Partilhar via

Projetar a configuração do Azure Monitor Private Link

  • Artigo

Ao criar um Escopo de Link Privado do Azure Monitor (AMPLS), você limita o acesso aos recursos do Azure Monitor apenas às redes conectadas ao ponto de extremidade privado. Este artigo fornece orientação sobre como projetar sua configuração de link privado do Azure Monitor e outras considerações que você deve levar em conta antes de realmente implementá-la usando as orientações em Configurar link privado para o Azure Monitor.

Limites da AMPLS

Os objetos AMPLS têm os seguintes limites:

  • Uma rede virtual pode se conectar a apenas um objeto AMPLS. Isso significa que o objeto AMPLS deve fornecer acesso a todos os recursos do Azure Monitor aos quais a rede virtual deve ter acesso.
  • Um objeto AMPLS pode se conectar a até 300 espaços de trabalho do Log Analytics e até 1.000 componentes do Application Insights.
  • Um recurso do Azure Monitor pode se conectar a até cinco AMPLS.
  • Um objeto AMPLS pode se conectar a até 10 pontos de extremidade privados.

Planejar por topologia de rede

As seções a seguir descrevem como planejar sua configuração de link privado do Azure Monitor com base em sua topologia de rede.

Evite substituições de DNS usando um único AMPLS

Algumas redes são compostas por várias redes virtuais ou outras redes conectadas. Se essas redes compartilharem o mesmo DNS, configurar um link privado em qualquer uma delas atualizará o DNS e afetará o tráfego em todas as redes.

No diagrama a seguir, a rede virtual 10.0.1.x se conecta ao AMPLS1, que cria entradas DNS que mapeiam pontos de extremidade do Azure Monitor para IPs do intervalo 10.0.1.x. Mais tarde, a rede virtual 10.0.2.x se conecta ao AMPLS2, que substitui as mesmas entradas DNS mapeando os mesmos pontos de extremidade globais/regionais para IPs do intervalo 10.0.2.x. Como essas redes virtuais não são emparelhadas, a primeira rede virtual agora não consegue alcançar esses pontos de extremidade. Para evitar esse conflito, crie apenas um único objeto AMPLS por DNS.

Diagrama que mostra substituições de DNS em várias redes virtuais.

Redes hub-and-spoke

As redes Hub-and-spoke devem usar uma única conexão de link privado definida na rede hub (principal), e não em cada rede virtual spoke.

Você pode preferir criar links privados separados para suas redes virtuais spoke para permitir que cada rede virtual acesse um conjunto limitado de recursos de monitoramento. Nesse caso, você pode criar um ponto de extremidade privado dedicado e AMPLS para cada rede virtual. Você também deve verificar se eles não compartilham as mesmas zonas DNS para evitar substituições de DNS.

Diagrama que mostra um link privado único hub-and-spoke.

Redes emparelhadas

Com o emparelhamento de rede, as redes podem compartilhar os endereços IP uns dos outros e, muito provavelmente, compartilhar o mesmo DNS. Nesse caso, crie um único link privado em uma rede acessível a outras redes. Evite criar vários pontos de extremidade privados e objetos AMPLS porque apenas o último conjunto no DNS se aplica.

Redes isoladas

Se suas redes não estiverem emparelhadas, você também deverá separar o DNS delas para usar links privados. Em seguida, você pode criar um ponto de extremidade privado separado para cada rede e um objeto AMPLS separado. Seus objetos AMPLS podem ser vinculados aos mesmos espaços de trabalho/componentes ou a outros diferentes.

Selecione um modo de acesso

Os modos de acesso a links privados permitem que você controle como os links privados afetam o tráfego da rede. O que você selecionar é fundamental para garantir tráfego de rede contínuo e ininterrupto.

Os modos de acesso podem aplicar-se a todas as redes ligadas ao seu AMPLS ou a redes específicas ligadas ao mesmo. Os modos de acesso são definidos separadamente para ingestão e consultas. Por exemplo, você pode definir o modo Somente privado para ingestão e o modo Aberto para consultas.

Importante

A ingestão do Log Analytics usa pontos de extremidade específicos de recursos para que não adira aos modos de acesso AMPLS. Para garantir que as solicitações de ingestão do Log Analytics não possam acessar espaços de trabalho fora do AMPLS, defina o firewall de rede para bloquear o tráfego para pontos de extremidade públicos, independentemente dos modos de acesso AMPLS.

Modo de acesso Apenas Privado

Este modo permite que a rede virtual alcance apenas recursos de link privado no AMPLS. Essa é a opção mais segura e evita a exfiltração de dados bloqueando o tráfego dos recursos do AMPLS para o Azure Monitor.

Diagrama que mostra o modo de acesso AMPLS Private Only.

Modo de acesso aberto

Este modo permite que a rede virtual alcance recursos de link privado e recursos que não estão no AMPLS (se eles aceitarem tráfego de redes públicas). O modo de acesso aberto não impede a exfiltração de dados, mas ainda oferece os outros benefícios dos links privados. O tráfego para recursos de link privado é enviado por meio de pontos de extremidade privados antes de ser validado e, em seguida, enviado pelo backbone da Microsoft. O modo aberto é útil para o modo misto, onde alguns recursos são acessados publicamente e outros acessados por um link privado. Também pode ser útil durante um processo de integração gradual.

Diagrama que mostra o modo de acesso aberto AMPLS.

Importante

Tenha cuidado ao selecionar o modo de acesso. Usar o modo de acesso Somente privado bloqueará o tráfego para recursos que não estão no AMPLS em todas as redes que compartilham o mesmo DNS, independentemente da assinatura ou locatário. Se não for possível adicionar todos os recursos do Azure Monitor ao AMPLS, comece adicionando recursos selecionados e aplicando o modo de acesso aberto. Mude para o modo Apenas Privado para máxima segurança apenas depois de adicionar todos os recursos do Azure Monitor ao seu AMPLS.

Definir modos de acesso para redes específicas

Os modos de acesso definidos no recurso AMPLS afetam todas as redes, mas você pode substituir essas configurações para redes específicas.

No diagrama a seguir, a VNet1 usa o modo Aberto e a VNet2 usa o modo Somente Privado. As solicitações da VNet1 podem chegar ao Espaço de Trabalho 1 e ao Componente 2 por meio de um link privado. As solicitações podem chegar ao Componente 3 somente se ele aceitar tráfego de redes públicas. As solicitações de VNet2 não podem acessar o Componente 3.

Diagrama que mostra modos de acesso misto.

Controle o acesso à rede aos recursos AMPLS

Os componentes do Azure Monitor podem ser definidos como:

  • Aceitar ou bloquear a ingestão de redes públicas (redes não conectadas ao recurso AMPLS).
  • Aceitar ou bloquear consultas de redes públicas (redes não conectadas ao recurso AMPLS).

Essa granularidade permite que você defina o acesso por espaço de trabalho de acordo com suas necessidades específicas. Por exemplo, você pode aceitar a ingestão apenas por meio de redes privadas conectadas por link, mas ainda assim optar por aceitar consultas de todas as redes, públicas e privadas.

Nota

Bloquear consultas de redes públicas significa que clientes como máquinas e SDKs fora do AMPLS conectado não podem consultar dados no recurso. Esses dados incluem logs, métricas e o fluxo de métricas ao vivo. O bloqueio de consultas de redes públicas afeta todas as experiências que executam essas consultas, como pastas de trabalho, painéis, informações no portal do Azure e consultas executadas de fora do portal do Azure.

Seguem-se exceções a este acesso à rede:

  • Logs de diagnóstico. Os logs e métricas enviados para um espaço de trabalho a partir de uma configuração de diagnóstico estão em um canal privado seguro da Microsoft e não são controlados por essas configurações.
  • Métricas personalizadas ou métricas de convidado do Azure Monitor. As métricas personalizadas enviadas do Agente do Azure Monitor não são controladas por DCEs e não podem ser configuradas em links privados.

Nota

As consultas enviadas por meio da API do Gerenciador de Recursos não podem usar links privados do Azure Monitor. Essas consultas só podem obter acesso se o recurso de destino permitir consultas de redes públicas.

As seguintes experiências são conhecidas por executar consultas por meio da API do Resource Manager:

  • Conector LogicApp
  • Solução de Gestão de Atualizações
  • Solução de Controlo de Alterações
  • Informações de VMs
  • Container Insights
  • Painel Resumo do Espaço de Trabalho do Log Analytics (preterido) (que mostra o painel de soluções)

Considerações especiais

Application Insights

  • Adicione recursos que hospedam as cargas de trabalho monitoradas a um link privado. Por exemplo, consulte Usando pontos de extremidade privados para o Azure Web App.
  • As experiências de consumo que não sejam do portal também devem ser executadas na rede virtual vinculada à privada que inclui as cargas de trabalho monitoradas.
  • Forneça sua própria conta de armazenamento para oferecer suporte a links privados para o .NET Profiler e Depurador.

Nota

Para proteger totalmente o Application Insights baseado em espaço de trabalho, bloqueie o acesso ao recurso do Application Insights e ao espaço de trabalho subjacente do Log Analytics.

Prometheus Gerido

  • As configurações de ingestão de Link Privado são feitas usando AMPLS e configurações nos Pontos de Extremidade de Coleta de Dados (DCEs) que fazem referência ao espaço de trabalho do Azure Monitor usado para armazenar métricas do Prometheus.
  • As configurações de consulta de Link Privado são feitas diretamente no espaço de trabalho do Azure Monitor usado para armazenar métricas do Prometheus e não são tratadas com AMPLS.

Próximos passos