Dela via

Konfigurera privat länk för Azure Monitor

  • Artikel

Den här artikeln innehåller stegvis information om hur du skapar och konfigurerar ett Azure Monitor Private Link-omfång (AMPLS) med hjälp av Azure Portal. I artikeln ingår även alternativa metoder för att arbeta med AMPLS med hjälp av CLI-, PowerShell- och ARM-mallar.

Att konfigurera en instans av Azure Private Link kräver följande steg. Vart och ett av dessa steg beskrivs i avsnitten nedan.

  • Skapa ett Azure Monitor Private Link-omfång (AMPLS).
  • Anslut resurser till AMPLS.
  • Anslut AMPLS till en privat slutpunkt.
  • Konfigurera åtkomst till AMPLS-resurser.

I den här artikeln beskrivs hur konfigurationen utförs via Azure Portal. Den innehåller ett exempel på en Azure Resource Manager-mall (ARM-mall) för att automatisera processen.

  1. På menyn Övervaka i Azure Portal väljer du Private Link-omfång och sedan Skapa.

    Skärmbild som visar alternativet att skapa och Azure Monitor Private Link-omfång.

  2. Välj en prenumeration och resursgrupp och ge AMPLS ett beskrivande namn som AppServerProdTelem.

  3. Välj Granska + skapa.

    Skärmbild som visar hur du skapar ett Azure Monitor Private Link-omfång.

  4. Låt valideringen passera och välj Skapa.

Ansluta resurser till AMPLS

  1. På menyn för AMPLS väljer du Azure Monitor-resurser och sedan Lägg till.

  2. Välj komponenten och välj Använd för att lägga till den i omfånget. Endast Azure Monitor-resurser, inklusive Log Analytics-arbetsytor, Application Insights-komponenter och slutpunkter för datainsamling (DCE) är tillgängliga.

    Skärmbild som visar hur du väljer ett omfång.

Kommentar

Om du tar bort Azure Monitor-resurser måste du först koppla bort dem från alla AMPLS-objekt som de är anslutna till. Det går inte att ta bort resurser som är anslutna till en AMPLS.

Ansluta AMPLS till en privat slutpunkt

När resurserna är anslutna till AMPLS kan du skapa en privat slutpunkt för att ansluta nätverket.

  1. På menyn för AMPLS väljer du Privata slutpunktsanslutningar och sedan Privat slutpunkt. Du kan också godkänna anslutningar som startades i Private Link Center här genom att välja dem och välja Godkänn.

    Skärmbild som visar privata slutpunktsanslutningar.

  2. Fliken Grundläggande

    1. välj gruppen Prenumeration och resurs och ange sedan ett Namn för slutpunkten och ett nätverksgränssnittsnamn.
    2. Välj den region som den privata slutpunkten ska skapas i. Regionen måste vara samma region som det virtuella nätverk som du ansluter den till.

    En skärmbild som visar fliken Skapa grundläggande för privat slutpunkt.

  3. Fliken Resurs

    1. Välj den prenumeration som innehåller din Azure Monitor Private Link-omfångsresurs.
    2. Som Resurstyp väljer du Microsoft.insights/privateLinkScopes.
    3. I listrutan Resurs väljer du det private link-omfång som du skapade.

    Skärmbild som visar sidan Skapa en privat slutpunkt i Azure Portal med fliken Resurs markerad.

  4. Fliken Virtuellt nätverk

    1. Välj det virtuella nätverk och undernät som du vill ansluta till dina Azure Monitor-resurser.
    2. För Nätverksprincip för privata slutpunkter väljer du Redigera om du vill använda nätverkssäkerhetsgrupper eller dirigera tabeller till det undernät som innehåller den privata slutpunkten. Mer information finns i Hantera nätverksprinciper för privata slutpunkter .
    3. För Privat IP-konfiguration är dynamisk allokering av IP-adress som standard valt. Om du vill tilldela en statisk IP-adress väljer du Statiskt allokera IP-adress och anger sedan ett namn och en privat IP-adress.
    4. Du kan också välja eller skapa en programsäkerhetsgrupp. Du kan använda programsäkerhetsgrupper för att gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper.

    Skärmbild som visar sidan Skapa en privat slutpunkt i Azure Portal med fliken Virtuellt nätverk markerad.

  5. FLIKEN DNS

    1. Välj Ja för Integrera med privat DNS-zon, som automatiskt skapar en ny privat DNS-zon. De faktiska DNS-zonerna kan skilja sig från vad som visas i följande skärmbild.

    Kommentar

    Om du väljer Nej och föredrar att hantera DNS-poster manuellt slutför du konfigurationen av din privata länk. Inkludera den här privata slutpunkten och AMPLS-konfigurationen och konfigurera sedan DNS enligt anvisningarna i DNS-konfigurationen för privata Slutpunkter i Azure. Se till att du inte skapar tomma poster som förberedelse för konfigurationen av den privata länken. De DNS-poster som du skapar kan åsidosätta befintliga inställningar och påverka anslutningen till Azure Monitor.

    Oavsett om du väljer Ja eller Nej och använder dina egna anpassade DNS-servrar måste du konfigurera villkorliga vidarebefordrare för vidarebefordrare i den offentliga DNS-zonen som nämns i DNS-konfigurationen för privata Slutpunkter i Azure. De villkorsstyrda vidarebefordrarna måste vidarebefordra DNS-frågorna till Azure DNS.

    Skärmbild som visar sidan Skapa en privat slutpunkt i Azure Portal med fliken DNS markerad.

  6. Fliken Granska + skapa

    1. När valideringen har godkänts väljer du Skapa.

Konfigurera åtkomst till AMPLS-resurser

På menyn för AMPLS väljer du Nätverksisolering för att styra vilka nätverk som kan nå resursen via en privat länk och om andra nätverk kan nå den eller inte.

Skärmbild som visar nätverksisolering.

Ansluten AMPLS

På den här skärmen kan du granska och konfigurera resursens anslutningar till AMPLS. Om du ansluter till en AMPLS kan trafik från det anslutna virtuella nätverket anslutas till resursen. Den har samma effekt som att ansluta den från omfånget som beskrivs i Anslut Azure Monitor-resurser.

Om du vill lägga till en ny anslutning väljer du Lägg till och väljer AMPLS. Resursen kan ansluta till fem AMPLS-objekt enligt beskrivningen i AMPLS-gränser.

Åtkomstkonfiguration för virtuella nätverk

De här inställningarna styr åtkomsten från offentliga nätverk som inte är anslutna till de angivna omfången. Detta omfattar åtkomst till loggar, mått och live-måttströmmen. Den innehåller även funktioner som bygger på dessa data, till exempel arbetsböcker, instrumentpaneler, fråge-API-baserade klientupplevelser och insikter i Azure Portal. Upplevelser som körs utanför Azure Portal och som kör frågor mot Log Analytics-data måste också köras i det privata länkade virtuella nätverket.

  • Om du anger Acceptera datainmatning från offentliga nätverk som inte är anslutna via ett Private Link-omfång till Nej, kan klienter som datorer eller SDK:er utanför de anslutna omfången inte ladda upp data eller skicka loggar till resursen.
  • Om du anger Acceptera frågor från offentliga nätverk som inte är anslutna via ett Private Link-omfång till Nej, kan klienter som datorer eller SDK:er utanför de anslutna omfången inte fråga efter data i resursen.

Arbeta med AMPLS med CLI

Skapa en AMPLS med öppna åtkomstlägen

Följande CLI-kommando skapar en ny AMPLS-resurs med namnet "my-scope", med både fråge- och inmatningsåtkomstlägen inställda på Open.

az resource create -g "my-resource-group" --name "my-scope" -l global --api-version "2021-07-01-preview" --resource-type Microsoft.Insights/privateLinkScopes --properties "{\"accessModeSettings\":{\"queryAccessMode\":\"Open\", \"ingestionAccessMode\":\"Open\"}}"

Ange resursåtkomstflaggor

Om du vill hantera arbetsytan eller komponentens åtkomstflaggor använder du flaggorna och på az monitor log-analytics-arbetsytan eller az monitor app-insights-komponenten.[--query-access {Disabled, Enabled}][--ingestion-access {Disabled, Enabled}]

Arbeta med AMPLS med PowerShell

Skapa en AMPLS

Följande PowerShell-skript skapar en ny AMPLS-resurs med namnet "my-scope", med frågeåtkomstläget inställt på Open men inmatningsåtkomstlägena är inställda på PrivateOnly. Den här inställningen innebär att den endast tillåter inmatning till resurser i AMPLS.

# scope details
$scopeSubscriptionId = "ab1800bd-ceac-48cd-...-..."
$scopeResourceGroup = "my-resource-group"
$scopeName = "my-scope"
$scopeProperties = @{
    accessModeSettings = @{
        queryAccessMode     = "Open"; 
        ingestionAccessMode = "PrivateOnly"
    } 
}

# login
Connect-AzAccount

# select subscription
Select-AzSubscription -SubscriptionId $scopeSubscriptionId

# create private link scope resource
$scope = New-AzResource -Location "Global" -Properties $scopeProperties -ResourceName $scopeName -ResourceType "Microsoft.Insights/privateLinkScopes" -ResourceGroupName $scopeResourceGroup -ApiVersion "2021-07-01-preview" -Force

Ange AMPLS-åtkomstlägen

Använd följande PowerShell-kod för att ange flaggor för åtkomstläge på AMPLS när den har skapats.

# get private link scope resource
$scope = Get-AzResource -ResourceType Microsoft.Insights/privateLinkScopes -ResourceGroupName $scopeResourceGroup -ResourceName $scopeName -ApiVersion "2021-07-01-preview"

# set access mode settings
$scope.Properties.AccessModeSettings.QueryAccessMode = "Open";
$scope.Properties.AccessModeSettings.IngestionAccessMode = "Open";
$scope | Set-AzResource -Force

ARM-mallar

Skapa en AMPLS

Följande ARM-mall utför följande:

  • En AMPLS med namnet "my-scope", med åtkomstlägen för frågor och inmatning inställda på Open.
  • En Log Analytics-arbetsyta med namnet "my-workspace".
  • Lägger till en begränsad resurs i "my-scope" AMPLS med namnet "my-workspace-connection".
{
    "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2021-07-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2020-10-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2019-10-17-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Granska och verifiera AMPLS-konfiguration

Följ stegen i det här avsnittet för att granska och verifiera konfigurationen av din privata länk.

Granska slutpunktens DNS-inställningar

Den privata slutpunkten som skapas i den här artikeln bör ha följande fem DNS-zoner konfigurerade:

  • privatelink.monitor.azure.com
  • privatelink.oms.opinsights.azure.com
  • privatelink.ods.opinsights.azure.com
  • privatelink.agentsvc.azure-automation.net
  • privatelink.blob.core.windows.net

Var och en av dessa zoner mappar specifika Azure Monitor-slutpunkter till privata IP-adresser från det virtuella nätverkets pool med IP-adresser. IP-adresserna som visas i bilderna nedan är bara exempel. Konfigurationen bör i stället visa privata IP-adresser från ditt eget nätverk.

privatelink-monitor-azure-com

Den här zonen omfattar de globala slutpunkter som används av Azure Monitor, vilket innebär att slutpunkter hanterar begäranden globalt/regionalt och inte resursspecifika begäranden. Den här zonen bör ha slutpunkter mappade för följande:

  • in.ai: Application Insights inmatningsslutpunkt (både en global och en regional post).
  • api: Application Insights och Log Analytics API-slutpunkt.
  • live: Application Insights live-måttslutpunkt.
  • profilerare: Application Insights Profiler för .NET-slutpunkt.
  • ögonblicksbild: Application Insights-ögonblicksbildens slutpunkt.
  • diagservices-query: Application Insights Profiler för .NET och Snapshot Debugger (används vid åtkomst till profilerare/felsökningsresultat i Azure Portal).

Den här zonen omfattar även resursspecifika slutpunkter för följande domänkontrollanter:

  • <unique-dce-identifier>.<regionname>.handler.control: Privat konfigurationsslutpunkt, en del av en DCE-resurs.

  • <unique-dce-identifier>.<regionname>.ingest: Slutpunkt för privat inmatning, en del av en DCE-resurs.

    Skärmbild som visar Privat DNS zone monitor-azure-com.

Log Analytics-slutpunkter

Log Analytics använder följande fyra DNS-zoner:

  • privatelink-oms-opinsights-azure-com: Omfattar arbetsytespecifik mappning till OMS-slutpunkter. Du bör se en post för varje arbetsyta som är länkad till AMPLS som är ansluten till den här privata slutpunkten.
  • privatelink-ods-opinsights-azure-com: Omfattar arbetsytespecifik mappning till ODS-slutpunkter, som är inmatningsslutpunkterna för Log Analytics. Du bör se en post för varje arbetsyta som är länkad till AMPLS som är ansluten till den här privata slutpunkten.
  • privatelink-agentsvc-azure-automation-net*: Omfattar arbetsytespecifik mappning till agenttjänstens automationsslutpunkter. Du bör se en post för varje arbetsyta som är länkad till AMPLS som är ansluten till den här privata slutpunkten.
  • privatelink-blob-core-windows-net: Konfigurerar anslutning till de globala agenternas lagringskonto för lösningspaket. Genom det kan agenter ladda ned nya eller uppdaterade lösningspaket, som även kallas hanteringspaket. Endast en post krävs för att hantera alla Log Analytics-agenter, oavsett hur många arbetsytor som används. Den här posten läggs bara till i konfigurationer av privata länkar som skapats den 19 april 2021 eller från och med juni 2021 i nationella Azure-moln.

Följande skärmbild visar slutpunkter som mappats för en AMPLS med två arbetsytor i USA, östra och en arbetsyta i Europa, västra. Observera att arbetsytorna i USA, östra delar IP-adresserna. Slutpunkten för arbetsytan Europa, västra mappas till en annan IP-adress. Blobslutpunkten är konfigurerad även om den inte visas i den här bilden.

Skärmbild som visar komprimerade slutpunkter för privat länk.

Verifiera kommunikationen via AMPLS

  • Kontrollera att dina begäranden nu skickas via den privata slutpunkten genom att granska dem med webbläsaren eller ett verktyg för nätverksspårning. När du till exempel försöker fråga din arbetsyta eller ditt program kontrollerar du att begäran skickas till den privata IP-adressen som mappas till API-slutpunkten. I det här exemplet är det 172.17.0.9.

    Kommentar

    Vissa webbläsare kan använda andra DNS-inställningar. Mer information finns i DNS-inställningar för webbläsare. Kontrollera att DNS-inställningarna gäller.

  • För att se till att dina arbetsytor eller komponenter inte tar emot begäranden från offentliga nätverk (inte anslutna via AMPLS) anger du resursens offentliga inmatning och frågeflaggor till Nej enligt beskrivningen i Konfigurera åtkomst till dina resurser.

  • Från en klient i ditt skyddade nätverk använder du nslookup till någon av de slutpunkter som anges i dina DNS-zoner. Den bör matchas av DNS-servern till de mappade privata IP-adresserna i stället för de offentliga IP-adresser som används som standard.

Testa lokalt

Om du vill testa privata länkar lokalt utan att påverka andra klienter i nätverket måste du inte uppdatera dns-koden när du skapar din privata slutpunkt. Redigera i stället värdfilen på datorn så att den skickar begäranden till de privata länkslutpunkterna:

  • Konfigurera en privat länk, men när du ansluter till en privat slutpunkt väljer du att inte integrera automatiskt med DNS.
  • Konfigurera relevanta slutpunkter på dina datorers värdfiler.

Ytterligare konfiguration

Nätverksundernätsstorlek

Det minsta IPv4-undernätet som stöds är /27 med hjälp av CIDR-undernätsdefinitioner. Även om virtuella Azure-nätverk kan vara så små som /29 reserverar Azure fem IP-adresser. Konfigurationen av den privata länken i Azure Monitor kräver minst 11 IP-adresser till även om du ansluter till en enda arbetsyta. Granska din slutpunkts DNS-inställningar för listan över slutpunkter för privata Azure Monitor-länkar.

Azure Portal

Om du vill använda Azure Monitor-portalens funktioner för Application Insights, Log Analytics och DCE:er tillåter du att tilläggen Azure Portal och Azure Monitor är tillgängliga i de privata nätverken. Lägg till tjänsttaggar för AzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstParty och AzureFrontdoor.Frontend i nätverkssäkerhetsgruppen.

Programmatisk åtkomst

Om du vill använda REST-API:et, Azure CLI eller PowerShell med Azure Monitor i privata nätverk lägger du till tjänsttaggarna AzureActiveDirectory och AzureResourceManager i brandväggen.

DNS-inställningar för webbläsare

Om du ansluter till dina Azure Monitor-resurser via en privat länk måste trafik till dessa resurser gå via den privata slutpunkten som har konfigurerats i nätverket. Om du vill aktivera den privata slutpunkten uppdaterar du DNS-inställningarna enligt beskrivningen i Anslut till en privat slutpunkt. Vissa webbläsare använder sina egna DNS-inställningar i stället för de som du anger. Webbläsaren kan försöka ansluta till offentliga Azure Monitor-slutpunkter och kringgå den privata länken helt. Kontrollera att webbläsarinställningarna inte åsidosätter eller cachelagr gamla DNS-inställningar.

Frågebegränsning: externaldataoperator

  • Operatorn externaldata stöds inte via en privat länk eftersom den läser data från lagringskonton men inte garanterar att lagringen används privat.
  • Med Azure Data Explorer-proxyn (ADX-proxy) kan loggfrågor köra frågor mot Azure Data Explorer. ADX-proxyn stöds inte via en privat länk eftersom den inte garanterar att målresursen nås privat.

Nästa steg

Om du vill skapa och hantera Private Link-omfång använder du REST-API:et eller Azure CLI (az monitor private-link-scope).