使用 Azure 专用链接将网络连接到 Azure Monitor

通过 Azure 专用链接，可以使用专用终结点将 Azure 平台即服务 (PaaS) 资源安全地链接到虚拟网络。 Azure Monitor 专用链接的结构不同于其他服务的专用链接。 本文介绍 Azure Monitor 专用链接的主要原则及其操作方式。

将专用链接与 Azure Monitor 配合使用的优点包括： 有关进一步的好处，请参阅专用链接的主要优势。

• 以专用方式连接到 Azure Monitor，而无需开放任何公共网络访问权限。 确保仅可通过授权的专用网络访问监视数据。
• 通过定义通过专用终结点连接的特定 Azure Monitor 资源，防止专用网络出现数据泄露。
• 使用 Azure ExpressRoute 和专用链接将专用本地网络安全地连接到 Azure Monitor。
• 将所有流量保留在 Azure 主干网络中。

基本概念

Azure Monitor 不会为虚拟网络连接到的每个资源创建专用链接，而是通过从虚拟网络到 Azure Monitor 专用链接范围 (AMPLS) 的专用终结点使用单个专用链接连接。 AMPLS 是一组 Azure Monitor 资源，这些资源定义了监视网络的边界。

AMPLS 值得注意的方面包括：

• 使用专用 IP：借助虚拟网络上的专用终结点，可以通过网络池中的专用 IP 而不是终结点的公共 IP 来访问 Azure Monitor 终结点。 因此，你可以继续使用 Azure Monitor 资源，而无需向不需要的出站流量开放虚拟网络。
• 在 Azure 主干网上运行：从专用终结点到 Azure Monitor 资源的流量将通过 Microsoft Azure 主干网运行，而不会路由到公用网络。
• 控制可以访问哪些 Azure Monitor 资源：可以配置为仅允许流量流向专用链接资源，或者允许流量流向 AMPLS 外部的专用链接和非专用链接资源。
• 控制对 Azure Monitor 资源的网络访问：配置每个工作区或组件，以接受或阻止来自公用网络的流量，可能对数据引入和查询请求使用不同的设置。

DNS 区域

创建 AMPLS 时，DNS 区域会将 Azure Monitor 终结点映射到专用 IP，以通过专用链接发送流量。 Azure Monitor 同时使用特定于资源的终结点和共享的全局/区域终结点来访问 AMPLS 中的工作区和组件。

由于 Azure Monitor 使用某些共享终结点，因此即使为单个资源配置专用链接也会更改影响所有资源的流量的 DNS 配置。 使用共享终结点也意味着应为共享同一 DNS 的所有网络使用单个 AMPLS。 创建多个 AMPLS 资源将导致 Azure Monitor DNS 区域相互替代，并中断现有环境。 有关更多详细信息，请参阅按网络拓扑规划。

共享的全局和区域终结点

即使已为单个资源配置专用链接，发往以下终结点的流量仍将通过分配的专用 IP 发送：

• 所有 Application Insights 终结点：用于处理 Application Insights 终结点的数据引入、实时指标、探查器和调试器的终结点是全局的。
• 查询终结点：用于处理对 Application Insights 和 Log Analytics 资源的查询的终结点是全局的。

特定于资源的终结点

Log Analytics 终结点特定于工作区，但前面讨论的查询终结点除外。 因此，将特定 Log Analytics 工作区添加到 AMPLS 将会通过专用链接向此工作区发送引入请求。 其他工作区的数据引入将继续使用公共终结点。

数据收集终结点 也是特定于资源的。 使用新的 Azure Monitor 代理和数据收集规则时，可以使用它们来唯一配置引入设置，以便从计算机（或计算机集）收集来宾 OS 遥测数据。 为一组计算机配置数据收集终结点不会影响从使用新代理的其他计算机引入来宾遥测数据。

后续步骤

• 设计 Azure 专用链接设置。
• 了解如何配置专用链接。