本文提供了使用多种方法创建和配置 Azure Monitor Private Link Scope (AMPLS) 的分步详细信息。
配置Azure Private Link实例需要执行以下步骤。 下面各节详细介绍了这些步骤。
创建 Azure Monitor 私有链接范围(AMPLS)
在 Azure 门户中的 Monitor 菜单中,选择 Private Link Scopes,然后选择 create。
“基本信息”选项卡
下表描述了在创建 AMPLS 时需要设置的属性。 选择 “下一步:查看和创建” 来创建您的 AMPLS。
| 财产 | 说明 |
|---|---|
| Subscription | 选择要使用的Azure订阅。 |
| 资源组 | 选择现有资源组,或创建一个新组。 |
| 名称 | 输入 AMPLS 的名称。 该名称在所选资源组中必须是唯一的。 |
|
查询访问模式 引入访问模式 |
选择 AMPLS 的访问模式 。
Open允许来自未通过Private Link范围连接的公用网络的查询,或PrivateOnly仅允许来自连接的专用网络的查询。 稍后可以为 AMPLS 本身或连接到它的不同专用终结点更改此设置。 |
将资源连接到 AMPLS
创建 AMPLS 后,可以向其添加Azure Monitor资源。 这些资源将可用于连接的 VNet 上的任何资源。 有关可能添加到 AMPLS 的资源的说明,请参阅 AMPLS 。
在 AMPLS 的菜单中,选择 Azure Monitor Resources,然后选择 Add。 选择组件,然后选择“应用”,将其添加到范围中。 只有 Azure Monitor 资源,包括 Log Analytics 工作区和数据收集终结点(DCE),是可用的。
注释
删除Azure Monitor资源需要先将其与连接到的任何 AMPLS 对象断开连接。 不能删除连接到 AMPLS 的资源。
将 AMPLS 连接到专用终结点
需要专用终结点才能将 AMPLS 连接到 VNet。 专用终结点是 VNet 中Azure服务的特殊网络接口。 从 VNet 的 IP 地址范围为专用终结点分配 IP 地址。 创建此专用终结点后,可通过专用终结点从 VNet 访问连接到 AMPLS 的任何资源。
注释
有关专用终结点的更多详细信息,请参阅使用 Azure 门户创建专用终结点。
在 AMPLS 菜单,依次选择“专用终结点连接”和“专用终结点”。 还可以在此通过选择Private Link 中心中已启动的连接,并选择批准来批准这些连接。
“基本信息”选项卡
“ 基本信息 ”选项卡包含专用终结点的常规信息,包括其唯一名称。
| 财产 | 说明 |
|---|---|
| Subscription | 选择要用于终结点的订阅。 |
| 资源组 | 选择终结点组的现有资源,或创建新的资源。 |
| 名称 | 输入专用终结点的名称。 该名称在所选资源组中必须是唯一的。 |
| 网络接口名称 | 输入为专用终结点创建的网络接口的名称。 |
| Region | 选择应在其中创建专用终结点的区域。 该区域必须是你要连接到的虚拟网络所在的区域。 |
“资源”选项卡
您可以从文本框中选择资源,或选择 通过资源 ID 或别名连接到 Azure 资源,并粘贴 AMPLS 资源的 ID。
| 财产 | 说明 |
|---|---|
| 包含 AMPLS 的订阅。 | |
| 资源类型 | Microsoft.insights/privateLinkScopes |
| 资源 | AMPLS 的名称 |
| 目标子资源 | azuremonitor |
“Virtual Network”选项卡
Virtual Network 选项卡允许选择 VNet 和子网,以将专用终结点连接到相应的 VNet 和子网。
| 财产 | 说明 |
|---|---|
| 虚拟网络 子网 |
虚拟网络和子网,其中包含将连接到Azure Monitor资源的资源。 |
| 私有终结点的网络策略 | 如果要将网络安全组或路由表应用到包含专用终结点的子网,请选择 “编辑 ”。 有关详细信息,请参阅 管理专用终结点的网络策略 。 |
| 专用 IP 配置 | 默认情况下,会选择 动态分配 IP 地址 。 如果要分配静态 IP 地址,请选择“静态分配 IP 地址”,然后输入名称和专用 IP。 |
| 应用程序安全组 | (可选)创建应用程序安全组来对虚拟机进行分组,并根据这些组定义网络安全策略。 |
“DNS”选项卡
DNS 选项卡允许你选择是否自动为专用终结点创建专用 DNS 区域。 此专用 DNS 区域将具有必要的 DNS 记录,用于通过专用链接将流量从 VNet 路由到Azure Monitor。
| 财产 | 说明 |
|---|---|
| 与专用 DNS 区域集成 | 选择 “是 ”以自动创建新的专用 DNS 区域。 实际 DNS 区域可能与以下屏幕截图不同。 |
如果希望手动管理 DNS 记录,请先完成专用链接的设置。 包括此专用终结点和 AMPLS 配置,然后根据 Azure 专用终结点 DNS 配置中的说明配置 DNS。 请确保不要在准备专用链接设置时创建空记录。 创建的 DNS 记录可以替代现有设置,并影响与Azure Monitor的连接。
无论是否选择与专用 DNS 区域集成,并且使用的是自己的自定义 DNS 服务器,都需要为 Azure 专用终结点 DNS 配置中提到的公共 DNS 区域转发器设置条件转发器。 条件转发器需要将 DNS 查询转发到 Azure DNS。
为专用终结点配置访问模式
如果希望专用链接使用与 AMPLS 的默认 访问模式不同的访问模式 ,请从 AMPLS 的访问模式 菜单对其进行配置。 在 “排除 ”部分中,选择专用终结点和用于引入和查询的访问模式。
扩展 ARM 模板
以下 ARM 模板执行以下操作:
- 名为
"my-scope"的 AMPLS,其查询和引入访问模式设置为Open。 - 名为
"my-workspace"的Log Analytics工作区。 - 将范围限定资源添加到名为
"my-scope"的"my-workspace-connection"AMPLS 中。
{
"$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
"contentVersion": "1.0.0.0",
"parameters": {
"private_link_scope_name": {
"defaultValue": "my-scope",
"type": "String"
},
"workspace_name": {
"defaultValue": "my-workspace",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "microsoft.insights/privatelinkscopes",
"apiVersion": "2021-07-01-preview",
"name": "[parameters('private_link_scope_name')]",
"location": "global",
"properties": {
"accessModeSettings":{
"queryAccessMode":"Open",
"ingestionAccessMode":"Open"
}
}
},
{
"type": "microsoft.operationalinsights/workspaces",
"apiVersion": "2020-10-01",
"name": "[parameters('workspace_name')]",
"location": "chinanorth2",
"properties": {
"sku": {
"name": "pergb2018"
},
"publicNetworkAccessForIngestion": "Enabled",
"publicNetworkAccessForQuery": "Enabled"
}
},
{
"type": "microsoft.insights/privatelinkscopes/scopedresources",
"apiVersion": "2019-10-17-preview",
"name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
"dependsOn": [
"[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
"[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
],
"properties": {
"linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
}
}
]
}
查看并验证 AMPLS 配置
按照本节中的步骤查看并验证专用链接设置。
查看终结点的 DNS 设置
本文中创建的专用终结点应配置以下五个 DNS 区域:
privatelink.monitor.azure.cnprivatelink.oms.opinsights.azure.cnprivatelink.ods.opinsights.azure.cnprivatelink.agentsvc.azure-automation.netprivatelink.blob.core.chinacloudapi.cn
每个区域将特定的Azure Monitor终结点映射到虚拟网络 IP 池中的专用 IP。 以下图像中显示的 IP 地址只是示例。 你的配置应显示自己网络中的专用 IP。
privatelink-monitor-azure-cn 区域
此区域涵盖用于Azure Monitor的全球终结点,这意味着终结点能够在全球和区域范围内提供服务,而不针对特定资源请求。 此区域应具有为以下终结点映射的终结点:
- in.ai:Application Insights 引入终结点(全局和区域条目)。
- api:Application Insights 和 Log Analytics API 终结点。
- live:Application Insights 实时指标终结点。
- profiler:适用于 .NET 终结点的 Application Insights Profiler。
- snapshot:Application Insights 快照终结点。
- diagservices-query:用于 .NET 和 Snapshot Debugger 的 Application Insights Profiler(在访问 Azure 门户中的探查器/调试器结果时使用)。
此区域还介绍了以下 DCE 特定于资源的终结点:
<unique-dce-identifier>.<regionname>.handler.control:专用配置终结点,它是 DCE 资源的一部分。<unique-dce-identifier>.<regionname>.ingest:专用引入终结点,它是 DCE 资源的一部分。
Log Analytics 终端点
Log Analytics使用以下四个 DNS 区域:
-
privatelink-oms-opinsights-azure-cn:涵盖工作区特定的映射到 AMA 终结点。 应该会看到链接到与此专用终结点连接的 AMPLS 的每个工作区的条目。 -
privatelink-ods-opinsights-azure-cn:涵盖了针对工作区的 ODS 终结点映射,这些终结点是日志分析(Log Analytics)的数据引入点。 应该会看到链接到与此专用终结点连接的 AMPLS 的每个工作区的条目。 -
privatelink-agentsvc-azure-automation-cn*:涵盖特定工作区到代理服务自动化终结点的映射。 应该会看到链接到与此专用终结点连接的 AMPLS 的每个工作区的条目。 -
privatelink-blob-core-azure-cn:配置与全球代理解决方案包存储账户的连接。 通过它,代理可以下载新的或更新的解决方案包(也称为管理包)。 无论使用多少个工作区,只需要一个条目来处理所有Log Analytics代理。 此条目仅添加到在 2021 年 4 月 19 日或之后创建的专用链接设置中(或从 2021 年 6 月起适用于 Azure 主权云)。
验证通过 AMPLS 的通信
- 若要验证你的请求现在是否是通过专用终结点发送的,可使用浏览器或网络跟踪工具来查看它们。 例如,尝试查询工作区或应用程序时,请确保将请求发送到映射到 API 终结点的专用 IP。 在此示例中,它是 172.17.0.9。
注释
某些浏览器可能会使用其他 DNS 设置。 有关详细信息,请参阅 浏览器 DNS 设置。 请确保 DNS 设置已生效。
若要确保工作区或组件未收到来自公用网络(未通过 AMPLS 连接)的请求,请将资源的公共引入和查询标志设置为 “否” ,如 配置专用终结点的访问模式中所述。
在您受保护网络中的客户端上,通过
nslookup访问您 DNS 区域中列出的任何端点。 它应该由 DNS 服务器解析为与之对应的私有 IP,而不是默认使用的公共 IP。
在本地测试
若要在本地测试专用链接而不影响网络上的其他客户端,请确保在创建专用终结点时不要更新 DNS。 相反,请编辑计算机上的主机文件,以便它将请求发送到专用链接终结点:
- 设置专用链接,但在连接到专用终结点时,选择不与 DNS 自动集成。
- 在计算机的主机文件上配置相关终结点。
其他配置
网络子网大小
支持的最小 IPv4 子网为 /27(使用 CIDR 子网定义)。 尽管Azure虚拟网络可以小到 /29,但Azure会保留五个IP地址。 Azure Monitor 专用链接设置需要至少再增加 11 个 IP 地址,即使只是连接到单个工作区。 查看终结点的 DNS 设置,以获取 Azure Monitor 专用链接终结点列表。
Azure门户
要使用 Azure Monitor 门户体验来管理 Application Insights、Log Analytics 和 DCE,需确保 Azure 门户和 Azure Monitor 扩展在专用网络中对外开放访问权限。 将 AzureActiveDirectory、 AzureResourceManager、 AzureFrontDoor.FirstParty 和 AzureFrontdoor.Frontend服务标记 添加到网络安全组。
程序化访问
若要在专用网络上使用 Azure Monitor 的 REST API、Azure CLI 或 PowerShell,请将 service tagsAzureActiveDirectory 和 AzureResourceManager 添加到防火墙中。
浏览器 DNS 设置
如果要通过专用链接连接到Azure Monitor资源,则发往这些资源的流量必须通过网络上配置的专用终结点。 若要启用专用终结点,请更新 DNS 设置,如 连接到专用终结点中所述。 一些浏览器使用自己的 DNS 设置,而不是你设置的 DNS 设置。 浏览器可能会尝试连接到 Azure Monitor 的公共端点,并完全绕过专用连接。 验证你的浏览器设置不会替代或缓存旧的 DNS 设置。
浏览器本地网络访问设置
通过 Azure Monitor 专有链接范围 (AMPLS) 在 Azure 门户中访问 Azure Monitor 资源时,门户可能需要将请求发送到私有 IP 地址。 基于 Chromium 的浏览器(包括 Microsoft Edge 和 Google Chrome)可以阻止这些请求,除非用户或组织允许本地网络访问。
如果阻止了这些请求,门户中的某些 Azure Monitor 功能(例如,日志和应用分析调查视图)则可能会显示“无法连接”或类似的错误。
允许本地网络访问
如果看到浏览器提示
当浏览器显示请求连接到本地网络的提示时,请选择 “允许”。 浏览器通常会记住站点的此选项。如果未看到提示(Microsoft Edge)
在 Edge 中,可以在站点权限中允许Azure门户:
设置>隐私、搜索和服务>网站权限>所有权限>本地网络访问。企业管理的环境
管理员可以使用 Edge 策略LocalNetworkAccessAllowedForUrls将 Azure 门户列入允许名单。示例值(公共Azure):
https://portal.azure.cn如果使用其他Azure云,请使用相应的门户 URL。
注释
Azure Monitor Private Link Scope (AMPLS) 将 Azure Monitor 终结点解析为专用 IP 地址,以便门户数据查询保持在您的专用网络中。 基于 Chromium 的浏览器将来自公共网站(Azure 门户)到私有网络地址的请求视为敏感操作,并且可以阻止这些请求,除非允许本地网络访问。 允许此访问在需要连接到专用终结点时,还原完整的门户功能体验,例如日志和 Application Insights 调查视图。 有关详细信息,请参阅 本地网络访问的新权限提示。
查询限制:externaldata 运算符
- 外部数据运算符不支持通过专用链接,因为它从存储帐户读取数据,但不能保证以私密方式访问存储。
后续步骤
- 了解新的 数据收集终结点。