Dela via

Konfigurera privat länk för Azure Monitor

Den här artikeln ger steg för steg detaljer för att skapa och konfigurera ett Scope för Azure Monitor Private Link (AMPLS) med hjälp av Azure-portalen. I artikeln ingår också alternativa metoder för att arbeta med AMPLS med hjälp av CLI, PowerShell och ARM-mallar.

Att konfigurera en instans av Azure Private Link kräver följande steg. Vart och ett av dessa steg beskrivs i avsnitten nedan.

  • Skapa ett omfattningsområde med privata länkar för Azure Monitor (AMPLS).
  • Anslut resurser till AMPLS.
  • Anslut AMPLS till en privat slutpunkt.
  • Konfigurera åtkomst till AMPLS-resurser.

Den här artikeln granskar hur konfiguration görs via Azure-portalen. Det ger ett exempel på en Azure Resource Manager-mall (ARM-mall) för att automatisera processen.

  1. Från menyn Monitor i Azure-portalen, välj Private Link Scopes och sedan Skapa.

    Skärmbild som visar alternativet att skapa ett Azure Monitor Private Link-omfång.

  2. Välj ett abonnemang och en resursgrupp, och ge AMPLS ett meningsfullt namn som AppServerProdTelem.

  3. Välj Förhandsgranska + skapa.

    Skärmdump som visar hur man skapar ett Azure Monitor Private Link Scope.

  4. Låt verifieringen passera och välj Skapa.

Ansluta resurser till AMPLS

  1. I menyn för din AMPLS, välj Azure Monitor Resources och sedan Lägg till.

  2. Välj komponenten och klicka på Tillämpa för att lägga till den i din omfattning. Endast Azure Monitor-resurser, inklusive Log Analytics-arbetsytor, Application Insights-komponenter och datainsamlingsslutpunkter (DCE:er), är tillgängliga.

    Skärmdump som visar val av område.

Anteckning

För att ta bort Azure Monitor-resurser krävs det att du först kopplar bort dem från alla AMPLS-objekt de är anslutna till. Det går inte att ta bort resurser som är kopplade till en AMPLS.

Anslut AMPLS till en privat slutpunkt

När resurser är anslutna till din AMPLS kan du skapa en privat slutpunkt för att ansluta ditt nätverk.

  1. Från menyn för din AMPLS, välj Private Endpoint connections och därefter Private Endpoint. Du kan också godkänna anslutningar som har startats i Private Link Center här genom att välja dem och sedan välja Godkänn.

    Skärmdump som visar anslutningar till privat slutpunkt.

  2. Fliken Grundläggande

    1. Välj abonnemanget och resursgruppen och ange sedan ett namn för slutpunkten och ett nätverksgränssnittsnamn.
    2. Välj den Region som den privata slutpunkten ska skapas i. Regionen måste vara samma region som det virtuella nätverket till vilket du ansluter det.

    En skärmdump som visar fliken för grundläggande inställningar för att skapa en privat slutpunkt.

  3. Resursfliken

    1. Välj den prenumeration som innehåller din Azure Monitor Private Link Scope-resurs.
    2. För Resurstyp, välj Microsoft.insights/privateLinkScopes.
    3. Från rullgardinsmenyn Resurs väljer du det Private Link Scope du skapade.

    Skärmdump som visar sidan Skapa en privat slutpunkt i Azure-portalen med fliken Resurs vald.

  4. Fliken Virtuellt nätverk

    1. Välj det virtuella nätverket och underätverket som du vill ansluta till dina Azure Monitor-resurser.
    2. För Nätverkspolicy för privata slutpunkter, välj redigera om du vill tillämpa nätverkssäkerhetsgrupper eller routningstabeller på det delnät som innehåller den privata slutpunkten. Se Hantera nätverkspolicyer för privata slutpunkter för ytterligare detaljer.
    3. För Privat IP-konfiguration är Allokera IP-adress dynamiskt som standard valt. Om du vill tilldela en statisk IP-adress, välj Tilldela statisk IP-adress, och ange sedan ett namn och en privat IP.
    4. Valfritt, välj eller skapa en Application security group. Du kan använda applikationssäkerhetsgrupper för att gruppera virtuella maskiner och definiera nätverkssäkerhetspolicys baserat på dessa grupper.

    Skärmdump som visar sidan Skapa en privat slutpunkt i Azure-portalen med fliken Virtuellt nätverk vald.

  5. FLIKEN DNS

    1. Välj Ja för Integrera med privat DNS-zon, vilket automatiskt kommer att skapa en ny privat DNS-zon. De faktiska DNS-zonerna kan skilja sig från det som visas i följande skärmdump.

    Anteckning

    Om du väljer No och föredrar att hantera DNS-poster manuellt, slutför först inställningen av din privata länk. Inkludera denna privata slutpunkt och AMPLS-konfigurationen och konfigurera sedan din DNS enligt instruktionerna i Azure privat slutpunkt DNS-konfiguration. Säkerställ att du inte skapar tomma poster som förberedelse för din privata länkuppsättning. De DNS-poster du skapar kan åsidosätta befintliga inställningar och påverka din anslutning till Azure Monitor.

    Oavsett om du väljer Ja eller Nej och du använder dina egna anpassade DNS-servrar, behöver du ställa in villkorliga vidarebefordrare för de offentliga DNS-zonens vidarebefordrare som nämns i Azure private endpoint DNS-konfiguration. De villkorliga vidarebefordrarna måste vidarebefordra DNS-frågorna till Azure DNS.

    Skärmbild som visar sidan Skapa en privat slutpunkt i Azure-portalen med fliken DNS vald.

  6. Fliken Skapa och granska

    1. När valideringen är klar, välj Skapa.

Konfigurera åtkomst till AMPLS-resurser

Från menyn för din AMPLS väljer du Nätverksisolering för att styra vilka nätverk som kan nå resursen via en privat länk och om andra nätverk kan nå den eller inte.

Skärmbild som visar Nätverksisolering.

Ansluten AMPLS

Den här skärmen låter dig granska och konfigurera resursens anslutningar till AMPLS. Genom att ansluta till en AMPLS möjliggörs trafik från det anslutna virtuella nätverket att nå resursen. Det har samma effekt som att koppla det från det område som beskrivs i Connect Azure Monitor resources.

För att lägga till en ny anslutning, välj Add och välj AMPLS. Resursen kan ansluta till fem AMPLS-objekt enligt beskrivningen i AMPLS-gränser.

Åtkomstkonfiguration för virtuella nätverk

Dessa inställningar styr åtkomst från offentliga nätverk som inte är anslutna till de angivna områdena. Detta inkluderar tillgång till loggar, mätvärden och den live-ström för mätvärden. Den innehåller även funktioner som bygger på dessa data, till exempel arbetsböcker, instrumentpaneler, fråge-API-baserade klientupplevelser och insikter i Azure-portalen. Upplevelser som körs utanför Azure-portalen och som kör frågor mot Log Analytics-data måste också köras i det privata länkade virtuella nätverket.

  • Om du anger Acceptera datainmatning från offentliga nätverk som inte är anslutna via ett Private Link-omfång till Nej, kan klienter som datorer eller SDK:er utanför de anslutna omfången inte ladda upp data eller skicka loggar till resursen.
  • Om du ställer in Acceptera förfrågningar från offentliga nätverk som inte är anslutna via en Private Link Scope till Nej, kan klienter som maskiner eller SDK:er utanför de anslutna omfattningarna inte göra förfrågningar om data i resursen.

Arbeta med AMPLS med CLI

Skapa en AMPLS med öppna åtkomstlägen

Följande CLI-kommandon skapar en ny AMPLS-resurs med namnet "my-scope", där både fråge- och insamlingsåtkomstlägen är inställda på Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Ställ in resursåtkomstflaggor

För att hantera flaggorna för arbetsyta eller komponentåtkomst, använd flaggorna [--ingestion-access {Disabled, Enabled}] och [--query-access {Disabled, Enabled}]az monitor log-analytics arbetsyta eller az monitor app-insights komponent.

Arbeta med AMPLS med PowerShell

Skapa en AMPLS

Det följande PowerShell-skriptet skapar en ny AMPLS-resurs med namnet "my-scope", med frågeåtkomstläget inställt på Open men åtkomstlägena för datainmatning inställda på PrivateOnly. Det här inställningen innebär att det endast tillåter intagning till resurser i AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Ange AMPLS-åtkomstlägen

Använd följande PowerShell-kod för att ställa in åtkomstlägesflaggorna på din AMPLS efter att den har skapats.

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

ARM-mallar

Skapa en AMPLS

Följande ARM-mall utför följande:

  • En AMPLS med namnet "my-scope" med åtkomstlägen för fråga och införing inställda på Open.
  • En Log Analytics-arbetsyta med namnet "my-workspace".
  • Lägger till en avgränsad resurs till "my-scope" AMPLS namngiven "my-workspace-connection".
{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Granska och bekräfta AMPLS-konfiguration

Följ stegen i det här avsnittet för att granska och validera din inställning för privat länk.

Granska ändpunkternas DNS-inställningar

Den privata slutpunkt som skapas i denna artikel bör ha följande fem DNS-zoner konfigurerade:

  • privatelink.monitor.azure.com
  • privatelink.oms.opinsights.azure.com
  • privatelink.ods.opinsights.azure.com
  • privatelink.agentsvc.azure-automation.net
  • privatelink.blob.core.windows.net

Var och en av dessa zoner mappar specifika Azure Monitor-ändpunkter till privata IP-adresser från det virtuella nätverkets IP-adresspool. IP-adresserna som visas i bilderna nedan är endast exempel. Din konfiguration bör istället visa privata IP-adresser från ditt eget nätverk.

privatelink-monitor-azure-com

Denna zon täcker de globala ändpunkter som används av Azure Monitor, vilket innebär att ändpunkterna hanterar förfrågningar globalt/regionalt och inte resurs-specifika förfrågningar. Denna zon bör ha slutpunkter kartlagda för följande:

  • in.ai: Application Insights insamlingsslutpunkt (både en global och en regional ingång).
  • api: API-slutpunkt för Application Insights och Log Analytics.
  • live: Programvaruinsikter live-mätragenslutpunkt.
  • profiler: Profiler för Application Insights för .NET-slutpunkt.
  • snapshot: Application Insights ögonblicksbildändpunkt.
  • diagservices-query: Application Insights Profiler för .NET och Snapshot Debugger (används när man får åtkomst till profiler/debugger-resultat i Azure-portalen).

Denna zon täcker också de resurs-specifika ändpunkterna för följande DCE:

  • <unique-dce-identifier>.<regionname>.handler.control: Privat konfigurationsändpunkt, del av en DCE-resurs.

  • <unique-dce-identifier>.<regionname>.ingest: Privat konsumtionsändpunkt, del av en DCE-resurs.

    Skärmdump som visar den privata DNS-zonen monitor-azure-com.

Logganalysändpunkter

Log Analytics använder följande fyra DNS-zoner:

  • privatelink-oms-opinsights-azure-com: Täcker arbetsplatsspecifik mappning till OMS-slutpunkter. Du bör se en post för varje arbetsyta som är kopplad till AMPLS ansluten med denna privata slutpunkt.
  • privatelink-ods-opinsights-azure-com: Omfattar arbetsytaspecifik kartläggning till ODS-slutpunkter, som är importslutpunkterna för Log Analytics. Du bör se en post för varje arbetsyta som är kopplad till AMPLS ansluten med denna privata slutpunkt.
  • privatelink-agentsvc-azure-automation-net*: Täcker arbetsytesspecifik mappning till agenttjänstens automatiseringsändpunkter. Du bör se en post för varje arbetsyta som är kopplad till AMPLS ansluten med denna privata slutpunkt.
  • privatelink-blob-core-windows-net: Konfigurerar anslutning till det globala agenternas lösningspaketslagringskonto. Genom det kan agenter ladda ned nya eller uppdaterade lösningspaket, som även kallas hanteringspaket. Endast en post krävs för att hantera alla Log Analytics-agenter, oavsett hur många arbetsytor som används. Den här posten läggs endast till i privata länkuppsättningar som skapats den 19 april 2021 eller senare (eller från och med juni 2021 på Azure suveräna moln).

Följande skärmdump visar slutpunkter kartlagda för en AMPLS med två arbetsytor i Östra USA och en arbetsyta i Västeuropa. Observera att East US-arbetsytorna delar på IP-adresserna. Arbetsytans slutpunkt i Västeuropa är mappad till en annan IP-adress. Ändpunkt för blob är konfigurerad även om den inte syns i denna bild.

Skärmdump som visar komprimerade slutpunkter för privata länkar.

Validera kommunikation över AMPLS

  • För att verifiera att dina förfrågningar nu skickas via den privata slutpunkten, granska dem med din webbläsare eller ett nätverksspårningsverktyg. Ett exempel är när du försöker utföra en sökning i ditt arbetsyta eller din applikation. Se till att begäran skickas till den privata IP-adressen som är kopplad till API-slutpunkten. I det här exemplet är det 172.17.0.9.

    Anteckning

    Vissa webbläsare kan använda andra DNS-inställningar. Mer information finns i DNS-inställningar för webbläsare. Kontrollera att DNS-inställningarna gäller.

  • För att säkerställa att dina arbetsytor eller komponenter inte får förfrågningar från offentliga nätverk (som inte är anslutna via AMPLS), ställ in resursens offentliga insamlings- och frågeflaggor på No enligt beskrivningen i Konfigurera åtkomst till dina resurser.

  • Från en klient i ditt skyddade nätverk, använd nslookup till någon av de slutpunkter som listas i dina DNS-zoner. Det ska lösas av din DNS-server till de mappade privata IP-adresserna istället för de offentliga IP-adresserna som används som standard.

Testar lokalt

För att testa privata länkar lokalt utan att påverka andra klienter i ditt nätverk, se till att inte uppdatera din DNS när du skapar din privata slutpunkt. Redigera istället värdfilen på din dator så att den skickar förfrågningar till de privata länkslutenpunkterna.

  • Ställ in en privat länk, men när du ansluter till en privat slutpunkt, välj att inte automatiskt integrera med DNS.
  • Konfigurera de relevanta ändpunkterna i dina maskiners värdfiler.

Ytterligare konfiguration

Nätverkets undernätsstorlek

Det minsta stödda IPv4-subnätet är /27 med hjälp av CIDR-subnätdefinitioner. Även om Azure virtuella nätverk kan vara så små som /29, reserverar Azure fem IP-adresser. Azure Monitor private link-uppsättningen kräver minst 11 ytterligare IP-adresser, även om du ansluter till en enda arbetsyta. Granska din ändpunkts DNS-inställningar för listan över privata länkendpunkter för Azure Monitor.

Azure-portalen

För att använda Azure Monitor-portalupplevelser för Application Insights, Log Analytics och DCE:er, tillåt att Azure-portalen och Azure Monitor-tillägg är åtkomliga på de privata nätverken. Lägg till AzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstParty och AzureFrontdoor.Frontendservice tags till din nätverkssäkerhetsgrupp.

Programmatisk åtkomst

Om du vill använda REST-API:et, Azure CLI eller PowerShell med Azure Monitor i privata nätverk lägger du till tjänsttaggarnaAzureActiveDirectory och AzureResourceManager i brandväggen.

Webbläsarens DNS-inställningar

Om du ansluter till dina Azure Monitor-resurser via en privat länk måste trafik till dessa resurser gå via den privata slutpunkten som har konfigurerats i nätverket. För att aktivera den privata slutpunkten, uppdatera dina DNS-inställningar enligt beskrivningen i Anslut till en privat slutpunkt. Vissa webbläsare använder sina egna DNS-inställningar i stället för de som du anger. Webbläsaren kan försöka att ansluta till Azure Monitors offentliga ändpunkter och helt kringgå den privata länken. Kontrollera att dina webbläsarinställningar inte åsidosätter eller cachelagrar gamla DNS-inställningar.

Begränsning av förfrågningar: externaldata-operatör

  • Externaldata-operatorn stöds inte över en privat länk eftersom den läser data från lagringskonton, men garanterar inte att lagringen nås privat.
  • Med Azure Data Explorer-proxyn (ADX-proxy) kan loggfrågor köras mot Azure Data Explorer. ADX-proxy stöds inte över en privat länk eftersom det inte garanterar att den riktade resursen nås privat.

Nästa steg

För att skapa och hantera Private Link Scopes, använd REST API eller Azure CLI (az monitor private-link-scope).