Uso de Private Link para conectar redes a Azure Monitor

Con Azure Private Link puede vincular de forma segura los recursos de plataforma como servicio (PaaS) de Azure a una red virtual mediante puntos de conexión privados. Azure Monitor es una constelación de diferentes servicios interconectados que funcionan conjuntamente para supervisar las cargas de trabajo. Private Link de Azure Monitor conecta un punto de conexión privado a un conjunto de recursos de Azure Monitor para definir los límites de la red de supervisión. A esto se denomina ámbito de Private Link de Azure Monitor (AMPLS).

Nota

Las conexiones de Private Link de Azure Monitor se estructuran de forma diferente a las conexiones de vínculos privados de otros servicios que puede usar. En lugar de crear varios vínculos privados, uno para cada recurso al que se conecta la red virtual, Azure Monitor usa una única conexión de vínculo privado, desde la red virtual a un AMPLS. AMPLS es el conjunto de todos los recursos de Azure Monitor a los que se conecta la red virtual a través de un vínculo privado.

Ventajas

Con Private Link puede:

  • Conectarse de forma privada a Azure Monitor sin necesidad de abrir ningún acceso a la red pública.
  • Asegurarse de que solo se accede a los datos de supervisión a través de redes privadas autorizadas.
  • Impedir la filtración de datos de las redes privadas mediante la definición de recursos de Azure Monitor específicos que se conectan a través del punto de conexión privado.
  • Conectar de forma segura la red local privada a Azure Monitor mediante Azure ExpressRoute y Private Link.
  • Mantener todo el tráfico dentro de la red troncal de Azure.

Para más información, consulte Ventajas principales de Private Link.

Funcionamiento: principios principales

Un vínculo privado de Azure Monitor conecta un punto de conexión privado a un conjunto de recursos de Azure Monitor formado por áreas de trabajo de Log Analytics y recursos de Application Insights. Ese conjunto se denomina un ámbito de Private Link de Azure Monitor.

Diagrama que muestra la topología de recursos básica.

Un AMPLS:

  • Uso de IP privadas: el punto de conexión privado de la red virtual le permite alcanzar los puntos de conexión de Azure Monitor a través de direcciones IP privadas desde el grupo de la red, en lugar de usar las direcciones IP públicas de estos puntos de conexión. Por este motivo, puede seguir usando los recursos de Azure Monitor sin abrir la red virtual para el tráfico saliente no necesario.
  • Ejecución en la red troncal de Azure: el tráfico del punto de conexión privado a los recursos de Azure Monitor pasará por la red troncal de Azure, no se enrutará hacia las redes públicas.
  • Controla a qué recursos de Azure Monitor se puede acceder: configure AMPLS en el modo de acceso preferido. Puede permitir el tráfico solo a los recursos de Private Link o tanto a los recursos de Private Link como a los que no lo son (recursos fuera de AMPLS).
  • Controlar el acceso de la red a los recursos de Azure Monitor: configure cada una de las áreas de trabajo o componentes para que acepten o bloqueen el tráfico de redes públicas. Puede aplicar diferentes configuraciones para las solicitudes de ingesta y de consulta.

Al configurar una conexión de vínculo privado, las zonas DNS asignan puntos de conexión de Azure Monitor a IP privadas, con el fin de enviar el tráfico a través del vínculo privado. Azure Monitor usa los puntos de conexión específicos del recurso y los puntos de conexión globales o regionales compartidos para acceder a las áreas de trabajo y los componentes de AMPLS.

Advertencia

Dado que Azure Monitor usa algunos puntos de conexión compartidos (es decir, puntos de conexión que no son específicos del recurso), la configuración de una instancia de vínculo privado incluso para un recurso individual cambia la configuración de DNS que afecta al tráfico que llega a todos los recursos. En otras palabras, el tráfico a todas las áreas de trabajo o componentes resulta afectado por la configuración de una única instancia de vínculo privado.

El uso de puntos de conexión compartidos también significa que se debe utilizar un único AMPLS para todas las redes que comparten el mismo DNS. La creación de varios recursos de AMPLS hará que las zonas DNS de Azure Monitor se invaliden entre sí e interrumpan los entornos existentes. Para más información, consulte Planeación por topología de red.

Puntos de conexión globales y regionales compartidos

Al configurar Private Link, incluso para un único recurso, el tráfico a los puntos de conexión siguientes se enviará a través de las IP privadas asignadas:

  • Todos los puntos de conexión de Application Insights: los puntos de conexión que controlan la ingesta, las métricas en directo, el generador de perfiles y el depurador en los puntos de conexión de Application Insights son globales.
  • Punto de conexión de consulta: el punto de conexión que controla las consultas a los recursos de Application Insights y Log Analytics es global.

Importante

La creación de una instancia de vínculo privado afecta al tráfico a todos los recursos de supervisión, no solo a los recursos de su AMPLS. De hecho, hará que todas las solicitudes de consulta, así como la ingesta en los componentes de Application Insights pasen por IP privadas. No significa que la validación del vínculo privado se aplique a todas estas solicitudes.

Solo se puede acceder a los recursos que no se agregan a AMPLS si el modo de acceso de AMPLS es Abierto y el recurso de destino acepta tráfico de redes públicas. Al usar la IP privada, las validaciones de Private Link no se aplican a los recursos que no estén en AMPLS. Para más información, consulte Modos de acceso de Private Link.

La configuración de Private Link para Prometheus administrado y la ingesta de datos en el área de trabajo de Azure Monitor se establece en los puntos de conexión de recopilación de datos para el recurso al que se hace referencia. La configuración para consultar el área de trabajo de Azure Monitor a través de Private Link se realiza directamente en el área de trabajo de Azure Monitor y no se controla a través de AMPLS.

Puntos de conexión específicos del recurso

Los puntos de conexión de Log Analytics son específicos del área de trabajo, excepto en el caso del punto de conexión de consulta mencionado anteriormente. En consecuencia, al agregar un área de trabajo de Log Analytics específica a AMPLS, se enviarán solicitudes de ingesta a esta área de trabajo a través del vínculo privado. La ingesta en otras áreas de trabajo seguirá usando los puntos de conexión públicos.

Los puntos de conexión de recopilación de datos también son específicos del recurso. Puede usarlos para configurar de forma única las opciones de ingesta para recopilar datos de telemetría del sistema operativo invitado de sus máquinas (o conjunto de máquinas) al usar las nuevas reglas de recopilación de datos y agente de Azure Monitor. La configuración de un punto de conexión de colección de datos para un conjunto de máquinas no afecta a la ingesta de telemetría de invitado proveniente de otras máquinas que usan el agente nuevo.

Importante

A partir del 1 de diciembre de 2021, la configuración de DNS de los puntos de conexión privados usará el mecanismo de compresión de punto de conexión, que asigna una única dirección IP privada para todas las áreas de trabajo de la misma región. Esto mejora la escala admitida (hasta 300 áreas de trabajo y 1,000 componentes por AMPLS) y se reduce el número total de IP tomadas del grupo de IP de la red.

Como se analiza en Los vínculos privados de Azure Monitor se basan en el DNS, solo se debe crear un único recurso AMPLS para todas las redes que comparten el mismo DNS. Como consecuencia, las organizaciones que usan un único DNS global o regional tienen una única instancia de vínculo privado para administrar el tráfico a todos los recursos de Azure Monitor, a través de todas las redes globales o regionales.

En el caso de las instancias de vínculo privado creadas antes de septiembre de 2021, esto significa:

  • La ingesta de registros solo funciona para los recursos de AMPLS. Se rechaza la ingesta a todos los demás recursos (en todas las redes que comparten el mismo DNS), independientemente de la suscripción o el inquilino.
  • Las consultas tienen un comportamiento más abierto, lo que permite que las solicitudes de consulta se comuniquen incluso con recursos que no están en AMPLS. La intención aquí era evitar interrumpir las consultas de clientes a los recursos que no están en AMPLS y permitir que las consultas centradas en recursos devuelvan el conjunto de resultados completo.

Este comportamiento resultó ser demasiado restrictivo para algunos clientes porque interrumpe la ingesta en los recursos que no están en AMPLS. Pero era demasiado permisivo para otros porque permite consultar recursos que no están en AMPLS.

A partir de septiembre de 2021, los vínculos privados tienen una nueva configuración de AMPLS obligatoria que establece explícitamente de qué manera deben afectar al tráfico de red. Al crear un nuevo recurso de AMPLS, ahora es necesario seleccionar los modos de acceso deseados para la ingesta y las consultas por separado:

  • Modo solo privado: permite el tráfico solo a recursos de Private Link.
  • Modo abierto: usa Private Link para comunicarse con los recursos de AMPLS, pero permite que el tráfico continúe a otros recursos. Para obtener más información, consulte Control de cómo se aplican los vínculos privados a las redes.

Aunque las solicitudes de consulta de Log Analytics se ven afectadas por la configuración del modo de acceso AMPLS, las solicitudes de ingesta de Log Analytics usan puntos de conexión específicos del recurso y el modo de acceso AMPLS no las controla. Para asegurarse de que las solicitudes de ingesta de Log Analytics no pueden acceder a áreas de trabajo fuera de AMPLS, establezca el firewall de red para que bloquee el tráfico a los puntos de conexión públicos, independientemente de los modos de acceso de AMPLS.

Nota:

Si ha configurado Log Analytics con Private Link estableciendo inicialmente las reglas del grupo de seguridad de red para permitir el tráfico saliente por ServiceTag:AzureMonitor, las máquinas virtuales conectadas enviarán los registros a través del punto de conexión público. Más adelante, si cambia las reglas para denegar el tráfico saliente por ServiceTag:AzureMonitor, las máquinas virtuales conectadas seguirán enviando registros hasta que reinicie las máquinas virtuales o interrumpa las sesiones. Para asegurarse de que la configuración deseada surta efecto de inmediato, reinicie las máquinas virtuales conectadas.

Pasos siguientes