Поделиться через


Настройка закрытого доступа

В этом руководстве вы узнаете, как отключить общедоступный доступ к рабочей области Azure Managed Grafana и настроить частные конечные точки. Настройка частных конечных точек в Управляемой Grafana Azure повышает безопасность путем ограничения входящего трафика только в определенную сеть.

Необходимые компоненты

Отключение общедоступного доступа к рабочей области

Общедоступный доступ включен по умолчанию при создании рабочей области Azure Grafana. Отключение общедоступного доступа запрещает доступ ко всему трафику, если вы не проходите через частную конечную точку.

Примечание.

Если частный доступ включен, привязка диаграмм с помощью пин-кода к Grafana больше не будет работать, так как портал Azure не может получить доступ к рабочей области Azure Managed Grafana на частном IP-адресе.

  1. Перейдите в рабочую область Azure Managed Grafana в портал Azure.

  2. В меню слева в разделе "Параметры" выберите "Сеть".

  3. В разделе "Общедоступный доступ" выберите "Отключено ", чтобы отключить общедоступный доступ к рабочей области Azure Managed Grafana и разрешить доступ только через частные конечные точки. Если вы уже отключили общедоступный доступ и вместо этого хотели включить общедоступный доступ к рабочей области Azure Managed Grafana, выберите "Включено".

  4. Выберите Сохранить.

    Снимок экрана: портал Azure, отключение публичного доступа.

Создание частной конечной точки

После отключения общедоступного доступа настройте частную конечную точку с Приватный канал Azure. Частные конечные точки позволяют получить доступ к рабочей области Azure Managed Grafana с помощью частного IP-адреса из виртуальной сети.

  1. В сети выберите вкладку "Частный доступ" , а затем добавьте , чтобы начать настройку новой частной конечной точки.

    Снимок экрана: портал Azure нажмите кнопку

  2. Заполните вкладку "Основные сведения" следующими сведениями :

    Параметр Описание Пример
    Отток подписок Выберите подписку Azure. Частная конечная точка должна находиться в той же подписке, что и виртуальная сеть. Вы выберете виртуальную сеть далее в этом практическом руководстве. MyAzureSubscription
    Группа ресурсов Выберите группу ресурсов или создайте новую. MyResourceGroup
    Имя. Введите имя новой частной конечной точки для рабочей области Azure Managed Grafana. MyPrivateEndpoint
    Имя сетевого интерфейса Это поле заполняется автоматически. При необходимости измените имя сетевого интерфейса. MyPrivateEndpoint-nic
    Область/регион выберите регион. Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть. (США) Западная часть США

    Снимок экрана: вкладка

  3. Выберите Далее: Ресурс >. Приватный канал предлагает варианты создания частных конечных точек для различных типов ресурсов Azure. Текущая рабочая область Azure Managed Grafana автоматически заполняется в поле "Ресурс ".

    1. Тип ресурса Microsoft.Dashboard/grafana и целевой подресурс grafana указывают, что вы создаете конечную точку для рабочей области Azure Managed Grafana.

    2. Имя рабочей области отображается в разделе "Ресурс".

      Снимок экрана: вкладка портал Azure заполнение вкладки

  4. Выберите Далее: Виртуальная сеть >.

    1. Выберите существующую виртуальную сеть, где нужно развернуть частную конечную точку. Если у вас нет виртуальной сети, создайте ее.

    2. Выберите Подсеть в списке.

    3. Политика сети для частных конечных точек по умолчанию отключена. При необходимости выберите изменение , чтобы добавить группу безопасности сети или политику таблицы маршрутов. Это изменение повлияет на все частные конечные точки, связанные с выбранной подсетью.

    4. В разделе Конфигурация частного IP-адреса выберите параметр для динамического выделения IP-адресов. Дополнительные сведения см. в разделе Частные IP-адреса.

    5. При необходимости можно выбрать или создать группу безопасности приложений. Группы безопасности приложений позволяют группировать виртуальные машины и определять политики безопасности сети на основе этих групп.

      Снимок экрана: вкладка портал Azure заполнение виртуальной сети.

  5. Выберите Далее: DNS >, чтобы настроить запись DNS. Если вы не хотите изменять параметры по умолчанию, можно перейти к следующей вкладке.

    1. Выберите значение Да для параметра Интеграция с частной зоной DNS, если хотите интегрировать частную конечную точку с частной зоной DNS. Вы также можете использовать собственные DNS-серверы или создавать записи DNS с помощью файлов узлов на виртуальных машинах.

    2. Для частной зоны DNS предварительно выбрана подписка и группа ресурсов. Вы можете изменить их при необходимости.

    Дополнительные сведения о конфигурации DNS см. в разделах Разрешение имен ресурсов в виртуальных сетях Azure и Конфигурация DNS для частных конечных точек. Значения частной зоны DNS частной конечной точки Azure для Управляемой Grafana перечислены в зоне DNS служб Azure.

    Снимок экрана: портал Azure заполнение вкладки DNS.

  6. Выберите Далее: Теги > и при необходимости создайте теги. Теги — это пары "имя-значение", которые можно назначать ресурсам и группам ресурсов для их категоризации, а также консолидированного отображения данных для выставления счетов.

  7. Нажмите кнопку "Далее: проверка и создание > ", чтобы просмотреть сведения о рабочей области Azure Managed Grafana, частной конечной точке, виртуальной сети и DNS. Вы также можете выбрать Скачать шаблон для автоматизации, чтобы повторно использовать данные JSON из этой формы позже.

  8. Нажмите кнопку создания.

После завершения развертывания вы получите уведомление о создании конечной точки. Если он утвержден автоматически, вы можете приватно получить доступ к рабочей области. В противном случае вам придется ждать утверждения.

Перейдите к сетевому частному доступу > в рабочей области Azure Managed Grafana, чтобы получить доступ к частным конечным точкам, связанным с рабочей областью.

  1. Проверьте состояние подключения своего приватного канала. При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в вашем каталоге и у вас есть достаточные разрешения, запрос на подключение будет утвержден автоматически. В противном случае необходимо дождаться, пока владелец ресурса утвердит ваш запрос на подключение. Дополнительные сведения о моделях утверждения подключений см. в разделе Управление частными конечными точками Azure.

  2. Чтобы вручную утвердить, отклонить или удалить подключение, установите флажок рядом с конечной точкой, которую нужно изменить, и выберите элемент действия в верхнем меню.

  3. Выберите имя частной конечной точки, чтобы открыть ресурс частной конечной точки и получить доступ к дополнительным сведениям или изменить частную конечную точку.

    Снимок экрана: портал Azure, управление частной конечной точкой.

Если у вас возникли проблемы с частной конечной точкой, ознакомьтесь с руководством Устранение проблем с подключением к частной конечной точке Azure.

Следующие шаги

Из этого руководства вы узнали, как настроить частный доступ пользователей в рабочую область Azure Managed Grafana. Сведения о настройке частного доступа между управляемой рабочей областью Grafana и источником данных см. в статье "Подключение к источнику данных в частном порядке".