Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте приватные конечные точки для Managed Prometheus и рабочей области Azure Monitor, чтобы разрешить клиентам в виртуальной сети безопасно запрашивать данные через Private Link. Частная конечная точка использует отдельный IP-адрес в адресном пространстве виртуальной сети ресурса рабочей области Azure Monitor. Сетевой трафик между клиентами в виртуальной сети и ресурсом рабочей области проходит через виртуальную сеть и частную ссылку в магистральной сети Майкрософт, исключая воздействие общедоступного Интернета.
Замечание
Чтобы добавить частную конечную точку в область приватного канала Azure Monitor (AMPLS) для поддержки запросов из рабочей области Azure Monitor для мониторинга виртуальных машин и Kubernetes, см. статью "Включение приватного канала для мониторинга виртуальных машин и кластеров Kubernetes в Azure Monitor". В этой статье содержатся дополнительные сведения об этой конечной точке и создаваемых записях DNS.
Использование частных конечных точек для рабочей области позволяет:
- Защитите рабочую область, настроив параметр сети общедоступного доступа, чтобы заблокировать все подключения к конечной точке общедоступного запроса для рабочей области.
- улучшить безопасность в виртуальной сети благодаря возможностям предотвращения кражи данных из виртуальной сети;
- Безопасное подключение к рабочим областям из локальных сетей, которые подключаются к виртуальной сети с помощью VPN или ExpressRoutes с частным пирингом.
Замечание
Если вы используете Azure Managed Grafana для выполнения запросов к вашим данным, настройте Managed Private Endpoint, чтобы обеспечить выполнение запросов из Azure Managed Grafana в рабочую область Azure Monitor через основную сеть Microsoft без выхода в интернет.
Общие сведения
Частная конечная точка — это особый сетевой интерфейс для службы Azure в виртуальной сети. При создании частной конечной точки для рабочей области она обеспечивает безопасное подключение между клиентами в виртуальной сети и рабочей области. Частной конечной точке назначается IP-адрес из диапазона IP-адресов вашей виртуальной сети. Подключение между частной конечной точкой и рабочей областью использует безопасную приватную связь.
Приложения в виртуальной сети могут легко подключаться к рабочей области через частную конечную точку, используя те же строка подключения и механизмы авторизации, которые они будут использовать в противном случае.
Частные конечные точки можно создавать в подсетях, использующих конечные точки служб. Клиенты в подсети затем могут подключаться к рабочей области с помощью частной конечной точки, используя конечные точки службы для доступа к другим службам.
При создании частной конечной точки для рабочей области в виртуальной сети запрос на согласие отправляется для утверждения владельцу учетной записи рабочей области. Если пользователь, запрашивающий создание частной конечной точки, также является владельцем рабочей области, этот запрос согласия автоматически утвержден.
Владельцы рабочих областей Azure Monitor могут управлять запросами согласия и частными конечными точками с помощью вкладки "Частный доступ" на странице "Сеть" рабочей области в портал Azure.
Подсказка
Если вы хотите ограничить доступ к рабочей области только через частную конечную точку, выберите "Отключить общедоступный доступ и использовать частный доступ" на вкладке "Общедоступный доступ" на странице "Сеть" рабочей области в портал Azure.
Создание частной конечной точки
Сведения о создании частной конечной точки с помощью портал Azure, PowerShell или Azure CLI см. в следующих статьях. Статьи представляют веб-приложение Azure в роли целевого сервиса, но действия по созданию приватной ссылки такие же, как и для рабочей области Azure Monitor.
При создании частной конечной точки сделайте следующие выборы из выпадающих списков на основной вкладке.
-
Тип ресурса — выбор
Microsoft.Monitor/accounts. Укажите рабочую область Azure Monitor, к которой он подключается. -
Целевой ресурс — выберите
prometheusMetrics.
Создайте частную конечную точку с помощью следующих статей:
Подключение к частной конечной точке
Клиенты виртуальной сети, использующие частную конечную точку, должны использовать ту же конечную точку запроса для рабочей области Azure Monitor, что и клиенты, подключающиеся к общедоступной конечной точке. Мы опираемся на разрешение DNS для автоматического маршрутизации подключений из виртуальной сети в рабочую область через приватный канал.
По умолчанию мы создаем частную зону DNS, подключенную к виртуальной сети, с необходимыми обновлениями для частных конечных точек. Однако если вы используете собственный DNS-сервер, то вам может потребоваться внести дополнительные изменения в конфигурацию DNS. В разделе об изменениях DNS ниже описаны обновления, необходимые для частных конечных точек.
Изменения DNS для частных конечных точек
Замечание
Для получения подробной информации о том, как настроить параметры DNS для частных конечных точек, см. раздел Конфигурация DNS частной конечной точки Azure.
При создании частной конечной точки запись ресурса DNS CNAME для рабочей области обновляется до псевдонима в поддомене с префиксом privatelink. По умолчанию также создается Частная зона DNS, соответствующая поддомену privatelink, с записями ресурсов DNS A для частных конечных точек.
При разрешении URL-адреса конечной точки запроса извне виртуальной сети с частной конечной точкой она разрешается в общедоступную конечную точку рабочей области. При разрешении из виртуальной сети, где размещена частная конечная точка, URL-адрес запроса разрешается как IP-адрес частной конечной точки.
В приведенном ниже примере мы используем k8s02-workspace регион "Восточная часть США". Имя ресурса не гарантируется уникальным, что требует от нас добавить несколько символов после имени, чтобы сделать URL-путь уникальным; например, k8s02-workspace-<key>. Эта уникальная конечная точка запроса отображается на странице обзора рабочей области Azure Monitor.
Записи ресурсов DNS для рабочей области Azure Monitor при разрешении из-за пределов виртуальной сети, в которой размещена частная конечная точка, следующие:
| Имя. | Тип | Ценность |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
CNAME | <Общедоступная конечная точка региональной службы AMW> |
| <Общедоступная конечная точка региональной службы AMW> | А | <Общедоступный IP-адрес региональной службы AMW> |
Как упоминалось ранее, вы можете запретить или контролировать доступ для клиентов за пределами виртуальной сети через общедоступную конечную точку с помощью вкладки "Общедоступный доступ" на странице "Сеть" рабочей области.
Записи ресурсов DNS для "k8s02-workspace" при разрешении клиентом в виртуальной сети, где размещена частная конечная точка, являются следующими:
| Имя. | Тип | Ценность |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
А | <IP-адрес частной конечной точки> |
Этот подход обеспечивает доступ к рабочей области с помощью той же конечной точки запроса для клиентов в виртуальной сети, где размещаются частные конечные точки, а также клиенты за пределами виртуальной сети.
Если вы используете пользовательский DNS-сервер в сети, клиенты должны иметь возможность разрешить полное доменное имя (FQDN) для конечной точки запроса рабочей области к IP-адресу частной конечной точки. Необходимо настроить DNS-сервер для делегирования поддомена приватного канала в частную зону DNS для виртуальной сети или настроить записи A для k8s02-workspace с IP-адресом частной конечной точки.
Подсказка
При использовании пользовательского или локального DNS-сервера необходимо настроить DNS-сервер для разрешения имени конечной точки запроса в рабочей области в поддомене privatelink на IP-адрес частной конечной точки. Это можно сделать, делегировав поддомен privatelink частной зоне DNS виртуальной сети или настроив зону DNS на DNS-сервере и добавив записи DNS A.
Рекомендуемые имена зон DNS для частных конечных точек для рабочей области Azure Monitor:
| Resource | Целевой подресурс | Имя зоны |
|---|---|---|
| Рабочая область Azure Monitor | prometheusMetrics | privatelink.<region>.prometheus.monitor.azure.com |
Дополнительные сведения о настройке собственного DNS-сервера для поддержки частных конечных точек см. в следующих статьях:
Pricing
Дополнительные сведения о ценах см. в разделе о ценах на Приватный канал Azure.
Известные проблемы
Помните о следующих известных проблемах с частными конечными точками для рабочей области Azure Monitor.
Ограничения доступа к рабочей области для клиентов в виртуальных сетях с частными конечными точками
Клиенты в виртуальных сетями с существующими частными конечными точками сталкиваются с ограничениями при доступе к другим рабочим областям Azure Monitor с частными конечными точками. Например, предположим, что виртуальная сеть N1 имеет частную конечную точку для рабочей области A1. Если рабочая область A2 имеет частную конечную точку в виртуальной сети N2, клиенты в виртуальной сети N1 также должны запрашивать данные рабочей области в учетной записи A2 с помощью частной конечной точки. Если в рабочей области A2 нет частных конечных точек, клиенты в виртуальной сети N1 могут запрашивать данные из этой рабочей области без частной конечной точки.
Это ограничение является результатом изменений DNS, внесенных при создании частной конечной точки рабочей области A2.