Privátní připojení ke zdroji dat
V této příručce se dozvíte, jak připojit instanci Azure Managed Grafana ke zdroji dat pomocí spravovaného privátního koncového bodu. Spravované privátní koncové body Grafany spravované službou Azure Jsou koncové body vytvořené ve spravované virtuální síti, kterou používá služba Azure Managed Grafana. Vytvoří privátní propojení z této sítě s vašimi zdroji dat Azure. Azure Managed Grafana nastavuje a spravuje tyto privátní koncové body vaším jménem. Spravované privátní koncové body můžete vytvořit ze spravované grafany Azure pro přístup k jiným spravovaným službám Azure (například k oboru privátního propojení služby Azure Monitor nebo pracovnímu prostoru Azure Monitor) a k vlastním zdrojům dat v místním prostředí (například připojení k hostované službě Prometheus za službou private link).
Když používáte spravované privátní koncové body, provoz mezi vašimi spravovanými zdroji dat Azure a jejími zdroji dat prochází výhradně přes páteřní síť Microsoftu, aniž by procházel internetem. Spravované privátní koncové body chrání před exfiltrací dat. Spravovaný privátní koncový bod používá privátní IP adresu ze spravované virtuální sítě k efektivnímu přenesení pracovního prostoru Azure Managed Grafana do této sítě. Každý spravovaný privátní koncový bod se mapuje na konkrétní prostředek v Azure, nikoli na celou službu. Zákazníci můžou omezit připojení jenom na prostředky schválené jejich organizacemi.
Při vytváření spravovaného privátního koncového bodu v pracovním prostoru Azure Managed Grafana se vytvoří připojení privátního koncového bodu ve stavu Čeká na vyřízení. Spustí se pracovní postup schválení. Vlastník prostředku privátního propojení zodpovídá za schválení nebo odmítnutí nového připojení. Pokud vlastník připojení schválí, vytvoří se privátní propojení. Jinak není privátní propojení nastavené. Azure Managed Grafana zobrazuje aktuální stav připojení. Ke odesílání provozu do prostředku privátního propojení připojeného ke spravovanému privátnímu koncovému bodu je možné použít pouze spravovaný privátní koncový bod ve schváleném stavu.
Spravované privátní koncové body jsou sice bezplatné, ale u zdroje dat se můžou účtovat poplatky spojené s využitím privátního propojení. Další informace najdete v podrobnostech o cenách zdroje dat.
Poznámka:
Spravované privátní koncové body jsou v současné době k dispozici pouze v globální službě Azure.
Poznámka:
Pokud používáte privátní zdroj dat v clusteru AKS, když je služba externalTrafficPolicy
nastavená na místní, služba Azure Private Link musí používat jinou podsíť než podsíť. Pokud je požadovaná stejná podsíť, měla by služba používat cluster externalTrafficPolicy
. Viz Azure poskytovatele cloudových služeb.
Podporované zdroje dat
Spravované privátní koncové body pracují se službami Azure, které podporují privátní propojení. Pomocí nich můžete svůj pracovní prostor Azure Managed Grafana připojit k následujícím úložištům dat Azure přes privátní připojení:
- Azure Cosmos DB pro Mongo DB (pouze pro architekturu jednotek žádostí (RU)
- Azure Cosmos DB for PostgreSQL
- Průzkumník dat Azure
- Obor privátního propojení služby Azure Monitor (například pracovní prostor služby Log Analytics)
- Pracovní prostor Azure Monitoru pro spravovanou službu pro Prometheus
- Spravovaná instance Azure SQL
- Azure SQL Server
- Služby Private Link
- Azure Databricks
- Flexibilní servery Azure Database for PostgreSQL (pouze pro servery s veřejným přístupem)
Požadavky
Pokud chcete postupovat podle kroků v této příručce, musíte mít:
- Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
- Spravovaná instance Grafana Azure na úrovni Standard. Pokud ho ještě nemáte, vytvořte novou instanci.
Vytvoření spravovaného privátního koncového bodu pro pracovní prostor služby Azure Monitor
V pracovním prostoru Azure Managed Grafana můžete vytvořit spravovaný privátní koncový bod pro připojení k podporovanému zdroji dat pomocí privátního propojení.
Na webu Azure Portal přejděte do pracovního prostoru Grafana a pak vyberte Sítě.
Vyberte spravovaný privátní koncový bod a pak vyberte Vytvořit.
V podokně Nový spravovaný privátní koncový bod vyplňte požadované informace pro připojení prostředku.
Vyberte typ prostředku Azure (například Microsoft.Monitor/accounts pro spravovanou službu Azure Monitor pro Prometheus).
Vyberte Vytvořit a přidejte spravovaný prostředek privátního koncového bodu.
Požádejte vlastníka cílového pracovního prostoru služby Azure Monitor o schválení žádosti o připojení.
Poznámka:
Po schválení nového připojení privátního koncového bodu bude veškerý síťový provoz mezi vaším pracovním prostorem Azure Managed Grafana a vybraným zdrojem dat proudit pouze přes páteřní síť Azure.
Vytvoření spravovaného privátního koncového bodu do služby Azure Private Link
Pokud máte interní zdroj dat pro vaši virtuální síť, například server InfluxDB hostovaný na virtuálním počítači Azure nebo server Loki hostovaný v clusteru AKS, můžete k němu připojit spravovaný Grafana Azure. Nejdřív musíte přidat přístup privátního propojení k ho prostředku pomocí služby Azure Private Link. Přesný postup potřebný k nastavení privátního propojení závisí na typu prostředku Azure. Projděte si dokumentaci k hostitelské službě, kterou máte. Tento článek například popisuje, jak vytvořit službu privátního propojení ve službě Azure Kubernetes Service zadáním objektu služby Kubernetes.
Po nastavení služby private link můžete ve svém pracovním prostoru Grafana vytvořit spravovaný privátní koncový bod, který se připojí k novému privátnímu propojení.
Na webu Azure Portal přejděte k prostředku Grafana a pak vyberte Sítě.
Vyberte spravovaný privátní koncový bod a pak vyberte Vytvořit.
V podokně Nový spravovaný privátní koncový bod vyplňte požadované informace pro připojení prostředku.
Tip
Pole Název domény je volitelné. Pokud zadáte název domény, Azure Managed Grafana zajistí, že se tento název domény přeloží na privátní IP adresu spravovaného privátního koncového bodu v rámci spravované sítě služby Grafana. Tento název domény můžete použít v konfiguraci adresy URL zdroje dat Grafana místo privátní IP adresy. Pokud jste pro úložiště dat v místním prostředí povolili protokol TLS nebo SNI (SNI), budete muset použít název domény.
Vyberte Vytvořit a přidejte spravovaný prostředek privátního koncového bodu.
Požádejte vlastníka cílové služby private link o schválení žádosti o připojení.
Po schválení žádosti o připojení vyberte Aktualizovat , abyste zajistili, že je stav připojení Schváleno a zobrazí se privátní IP adresa.
Poznámka:
Krok aktualizace nejde přeskočit, protože aktualizace aktivuje operaci synchronizace sítě spravovaným Grafana v Azure. Jakmile se zobrazí nové připojení spravovaného privátního koncového bodu, veškerý síťový provoz mezi vaším pracovním prostorem Azure Managed Grafana a vybraným zdrojem dat bude proudit pouze přes páteřní síť Azure.
Další kroky
V tomto návodu jste zjistili, jak nakonfigurovat privátní přístup mezi pracovním prostorem Azure Managed Grafana a zdrojem dat. Informace o nastavení privátního přístupu od uživatelů do pracovního prostoru Azure Managed Grafana najdete v tématu Nastavení privátního přístupu.