Настройка закрытого доступа

1. Запустите процесс создания рабочей области Grafana

2. В области "Создание рабочей области Grafana " выберите вкладку "Сеть ".

3. В разделе"Параметры доступа к >" выберите "Отключено", чтобы отключить общедоступный доступ к рабочей области Azure Grafana и разрешить доступ только через частные конечные точки.

4. Нажмите кнопку "Рецензирование" и "Создать " после готовности.

   

В интерфейсе командной строки выполните команду az grafana create и замените заполнители <grafana-workspace> и <resource-group> собственными сведениями:

az grafana create --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled

1. Перейдите в рабочую область Azure Managed Grafana в портале Azure.

2. В меню слева в разделе "Параметры" выберите "Сеть".

3. В разделе "Общедоступный доступ" выберите "Отключено ", чтобы отключить общедоступный доступ к рабочей области Azure Managed Grafana и разрешить доступ только через частные конечные точки. Если вы уже отключили общедоступный доступ и вместо этого хотели включить общедоступный доступ к рабочей области Azure Managed Grafana, выберите "Включено".

4. Выберите Сохранить.

   

В интерфейсе командной строки выполните команду az grafana update и замените заполнители <grafana-workspace> и <resource-group> вашими собственными сведениями:

az grafana update --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled

1. В сети выберите вкладку "Частный доступ" , а затем добавьте , чтобы начать настройку новой частной конечной точки.

   

2. Заполните вкладку "Основные сведения" следующими сведениями :

   Параметр	Описание	Пример
   Подписка	Выберите подписку Azure. Частная конечная точка должна находиться в той же подписке, что и виртуальная сеть. Вы выберете виртуальную сеть далее в этом практическом руководстве.	MyAzureSubscription
   Группа ресурсов	Выберите группу ресурсов или создайте новую.	MyResourceGroup
   Имя.	Введите имя новой частной конечной точки для рабочей области Azure Managed Grafana.	MyPrivateEndpoint
   Имя сетевого интерфейса	Это поле заполняется автоматически. При необходимости измените имя сетевого интерфейса.	MyPrivateEndpoint-nic
   Область/регион	выберите регион. Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть.	(США) Западная часть США

   

3. Выберите Далее: Ресурс >. Приватный канал предлагает варианты создания частных конечных точек для различных типов ресурсов Azure. Текущая рабочая область Azure Managed Grafana автоматически заполняется в поле "Ресурс ".

   1. Тип ресурса Microsoft.Dashboard/grafana и целевой подресурс grafana указывают, что вы создаете конечную точку для рабочей области Azure Managed Grafana.

   2. Имя рабочей области отображается в разделе "Ресурс".

      

4. Выберите Далее: Виртуальная сеть >.

   1. Выберите существующую виртуальную сеть, где нужно развернуть частную конечную точку. Если у вас нет виртуальной сети, создайте ее.

   2. Выберите Подсеть в списке.

   3. Политика сети для частных конечных точек по умолчанию отключена. При необходимости выберите изменение , чтобы добавить группу безопасности сети или политику таблицы маршрутов. Это изменение повлияет на все частные конечные точки, связанные с выбранной подсетью.

   4. В разделе Конфигурация частного IP-адреса выберите параметр для динамического выделения IP-адресов. Дополнительные сведения см. в разделе "Частные IP-адреса".

   5. При необходимости можно выбрать или создать группу безопасности приложений. Группы безопасности приложений позволяют группировать виртуальные машины и определять политики безопасности сети на основе этих групп.

      

5. Выберите Далее: DNS >, чтобы настроить запись DNS. Если вы не хотите изменять параметры по умолчанию, можно перейти к следующей вкладке.

   1. Выберите значение Да для параметра Интеграция с частной зоной DNS, если хотите интегрировать частную конечную точку с частной зоной DNS. Вы также можете использовать собственные DNS-серверы или создавать записи DNS с помощью файлов узлов на виртуальных машинах.

   2. Для частной зоны DNS предварительно выбрана подписка и группа ресурсов. Вы можете изменить их при необходимости.

   Дополнительные сведения о конфигурации DNS см. в разделах Разрешение имен ресурсов в виртуальных сетях Azure и Конфигурация DNS для частных конечных точек. Значения частной зоны DNS частного конечного узла Azure для Azure Managed Grafana перечислены в зоне DNS служб Azure.

   

6. Выберите Далее: Теги > и при необходимости создайте теги. Теги — это пары "имя-значение", которые позволяют вам категоризировать ресурсы и группы ресурсов, а также отслеживать консолидированное выставление счетов, применяя один и тот же тег к нескольким ресурсам и группам ресурсов.

7. Нажмите кнопку "Далее: проверка и создание > ", чтобы просмотреть сведения о рабочей области Azure Managed Grafana, частной конечной точке, виртуальной сети и DNS. Вы также можете выбрать Скачать шаблон для автоматизации, чтобы повторно использовать данные JSON из этой формы позже.

8. Нажмите кнопку создания.

После завершения развертывания вы получите уведомление о создании конечной точки. Если это автоматически утверждено, вы можете начать пользоваться вашей рабочей областью в частном порядке. В противном случае необходимо ждать утверждения.

1. Чтобы настроить частную конечную точку, нужна виртуальная сеть. Если у вас ее нет, создайте виртуальную сеть с помощью команды az network vnet create. Замените замещающий текст <vnet>, <resource-group>, <subnet> и <vnet-location> именем новой виртуальной сети, группой ресурсов, именем и расположением виртуальной сети.

   az network vnet create --name <vnet> --resource-group <resource-group> --subnet-name <subnet> --location <vnet-location>
   

   Заполнитель	Описание	Пример
   <vnet>	Укажите имя для новой виртуальной сети. Виртуальная сеть позволяет ресурсам Azure обмениваться данными в частном порядке и взаимодействовать через Интернет.	MyVNet
   <resource-group>	Введите имя существующей группы ресурсов для своей виртуальной сети.	MyResourceGroup
   <subnet>	Введите имя для новой подсети. Подсеть — это сеть внутри сети. В ней назначается частный IP-адрес.	MySubnet
   <vnet-location>	Введите регион Azure. Виртуальная сеть и частная конечная точка должны находиться в одном регионе.	centralus

2. Выполните команду az grafana show , чтобы получить свойства рабочей области Azure Managed Grafana, для которой требуется настроить частный доступ. Замените заполнитель <grafana-workspace> именем рабочей области.

   az grafana show --name <grafana-workspace>
   

   Эта команда создает выходные данные с информацией о рабочей области Azure Managed Grafana. Запишите значение id. Например: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana.

3. Выполните команду az network private-endpoint create , чтобы создать частную конечную точку для рабочей области Azure Managed Grafana. Замените замещающий текст <resource-group>, <private-endpoint>, <vnet>, <private-connection-resource-id>, <connection-name> и <location> своими собственными сведениями.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint> --vnet-name <vnet> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id grafana
   

   Заполнитель	Описание	Пример
   <resource-group>	Введите имя существующей группы ресурсов для своей частной конечной точки.	MyResourceGroup
   <private-endpoint>	Введите имя для новой частной конечной точки.	MyPrivateEndpoint
   <vnet>	Введите имя существующей виртуальной сети.	Myvnet
   <private-connection-resource-id>	Введите идентификатор ресурса частного подключения рабочей области Azure Managed Grafana. Это идентификатор, сохраненный из выходных данных предыдущего шага.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana
   <connection-name>	Введите имя подключения.	MyConnection
   <location>	Введите регион Azure. Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть.	centralus

Перейдите к Сетевое взаимодействие>Частный доступ в рабочей области Azure Managed Grafana, чтобы получить доступ к частным конечным точкам, связанным с вашей рабочей областью.

1. Проверьте состояние подключения своей частной ссылки. При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в каталоге и у вас есть достаточные разрешения, запрос на подключение будет автоматически утвержден. В противном случае необходимо дождаться, пока владелец ресурса утвердит ваш запрос на подключение. Дополнительные сведения о моделях утверждения подключений см. в разделе Управление частными конечными точками Azure.

2. Чтобы вручную утвердить, отклонить или удалить подключение, установите флажок рядом с конечной точкой, которую нужно изменить, и выберите элемент действия в верхнем меню.

3. При необходимости выберите имя частной конечной точки, чтобы открыть ресурс частной конечной точки и получить дополнительные сведения или изменить частную конечную точку.

   

Просмотр сведений о подключениях к частной конечной точке

Выполните команду az network private-endpoint-connection list, чтобы проверить все подключения частной конечной точки, связанные с рабочей областью Azure Managed Grafana, и проверьте состояние подключения. Замените заполнители <resource-group> и <grafana-workspace> именем группы ресурсов и рабочей области Azure Managed Grafana.

az network private-endpoint-connection list --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

При необходимости для получения сведений о конкретной частной конечной точке используйте команду az network private-endpoint-connection show. Замените текст заполнителя <resource-group> именем группы ресурсов и текст заполнителя <grafana-workspace> именем рабочей области Azure Managed Grafana.

az network private-endpoint-connection show --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

Получение утверждения подключения

При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в каталоге и у вас есть достаточные разрешения, запрос на подключение будет автоматически утвержден. В противном случае необходимо дождаться, пока владелец ресурса утвердит ваш запрос на подключение.

Чтобы утвердить подключение к частной конечной точке, используйте команду az network private-endpoint-connection approve. Замените тексты <resource-group>, <private-endpoint>, и <grafana-workspace> заполнителя именем группы ресурсов, именем частной конечной точки и именем ресурса Azure Managed Grafana.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.Dashboard/grafana --resource-name <grafana-workspace>

Дополнительные сведения о моделях утверждения подключений см. в разделе Управление частными конечными точками Azure.

Удаление подключения к частной конечной точке

Чтобы удалить подключение к частной конечной точке, используйте команду az network private-endpoint-connection delete. Замените замещающий текст <resource-group> и <private-endpoint> именем группы ресурсов и именем частной конечной точки.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Дополнительные команды CLI могут быть найдены с помощью az network private-endpoint-connection.