resource Manager API'sinde sorgu çalıştırması bilinmektedir:

  • Mantık Uygulama bağlayıcısı
  • Güncelleştirme Yönetimi çözümü
  • Değişiklik İzleme çözümü
  • VM İçgörüleri
  • Kapsayıcı İçgörüleri
  • Log Analytics Çalışma Alanı Özeti (kullanım dışı) bölmesi (çözüm panosunu gösterir)

Özel hususlar

Application Insights

Not

Çalışma alanı tabanlı Application Insights'ın güvenliğini tamamen sağlamak için Application Insights kaynağına ve temel alınan Log Analytics çalışma alanına erişimi kilitleyin.

Yönetilen Prometheus

  • Özel Bağlantı alma ayarları, Prometheus ölçümlerini depolamak için kullanılan Azure İzleyici çalışma alanına başvuran Veri Toplama Uç Noktalarındaki (DCE) AMPLS ve ayarlar kullanılarak yapılır.
  • Özel Bağlantı sorgu ayarları doğrudan Prometheus ölçümlerini depolamak için kullanılan Azure İzleyici çalışma alanında yapılır ve AMPLS ile işlenmez.

Sonraki adımlar