使用 Azure 专用链接将网络连接到 Azure Monitor

通过 Azure 专用链接,可以使用专用终结点将 Azure 平台即服务 (PaaS) 资源安全地链接到虚拟网络。 Azure Monitor 是不同互连服务的集合,它们相互协同,共同监视你的工作负载。 Azure Monitor 专用链接将专用终结点连接到一组 Azure Monitor 资源,以定义监视网络的边界。 该集合称为 Azure Monitor 专用链接范围 (AMPLS)。

注意

Azure Monitor 专用链接的结构不同于你可能使用的其他服务的专用链接。 Azure Monitor 使用从虚拟网络到 AMPLS 的单个专用链接连接,而不是创建多个专用链接(针对虚拟网络连接到的每个资源创建一个专用链接)。 AMPLS 是虚拟网络通过专用链接连接到的所有 Azure Monitor 资源的集合。

优势

借助专用链接,你可以:

  • 以专用方式连接到 Azure Monitor,而无需开放任何公共网络访问权限。
  • 确保仅可通过授权的专用网络访问监视数据。
  • 通过定义通过专用终结点连接的特定 Azure Monitor 资源,防止专用网络出现数据泄露。
  • 使用 Azure ExpressRoute 和专用链接将专用本地网络安全地连接到 Azure Monitor。
  • 将所有流量保留在 Azure 主干网络中。

有关详细信息,请参阅专用链接的主要优势

工作方式:主要原理

Azure Monitor 专用链接可将专用终结点连接到由 Log Analytics 工作区和 Application Insights 资源构成的一组 Azure Monitor 资源。 该集合称为 Azure Monitor 专用链接范围。

Diagram that shows basic resource topology.

AMPLS:

  • 使用专用 IP:借助虚拟网络上的专用终结点,可以通过网络池中的专用 IP 而不是终结点的公共 IP 来访问 Azure Monitor 终结点。 因此,可以继续使用 Azure Monitor 资源,而无需向不需要的出站流量开放虚拟网络。
  • 在 Azure 主干网上运行:从专用终结点到 Azure Monitor 资源的流量将通过 Microsoft Azure 主干网运行,而不会路由到公用网络。
  • 控制可以访问哪些 Azure Monitor 资源:将 AMPLS 配置为首选访问模式。 可以仅允许流量流向专用链接资源,也可以允许其流向专用链接和非专用链接资源(AMPLS 外部的资源)。
  • 控制网络对 Azure Monitor 资源的访问:配置每个工作区或组件,以接受或阻止来自公共网络的流量。 可以对引入和查询请求应用不同的设置。

设置专用链接连接时,DNS 区域会将 Azure Monitor 终结点映射到专用 IP,以通过专用链接发送流量。 Azure Monitor 同时使用特定于资源的终结点和共享的全局/区域终结点来访问 AMPLS 中的工作区和组件。

警告

由于 Azure Monitor 使用某些共享终结点(这意味着不是特定于资源的终结点),因此即使为单个资源设置专用链接也会更改 DNS 配置,从而影响发往所有资源的流量。 换句话说,发往所有工作区或组件的流量可能会受到单个专用链接设置的影响。

使用共享终结点也意味着应为共享同一 DNS 的所有网络使用单个 AMPLS。 创建多个 AMPLS 资源将导致 Azure Monitor DNS 区域相互替代,并中断现有环境。 要了解详细信息,请参阅按网络拓扑制定计划

共享的全局和区域终结点

即使已为单个资源配置专用链接,发往以下终结点的流量仍将通过分配的专用 IP 发送:

  • 所有 Application Insights 终结点:用于处理 Application Insights 终结点的数据引入、实时指标、探查器和调试器的终结点是全局的。
  • 查询终结点:用于处理对 Application Insights 和 Log Analytics 资源的查询的终结点是全局的。

重要

创建专用链接会影响发往所有监视资源(而不仅是 AMPLS 中的资源)的流量。 实际上,它将导致 Application Insights 组件的所有查询请求和数据引入通过专用 IP 进行。 这并不意味着专用链接验证适用于所有这些请求。

仅当 AMPLS 访问模式为“打开”并且目标资源接受来自公共网络的流量时,才能访问未添加到 AMPLS 的资源。 使用专用 IP 时,专用链接验证不适用于不在 AMPLS 中的资源。 要了解详细信息,请参阅专用链接访问模式

在引用资源的数据收集终结点上配置托管 Prometheus 和将数据引入 Azure Monitor 工作区的专用链接设置。 用于通过专用链接查询 Azure Monitor 工作区的设置直接在 Azure Monitor 工作区上进行,不会通过 AMPLS 进行处理。

特定于资源的终结点

Log Analytics 终结点特定于工作区,但前面讨论的查询终结点除外。 因此,将特定 Log Analytics 工作区添加到 AMPLS 将会通过专用链接向此工作区发送引入请求。 其他工作区的数据引入将继续使用公共终结点。

数据收集终结点 也是特定于资源的。 使用新的 Azure Monitor 代理数据收集规则时,可以使用它们来唯一配置引入设置,以便从计算机(或计算机集)收集来宾 OS 遥测数据。 为一组计算机配置数据收集终结点不会影响从使用新代理的其他计算机引入来宾遥测数据。

重要

从 2021 年 12 月 1 日起,专用终结点 DNS 配置将使用终结点压缩机制,为同一区域中的所有工作区分配单个专用 IP 地址。 这将提高支持的规模(每个 AMPLS 最多可包含 300 个工作区和 1000 个组件),并减少从网络 IP 池中获取的 IP 总数。

正如 Azure Monitor 专用链接依赖于 DNS中所述,对于共享同一 DNS 的所有网络,只应创建单个 AMPLS 资源。 因此,使用单个全局或区域 DNS 的组织具有单个专用链接来管理发往所有全局或区域网络中全部 Azure Monitor 资源的流量。

对于 2021 年 9 月之前创建的专用链接,这意味着:

  • 日志引入仅适用于 AMPLS 中的资源。 无论订阅或租户如何,都拒绝引入所有其他资源(跨共享同一 DNS 的所有网络)。
  • 查询具有更开放的行为,甚至允许查询请求访问不在 AMPLS 中的资源。 其目的是避免中断对不在 AMPLS 中的资源的客户查询,并允许以资源为中心的查询返回完整的结果集。

事实证明,对于某些客户来说,此行为过于严格,因为它会中断对不在 AMPLS 中的资源的引入。 但对于其他人来说又过于宽松,因为它允许查询不在 AMPLS 中的资源。

从 2021 年 9 月起,专用链接已具有新的强制性 AMPLS 设置,明确设置了专用链接应如何影响网络流量。 现在,创建新的 AMPLS 资源时,需要分别为引入和查询选择所需的访问模式:

  • 仅专用模式:仅允许流量流向专用链接资源。
  • 公开模式:使用专用链接与 AMPLS 中的资源进行通信,但也允许流量继续发往其他资源。 要了解详细信息,请参阅控制专用链接如何应用于网络

虽然 Log Analytics 查询请求会受到 AMPLS 访问模式设置的影响,但 Log Analytics 引入请求使用特定于资源的终结点,因此不受 AMPLS 访问模式控制。 要确保 Log Analytics 引入请求无法访问 AMPLS 外部的工作区,请将网络防火墙设置为阻止流量发送到公共终结点,而无论 AMPLS 访问模式如何。

注意

如果通过最初设置网络安全组规则以使用 ServiceTag:AzureMonitor 允许出站流量来配置带有专用链接的 Log Analytics,则连接的 VM 将通过公共终结点发送日志。 稍后,如果更改规则以通过 ServiceTag:AzureMonitor 拒绝出站流量,则在重新启动 VM 或切断对话之前,连接的 VM 仍会继续发送日志。 要确保所需配置立即生效,请重新启动已连接的 VM。

后续步骤