使用专用链接为 Azure Monitor 代理启用网络隔离

默认情况下,Azure Monitor 代理会连接到公共终结点以连接到你的 Azure Monitor 环境。 本文介绍如何使用 Azure 专用链接为代理启用网络隔离。

先决条件

  • 数据收集规则,用于定义 Azure Monitor 代理收集的数据以及代理将数据发送到的目标。
  1. 为每个区域创建一个数据收集终结点来让代理连接,而不使用公共终结点。 一个代理只能连接到同一区域中的一个数据收集终结点。 如果在多个区域中有代理,请在每个区域中创建一个数据收集终结点。

  2. 配置专用链接。 你将使用专用链接将数据收集终结点连接到一组 Azure Monitor 资源,用于定义监视网络的边界。 此组被称为 Azure Monitor 专用链接范围。

  3. 将数据收集终结点添加到 Azure Monitor 专用链接范围资源。 此过程会将数据收集终结点添加到专用 DNS 区域(请参阅如何验证)并允许通过专用链接进行通信。 可以从 AMPLS 资源或在现有数据收集终结点资源的“网络隔离”选项卡上执行此任务。

    重要

    其他 Azure Monitor 资源(例如,在数据收集规则中配置的、你想要向其发送数据的 Log Analytics 工作区)必须是此相同 AMPLS 资源的一部分。

    对于数据收集终结点,请确保在 Azure 门户中终结点资源的“网络隔离”选项卡中,将“接受未通过专用链接范围连接的公用网络的访问”选项设置为“否”。 该设置可确保公共 Internet 访问处于禁用状态,且网络通信仅通过专用链接进行。

    显示配置数据收集终结点网络隔离的屏幕截图。

  4. 通过在 Azure 门户中编辑数据收集规则,将数据收集终结点关联到目标资源。 在“资源”选项卡上,选择“启用数据收集终结点”。 为每个虚拟机选择一个数据收集终结点。 请参阅为 Azure Monitor 代理配置数据收集

    显示为代理配置数据收集终结点的屏幕截图。

后续步骤