Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Приватный канал Azure позволяет безопасно связывать ресурсы платформы данных Azure как услуга (PaaS) с виртуальной сетью с помощью частных конечных точек. В этой статье описывается использование приватного канала с ресурсами Azure Monitor.
Преимущества
Azure Monitor использует те же преимущества приватного канала, что и другие службы, как описано в разделе "Основные преимущества приватного канала".
- Подключитесь к ресурсам Azure Monitor, включая рабочие области Log Analytics и Azure Monitor, без предоставления доступа к общедоступной сети. Убедитесь, что данные мониторинга доступны только через авторизованные частные сети.
- Предотвращение кражи данных из частных сетей путем определения определенных ресурсов Azure Monitor, которые подключаются через частную конечную точку.
- Безопасное подключение к Azure Monitor из локальных сетей, которые подключаются к виртуальной сети с помощью VPN или ExpressRoutes с частным пирингом.
- Удерживайте весь трафик мониторинга внутри магистральной сети Azure.
Основные понятия
Частные ссылки для Azure Monitor структурированы по-разному от частных ссылок для других служб. Вместо создания частного подключения для каждого ресурса, к которому подключается виртуальная сеть, Azure Monitor использует одно частное подключение с помощью частной конечной точки из виртуальной сети к области частного подключения Azure Monitor (AMPLS). AMPLS — это набор ресурсов Azure Monitor, определяющих границы сети мониторинга.
Частная конечная точка использует отдельный IP-адрес в адресном пространстве виртуальной сети, позволяя ресурсам AMPLS получать частный доступ из виртуальной сети без использования общедоступных IP-адресов. Трафик от клиентов в виртуальной сети к ресурсам Azure Monitor проходит через магистраль Azure, устраняя уязвимость к общедоступному Интернету. Приложения в виртуальной сети могут подключаться к ресурсам в AMPLS через частную конечную точку без проблем, используя те же строки подключения и механизмы авторизации, которые они будут использовать в противном случае.
Общие глобальные и региональные конечные точки
При создании AMPLS зоны DNS сопоставляют конечные точки Azure Monitor с частными IP-адресами для отправки трафика через приватный канал. Некоторые ресурсы Azure Monitor используют конечные точки, относящиеся к ресурсам, а другие используют общие конечные точки. Ресурс может использовать специфическую конечную точку для одной функции, но общие конечные точки для другой функции. Необходимо понять разницу между каждым из ресурсов Azure Monitor и то, как они используются, чтобы правильно настроить приватный канал и ресурсы в AMPLS.
Конечные точки, специфичные для ресурсов
Конечные точки, относящиеся к ресурсам, уникальны для определенного ресурса и должны быть настроены по отдельности. Добавление конечной точки, связанной с конкретным ресурсом, в AMPLS позволяет доступ по частной ссылке только к этому конкретному ресурсу.
- Прием данных в рабочей области Log Analytics
- Конечные точки сбора данных
Общие конечные точки
Общие конечные точки используются для нескольких ресурсов одного типа. Добавление одного ресурса в AMPLS с использованием общих конечных точек изменит конфигурацию DNS, которая влияет на трафик ко всем ресурсам, использующим общие конечные точки.
- Запросы рабочей области Log Analytics
- Сбор данных в Application Insights
Например, рабочие области Log Analytics используют общие конечные точки для запросов к журналам. При добавлении одной рабочей области Log Analytics в AMPLS DNS для этой виртуальной сети обновляется, чтобы обеспечить доступ к этой общей конечной точке через приватную связь. Так как все рабочие области Log Analytics используют такую конечную точку, запросы ко всем рабочим областям Log Analytics из этой виртуальной сети будут использовать частные IP-адреса.
Необходимо использовать один AMPLS для всех сетей, которые используют одну и ту же DNS. Создание нескольких ресурсов AMPLS вызовет переопределение зон DNS Azure Monitor и нарушение работы существующих сред. Дополнительные сведения и примеры см. в разделе "Планирование по сетевой топологии ".
Ресурсы AMPLS
Ресурсы в следующей таблице можно добавить в AMPLS.
| Resource | Description |
|---|---|
| Рабочие области Log Analytics | Поддержка процесса приема данных журнала и выполнения запросов с применением KQL. Добавьте рабочие области Log Analytics в AMPLS для обеспечения приема данных и выполнения запросов. Получение данных использует точку доступа для конкретного ресурса, а запросы используют общую точку доступа. |
| Конечные точки сбора данных (DCE) | Ресурсы Azure, определяющие уникальный набор конечных точек, связанных со сбором данных, конфигурацией и инжестированием в Azure Monitor. DCE используют специфическое для ресурсов поглощение. Настройка DCE для набора клиентов не влияет на сбор телеметрии других клиентов в той же Виртуальной сети. Добавьте DCE в AMPLS для поддержки следующего: — Загрузка данных для рабочих областей Azure Monitor. — получение конфигурации для клиентов, использующих агент Azure Monitor (AMA), например виртуальные машины и кластеры Kubernetes. |
| Application Insights. | Прием данных из отслеживаемых приложений, включая динамические метрики, .NET Profiler и отладчик. Конечные точки, обрабатывающие приём для Application Insights, являются глобальными. |
Замечание
Рабочие области Azure Monitor
Рабочие области Azure Monitor поддерживают прием данных метрик и запросов с помощью PromQL. Хотя к рабочим областям Azure Monitor можно получить доступ с помощью приватного канала, они не добавляются в AMPLS. При создании рабочей области Azure Monitor для нее автоматически создается DCE. Этот DCE необходимо добавить в AMPLS для поддержки приема данных для рабочей области. Для поддержки запросов необходимо создать управляемую личную конечную точку для рабочей области и добавить её в AMPLS.
Режимы доступа
Режимы доступа для AMPLS позволяют управлять тем, как частные каналы влияют на сетевой трафик. Каждый AMPLS имеет отдельный режим доступа для приема и запросов, и вы можете выбрать разные режимы доступа для каждой виртуальной сети, подключенной к одной и той же AMPLS. В следующей таблице описан каждый режим доступа. Сведения о том, как выбрать правильный режим доступа для вашей среды, см. в статье "Проектирование конфигурации приватного канала Azure Monitor ".
| Режим доступа | Description |
|---|---|
| Откройте | Позволяет подключенной виртуальной сети обращаться к ресурсам Private Link и к ресурсам, не входящим в AMPLS. Трафик к ресурсам приватного канала проверяется и отправляется через частные конечные точки, но утечка данных не может быть запрещена, так как трафик может достигать ресурсов за пределами AMPLS. Этот режим позволяет для постепенного ввода в процесс, сочетая частный доступ к некоторым ресурсам и общедоступный доступ к другим ресурсам. |
| Только для личного пользования | Позволяет подключенной виртуальной сети иметь доступ только к ресурсам приватного подключения в AMPLS. Это самый безопасный вариант и предотвращение кражи данных путем блокировки трафика из AMPLS в ресурсы Azure Monitor. Его следует выбрать только после добавления всех ресурсов Azure Monitor в AMPLS. Трафик к другим ресурсам будет заблокирован между сетями, подписками и клиентами. |
Pricing
Дополнительные сведения о ценах см. в разделе о ценах на Приватный канал Azure.
Дальнейшие шаги
- Спроектируйте настройку Azure Private Link.
- Узнайте, как настроить приватную ссылку.
- Узнайте о частном хранилище для пользовательских журналов и ключей, управляемых клиентом.