Управляемые рабочие области в Application Insights

Azure MonitorApplication Insights требует подключения к рабочей области Log Analytics для хранения и анализа данных телеметрии. Чтобы упростить развертывание, Application Insights автоматически создает управляемую рабочую область, если она не указана во время создания ресурса.

Что такое управляемая рабочая область?

Управляемая рабочая область — это рабочая область Log Analytics, которую Application Insights создает и управляет от вашего имени. Эта рабочая область используется исключительно ресурсом Application Insights, созданным им.

Если вы создаете ресурс Application Insights без указания рабочей области Log Analytics, Azure автоматически создает управляемую рабочую область. Если вы попытаетесь создать классический ресурс Application Insights, Azure вместо этого создаст версию, основанную на рабочем пространстве, которая использует управляемое рабочее пространство.

Что происходит во время создания управляемой рабочей области?

При создании управляемой рабочей области Azure во время развертывания Application Insights выполняются следующие действия:

• Он создает ресурс Application Insights в указанной подписке и группе ресурсов.
• Он создает рабочую область Log Analytics и связывает ее с ресурсом Application Insights.
• Он создает новую группу ресурсов и помещает в нее управляемую рабочую область.

Ограничения

Управляемые рабочие области имеют следующие ограничения:

• Поддержка только тех ресурсов Application Insights, которые их создали. Управляемую рабочую область нельзя использовать для параметров диагностики, пользовательских журналов или другого экземпляра Application Insights.
• Изменения параметров рабочей области, таких как квоты, разрешены, но рабочая область не может быть перепрофилирована для других целей.
• Тег поддерживается только для недавно созданных управляемых групп ресурсов и управляемых рабочих областей. Существующие управляемые группы ресурсов и рабочие области, созданные до этого изменения, не могут быть помечены.
• Удаление следует одному из двух путей:
  • Удалите ресурс Application Insights. Azure автоматически удаляет управляемую группу ресурсов и управляемую рабочую область.
  • Сохраните ресурс Application Insights, подключив его к другой рабочей области Log Analytics, а затем удалите управляемую группу ресурсов, содержащую управляемую рабочую область.

Определение управляемых рабочих областей

Управляемые рабочие области, созданные Application Insights, соответствуют определенным соглашениям об именовании.

Группы управляемых рабочих областей

• Имя: ai_<APPINSIGHTS RESOURCE NAME>_<APPINSIGHTS RESOURCE ID>_managed
• Управляется: связанный ресурс Application Insights

Управляемые рабочие области Log Analytics

• Имя: managed-<APPINSIGHTS RESOURCE NAME>-ws

Вы можете определить ресурс управления, проверив свойство Managed By на портале Azure.

Удаление управляемых рабочих областей

Удалите управляемую рабочую область только после того, как она не подключена к ресурсу Application Insights. Используйте один из следующих параметров.

Вариант 1. Удаление ресурса Application Insights

Удалите ресурс Application Insights, принадлежащий управляемой рабочей области. Azure автоматически удаляет управляемую группу ресурсов и рабочую область.

Вариант 2. Сохранение ресурса Application Insights

1. Повторно подключите ресурс Application Insights к другой рабочей области Log Analytics.
2. Удалите управляемую группу ресурсов , содержащую управляемую рабочую область.

Автоматически перенесенные классические ресурсы

Начиная с апреля 2025 года, классические ресурсы Application Insights автоматически переносятся в ресурсы, основанные на рабочей области. В рамках миграции:

• Классический ресурс Application Insights преобразован в ресурс, основанный на рабочей области.
• Создана управляемая рабочая область Log Analytics и связана с перенесенным ресурсом.
• Рабочая область помещается в новую группу ресурсов. Новая группа не наследует разрешения доступа из группы ресурсов Application Insights. Однако пользователи с соответствующими разрешениями по-прежнему могут запрашивать данные телеметрии через ресурс Application Insights из-за управления доступом на основе ресурсов.

Ограничения автоматической миграции

Некоторые классические ресурсы Application Insights нельзя перенести, пока не выполните дополнительные действия. Миграция блокируется в следующих сценариях:

• Использование символов Юникода или не UTF-8 в имени ресурса или имени группы ресурсов.
• Блокировка создания рабочей области Log Analytics в подписке.
• Применение политик, которые препятствуют созданию новых ресурсов в подписке.
• Достижение предела группы ресурсов в подписке. Каждый перенесенный ресурс получает собственную рабочую область и группу ресурсов. Если у вашей подписки уже много групп ресурсов или классических ресурсов Application Insights, вы можете выйти из оставшейся квоты. Подписки Azure поддерживают до 980 общих групп ресурсов.

Чтобы завершить миграцию, обновите подписку или конфигурацию ресурсов, чтобы удалить блокировщики, упомянутые ранее.

Чтобы предотвратить прерывание работы служб, устраните эти проблемы и вручную перенесите классические ресурсы Application Insights.

Соображения AMPLS

Если ресурс Application Insights использует область приватного канала Azure Monitor (AMPLS), ознакомьтесь с этим руководством, чтобы избежать проблем с доступом к данным после миграции в рабочие области Log Analytics.

Изменения во время миграции

Классические ресурсы Application Insights поддерживают параметры доступа к общедоступной сети (PNA) для приема и запроса. Некоторые пользователи AMPLS отключают общедоступный запрос, чтобы ограничить доступ телеметрии к частным сетям.

Во время миграции процесс копирует параметры PNA из классического ресурса в новую рабочую область Log Analytics. В интересах безопасности он не добавляет рабочую область в AMPLS. Эта конструкция обеспечивает владельцу ресурсов полный контроль над доступом к частной сети.

Если доступ к общедоступным запросам отключен, а рабочая область не связана с AMPLS, запросы телеметрии из частной сети завершаются сбоем после миграции. Чтобы восстановить доступ, добавьте рабочую область в AMPLS или включите доступ к общедоступным запросам.

Прием телеметрии продолжается независимо от параметров PNA или области AMPLS. Путь приема из конечной точки Application Insights в рабочую область Log Analytics использует магистральную сеть Microsoft Azure. Миграция не прерывает сбор данных.

Распространенные способы конфигурирования

Перед миграцией (рабочее состояние)

• Application Insights является частью AMPLS.
• PNA (запрос): отключен
• PNA (прием): отключен
• Запросы и прием данных работают из частной сети.

После миграции (состояние проблемы)

• Рабочая область Log Analytics сохраняет те же параметры PNA.
• Рабочая область не связана с AMPLS.
• Сбой запросов из частной сети. Рабочая область блокирует доступ, так как она не доверяет сети.

После обновления вручную (рабочее состояние)

• Рабочая область добавляется в AMPLS.
• Доступ к частному запросу восстанавливается.
• Запросы и прием данных работают из частной сети.

Обязательные действия

Если вы используете AMPLS, выполните следующие действия.

• Добавьте рабочую область Log Analytics в AMPLS для поддержания доступа к частному запросу.
• Кроме того, включите PNA для запросов, если частный доступ не требуется.
• Проверьте доступ к запросу телеметрии из виртуальной сети после миграции.

Добавление рабочей области в AMPLS

1. Перейдите в область диапазона частной ссылки Azure Monitor.
2. Выберите ресурс AMPLS.
3. Откройте ассоциации ресурсов.
4. Нажмите кнопку "Добавить".
5. Выберите рабочую область Log Analytics, созданную во время миграции.
6. Сохраните конфигурацию.

Миграция заблокирована из-за ограничений политики

Некоторые ресурсы Application Insights нельзя перенести автоматически из-за ограничений политики Azure в подписке. Эти ограничения не позволяют процессу миграции создавать необходимую рабочую область Log Analytics или группу ресурсов.

К общим ограничениям политики относятся следующие:

• Требование конкретных соглашений об именовании
• Принудительное применение необходимых тегов для ресурсов или групп ресурсов
• Ограничение разрешенных регионов для развертывания ресурсов
• Блокировка создания новых групп ресурсов

Эти политики определяются и применяются на уровне группы управления, подписки или группы ресурсов. Процесс миграции учитывает эти политики и не переопределяет их. Если политика блокирует миграцию, процесс останавливается и не предпринимает попыток миграции снова для этого ресурса.

Чего следует ожидать

• Корпорация Майкрософт не повторяет автоматическую миграцию ресурсов, заблокированных политикой.
• Корпорация Майкрософт продолжает прием данных телеметрии в классические ресурсы до 31 июля 2025 г.
• Корпорация Майкрософт продолжает предоставлять доступ к существующим данным для запросов после прекращения поглощения, но новые данные телеметрии не собираются.

Обязательные действия

Чтобы завершить миграцию, выполните следующие действия.

• Вручную переместите каждый ресурс Application Insights, который не был перемещён автоматически.
• Используйте рабочую область Log Analytics, которая соответствует требованиям политики вашей организации, включая группу ресурсов, теги, расположения и стандарты именования.

Если вам нужна помощь по обновлению политик Azure, обратитесь к администратору политики вашей организации.

Дальнейшие действия

• Ознакомьтесь с часто задаваемыми вопросами в разделе 'Управляемые рабочие области'.
• Перенос классических ресурсов в Application Insights на основе рабочей области.
• Создание и настройка ресурсов Application Insights.
• Управление строками подключения в Application Insights.
• Узнайте, как работает сбор данных.
• Ознакомьтесь с обзором Application Insights.