Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При создании области действия частного канала Azure Monitor (AMPLS) доступ к ресурсам Azure Monitor ограничивается только сетями, подключенными к частной конечной точке. В этой статье приводятся рекомендации по проектированию конфигурации приватного канала Azure Monitor и других аспектов, которые необходимо учитывать, прежде чем фактически реализовать его с помощью руководства по настройке приватного канала для Azure Monitor.
Ограничения AMPLS
Объекты AMPLS имеют следующие ограничения:
- Виртуальная сеть может подключиться только к одному объекту AMPLS. Это означает, что объект AMPLS должен предоставлять доступ ко всем ресурсам Azure Monitor, к которым должен иметь доступ виртуальная сеть.
- Объект AMPLS может быть подключён к 3000 рабочим областям Log Analytics и 10 000 компонентам Application Insights.
- Ресурс Azure Monitor может подключаться к 100 AMPLS.
- Объект AMPLS может подключаться к до 10 частным конечным точкам.
Планирование на основе топологии сети
В следующих разделах описывается планирование конфигурации приватного канала Azure Monitor на основе топологии сети.
Во избежание переопределения DNS используйте единый AMPLS.
Некоторые сети состоят из нескольких виртуальных сетей или других подключенных сетей. Если эти сети используют один и тот же DNS, настройка приватного канала для любого из них обновит DNS и повлияет на трафик во всех сетях.
На следующей схеме виртуальная сеть 10.0.1.x подключается к AMPLS1, которая создает записи DNS, которые сопоставляют конечные точки Azure Monitor с IP-адресами из диапазона 10.0.1.x. Позже виртуальная сеть 10.0.2.x подключается к AMPLS2, которая переопределяет те же записи DNS, сопоставляя те же глобальные или региональные конечные точки с IP-адресами из диапазона 10.0.2.x. Так как эти виртуальные сети не пиринговые, первая виртуальная сеть теперь не достигает этих конечных точек. Чтобы избежать этого конфликта, создайте для каждой службы DNS только один объект AMPLS.
Сети с центральным узлом и спицами
Сети звездообразной топологии должны использовать одно приватное соединение, установленное на центральной сети, а не на каждой периферийной виртуальной сети.
Вы можете создать отдельные частные каналы для периферийных виртуальных сетей, чтобы разрешить каждой виртуальной сети доступ к ограниченному набору ресурсов мониторинга. В этом случае можно создать выделенную частную конечную точку и AMPLS для каждой виртуальной сети. Кроме того, необходимо убедиться, что они не используют одни и те же зоны DNS, чтобы избежать переопределения DNS.
Одноранговые (пиринговые) сети
С пирингом сети сети могут совместно использовать IP-адреса друг друга и, скорее всего, совместно использовать один и тот же DNS. В этом случае создайте одну приватную ссылку в сети, доступной для других сетей. Избегайте создания нескольких частных конечных точек и объектов AMPLS, так как применяется только последний набор в DNS.
Изолированные сети
Если сети не пиринговые, необходимо также разделить DNS для использования частных ссылок. Затем можно создать отдельную частную конечную точку для каждой сети и отдельный объект AMPLS. Объекты AMPLS могут связываться как с одними и теми же рабочими областями или компонентами, так и с различными.
Режимы доступа
Режимы доступа к приватным каналом позволяют управлять тем, как частные каналы влияют на сетевой трафик. Выбранный вами вариант имеет решающее значение для обеспечения непрерывного сетевого трафика.
Режимы доступа могут применяться ко всем сетям, подключенным к AMPLS или к определенным сетям, подключенным. Для приема данных и выполнения запросов предусмотрены собственные настройки. Например, можно задать режим " Только приватный " для приема и открытого режима для запросов.
Это важно
Прием Log Analytics использует конечные точки, относящиеся к ресурсам, поэтому он не соответствует режимам доступа AMPLS. Чтобы убедиться, что запросы приема Log Analytics не могут получить доступ к рабочим областям из AMPLS, установите сетевой брандмауэр для блокировки трафика на общедоступные конечные точки независимо от режимов доступа AMPLS.
Режим только личного доступа
Режим "Только приватный " позволяет виртуальной сети обращаться только к ресурсам приватного канала в AMPLS. Это самый безопасный вариант и предотвращение кражи данных путем блокировки трафика из AMPLS в ресурсы Azure Monitor.
Режим открытия доступа
Режим открытия позволяет виртуальной сети обращаться как к ресурсам приватного канала, так и к ресурсам, не в AMPLS (если они принимают трафик из общедоступных сетей). Режим открытого доступа не предотвращает утечку данных, но он по-прежнему предлагает другие преимущества приватных каналов. Трафик к ресурсам Private Link отправляется через частные конечные точки, где происходит проверка, и затем передается по инфраструктуре Microsoft. Открытый режим полезен для смешанного режима, где некоторые ресурсы доступны публично и другие пользователи, к ним обращаются через приватный канал. Это также может быть полезно во время постепенного процесса подключения.
Это важно
При выборе режима доступа следует соблюдать осторожность. Использование только приватного будет блокировать трафик к ресурсам, не входящим в AMPLS, во всех сетях, которые используют одинаковый DNS независимо от подписки или арендатора. Если вы не можете добавить все ресурсы Azure Monitor в AMPLS, начните с добавления выбранных ресурсов и примените режим. Переключитесь в режим "Только частный" для обеспечения максимальной безопасности только после добавления всех ресурсов Azure Monitor в AMPLS.
Настройка режимов доступа для определенных сетей
Режимы доступа, заданные для ресурса AMPLS, влияют на все сети, но эти параметры можно переопределить для определенных сетей.
На следующей схеме сеть VNet1 использует режим "Открытый", а сеть VNet2 — режим "Только приватные". Запросы из виртуальной сети1 могут достигать рабочей области 1 и компонента 2 по приватной ссылке. Запросы могут достигать компонента 3, только если он принимает трафик из общедоступных сетей. Запросы VNet2 не могут достичь компонента 3.
Управление сетевым доступом к ресурсам AMPLS
Компоненты Azure Monitor можно настроить на один из следующих вариантов:
- Принятие или блокировка приема данных из общедоступных сетей (сетей, не подключенных к ресурсу AMPLS).
- Принятие или блокировка запросов из общедоступных сетей (сетей, не подключенных к ресурсу AMPLS).
Эта детализация позволяет задать доступ для каждой рабочей области в соответствии с вашими потребностями. Например, вы можете принимать данные только через сети, подключенные через приватные каналы, но по-прежнему выбрать принимать запросы из всех сетей, публичных и частных.
Замечание
Блокировка запросов из общедоступных сетей означает, что клиенты, такие как компьютеры и пакеты SDK за пределами подключенного AMPLS, не могут запрашивать данные в ресурсе. Эти данные включают в себя журналы, метрики и поток динамических метрик. Блокировка запросов из общедоступных сетей влияет на все функции, использующие эти запросы, такие как рабочие книги, панели мониторинга, аналитика в портале Azure и запросы, выполняемые вне портала Azure.
Ниже перечислены исключения для этого сетевого доступа:
- Журналы диагностики. Журналы и метрики, отправленные в рабочую область из параметра диагностики, выполняются через безопасный частный канал Майкрософт и не контролируются этими параметрами.
- Пользовательские метрики или гостевые метрики Azure Monitor. Пользовательские метрики, отправленные агентом Azure Monitor, не контролируются контроллерами домена и не могут быть настроены по закрытым ссылкам.
Замечание
Запросы, отправленные через API Resource Manager, не могут использовать приватные ссылки Azure Monitor. Эти запросы могут получить доступ только в том случае, если целевой ресурс разрешает запросы из общедоступных сетей.
Известно, что следующие опыты выполняют запросы через API Resource Manager:
- Соединитель LogicApp
- Update Management solution (Решение для управления обновлениями)
- Решение для отслеживания изменений
- Аналитика VM Insights
- Аналитика контейнеров
- Панель "Сводка рабочей области Log Analytics (устаревшая)" (которая показывает панель мониторинга решений)
- Панель метрик в Application Insights (метрики на основе логов)
Application Insights
- Добавьте ресурсы, которые размещают отслеживаемые рабочие нагрузки, в частную ссылку. Например, см. статью "Использование частных конечных точек для веб-приложения Azure".
- Сценарии потребления, не связанные с порталом, также должны выполняться в частной виртуальной сети, которая включает отслеживаемые рабочие нагрузки.
- Предоставьте собственную учетную запись хранения данных для поддержки частных ссылок для .NET профилировщика и отладчика.
Замечание
Чтобы полностью обеспечить безопасность рабочей области Application Insights, ограничьте доступ к ресурсу Application Insights и рабочей области Log Analytics.
Дальнейшие шаги
- Узнайте, как настроить приватную ссылку.
- Узнайте о частном хранилище для пользовательских журналов и ключей, управляемых клиентом.
- Узнайте о Приватный канал для автоматизации.