Azure Private Link允许使用专用终结点安全地将Azure数据平台即服务(PaaS)资源链接到虚拟网络(VNet)。 本文介绍如何将专用链接用于 Azure Monitor 资源。
优点
Azure Monitor与Private Link中描述的其他服务共享相同的优势。
- 私下连接到Azure Monitor资源,包括Log Analytics工作区和Azure Monitor工作区,而无需允许公共网络访问。 确保仅可通过授权的专用网络访问监视数据。
- 通过定义通过专用终结点连接的特定Azure Monitor资源,防止从专用网络外泄数据。
- 使用 VPN 或 ExpressRoutes 的专用对等互连,安全地将连接到 VNet 的本地网络与 Azure Monitor 连接。
- 将所有监视流量保留在Azure主干网络内。
基本概念
Azure Monitor的专用链接的结构与其他服务的专用链接不同。 Azure Monitor 不再为每个资源创建私有链接,而是通过虚拟网络的私有终结点使用单一的私有链接连接到 Azure Monitor 私有链接范围(AMPLS)。 AMPLS 是一组Azure Monitor资源,用于定义监视网络的边界。
专用终结点在 VNet 地址空间中使用单独的 IP 地址,允许从 VNet 私下访问 AMPLS 资源,而无需使用公共 IP。 从 VNet 上的客户端到Azure Monitor资源的流量会遍历Azure主干,从而消除对公共 Internet 的暴露。 VNet 中的应用程序可以通过专用终结点无缝连接到 AMPLS 中的资源,使用与其他情况下相同的连接字符串和授权机制。
共享的全局和区域终结点
创建 AMPLS 时,DNS 区域会将Azure Monitor终结点映射到专用 IP,以通过专用链接发送流量。 某些Azure Monitor资源使用特定于资源的终结点,而另一些资源则使用共享终结点。 资源还可以对一个函数使用特定于资源的终结点,但对另一个函数使用共享终结点。 你需要了解每个资源之间的区别以及每个Azure Monitor资源如何使用它们来正确配置专用链接和 AMPLS 中的资源。
特定于资源的终结点
特定于资源的终结点对特定资源是唯一的,必须单独配置。 将特定于资源的终端添加到 AMPLS 后,仅允许通过专用链接访问该特定资源。
- Log Analytics工作区引入
- 数据收集终结点
共享终结点
共享终结点在同一类型的多个资源之间共享。 将单个资源添加到 AMPLS 使用共享终结点将更改 DNS 配置,该配置会影响流向使用共享终结点的所有资源的流量。
- Log Analytics工作区查询
- 应用程序洞察数据摄取
例如,Log Analytics工作区使用共享终结点进行日志查询。 将一个 Log Analytics 工作区添加到 AMPLS 时,VNet 的 DNS 将被更新,以通过专用链接访问共享终结点。 由于所有Log Analytics工作区都共享该终结点,对来自该 VNet 的所有Log Analytics工作区的查询将使用专用 IP。
应为所有共享同一 DNS 的网络使用单个 AMPLS。 创建多个 AMPLS 资源将导致Azure Monitor DNS 区域相互替代并中断现有环境。 有关更多详细信息和示例,请参阅 按网络拓扑规划 。
AMPLS 资源
下表中的资源可以添加到 AMPLS。
| 资源 | 说明 |
|---|---|
| Log Analytics工作区 | 支持使用 KQL 引入日志数据和查询。 将Log Analytics工作区添加到 AMPLS 以启用引入和查询。 引入使用特定于资源的终结点,而查询使用共享终结点。 |
| 数据收集终结点 (DCE) | Azure资源,这些资源定义与Azure Monitor中数据收集、配置和引入相关的唯一终结点集。 DCE 使用特定于资源的引入。 为一组客户端配置 DCE 不会影响同一 VNet 中其他客户端的遥测接收。 将 DCE 添加到 AMPLS 以支持以下内容: - Azure Monitor 工作区的数据摄取。 - 检索使用 Azure Monitor 代理(AMA)(例如虚拟机和 Kubernetes 群集)的客户端的配置。 |
| Application Insights | 从受监视的应用程序引入数据,包括实时指标、.NET Profiler 和调试器。 处理 Application Insights 引入的终结点是全局性的。 |
注释
Azure Monitor 工作区
Azure Monitor工作区支持使用 PromQL 引入指标数据和查询。 虽然可以使用专用链接访问Azure Monitor工作区,但它们不会添加到 AMPLS。 创建Azure Monitor工作区时,会自动为其创建 DCE。 需要将此 DCE 添加到 AMPLS 以支持工作区的数据引入。 若要支持查询,需要为工作区创建托管专用终结点,并将其添加到 AMPLS。
访问模式
AMPLS 的访问模式允许你控制专用链接如何影响网络流量。 每个 AMPLS 都有单独的访问模式用于引入和查询,可以为连接到同一 AMPLS 的每个 VNet 选择不同的访问模式。 下表描述了每个访问模式。 有关如何为环境选择正确的访问模式的详细信息,请参阅 Design Azure Monitor专用链接配置。
| 访问模式 | 说明 |
|---|---|
| 开放 | 允许连接的 VNet 同时访问专用链接资源和非 AMPLS 中的资源。 通过专用终结点验证和发送到专用链接资源的流量,但无法阻止数据外泄,因为流量可以访问 AMPLS 外部的资源。 此模式允许逐步加入过程,将通过专用链接访问某些资源与对其他资源的公共访问结合在一起。 |
| 仅限专用 | 允许连接的 VNet 仅访问 AMPLS 中的专用链接资源。 这是最安全的选项,可以通过阻止流出 AMPLS 并到达 Azure Monitor 资源的流量,从而防止数据外泄。 只有在将所有 Azure Monitor 资源添加到 AMPLS 之后,才应该进行选择。 流向其他资源的流量将在网络、订阅和租户之间被阻止。 |
定价
有关定价详细信息,请参阅 Azure Private Link 定价。
后续步骤
- 设置Azure Private Link。
- 了解如何配置专用链接。