Utiliser Azure Private Link pour connecter des réseaux à Azure Monitor

Avec Azure Private Link, vous pouvez lier de manière sécurisée les ressources de la plateforme Azure en tant que service (PAA) à votre réseau virtuel en utilisant des points de terminaison privés. Azure Monitor est une constellation de différents services interconnectés qui fonctionnent ensemble pour surveiller vos charges de travail. Une liaison privée Azure Monitor connecte un point de terminaison privé à un ensemble de ressources Azure Monitor pour définir les limites de votre réseau de surveillance. Cet ensemble est appelé étendue de liaison privée Azure Monitor (Azure Monitor Private Link Scope, AMPLS).

Notes

Les liaisons privées Azure Monitor sont structurées d’une autre manière que des liaisons privées vers d’autres services que vous pouvez utiliser. Au lieu de créer plusieurs liaisons privées, une pour chaque ressource à laquelle le réseau virtuel se connecte, Azure Monitor utilise une connexion de liaison privée unique, du réseau virtuel à une Étendue de liaison privée Azure Monitor (AMPLS). L’AMPLS est l’ensemble des ressources Azure Monitor auxquelles le réseau virtuel se connecte via une liaison privée.

Avantages

Grâce à Azure Private Link, vous pouvez :

  • Connectez-vous de manière privée à Azure Monitor sans ouvrir d’accès au réseau public.
  • Vérifiez que vos données de surveillance sont accessibles uniquement via des réseaux privés autorisés.
  • Empêchez l’exfiltration de données à partir de vos réseaux privés en définissant les ressources Azure Monitor spécifiques qui se connectent via votre point de terminaison privé.
  • Connectez en toute sécurité votre réseau local privé à Azure Monitor à l’aide d’Azure ExpressRoute et Private Link.
  • Conservez tout le trafic au sein du réseau principal Azure.

Pour plus d’informations, consultez Principaux avantages de Private Link.

Fonctionnement : principes essentiels

Une liaison privée Azure Monitor connecte un point de terminaison privé à un ensemble de ressources Azure Monitor composé d’espaces de travail Log Analytics et de ressources Application Insights. Cet ensemble est appelé « étendue de liaison privée Azure Monitor » (AMPLS, Azure Monitor Private Link Scope).

Diagramme montrant la topologie de ressources de base.

Un AMPLS :

  • Utilise des adresses IP privées : le point de terminaison privé de votre réseau virtuel lui permet d’atteindre des points de terminaison Azure Monitor par le biais d’adresses IP privées à partir du pool de votre réseau, au lieu d’utiliser les adresses IP publiques de ces points de terminaison. Pour cette raison, vous pouvez continuer à utiliser vos ressources Azure Monitor sans ouvrir votre réseau virtuel au trafic sortant non requis.
  • S’exécute sur le réseau principal Azure : le trafic du point de terminaison privé vers vos ressources Azure Monitor passe par le réseau principal Azure et n’est pas acheminé vers des réseaux publics.
  • Contrôle les ressources Azure Monitor qui peuvent être atteintes : configurez votre AMPLS sur votre mode d’accès préféré. Vous pouvez autoriser le trafic uniquement vers des ressources Private Link ou vers des ressources Private Link et non-Private-Link (ressources en dehors de l’étendue AMPLS).
  • Contrôle l’accès du réseau à vos ressources Azure Monitor : configurez chacun de vos espaces de travail ou composants afin d’accepter ou de bloquer le trafic provenant de réseaux publics. Vous pouvez appliquer des paramètres différents pour les demandes d’ingestion et de requête.

Quand vous configurez une connexion de liaison privée, vos zones DNS mappent des points de terminaison Azure Monitor à des adresses IP privées pour envoyer le trafic via la liaison privée. Azure Monitor utilise des points de terminaison propres aux ressources et des points de terminaison globaux/régionaux partagés pour atteindre les espaces de travail et les composants de votre étendue AMPLS.

Avertissement

Comme Azure Monitor utilise des points de terminaison partagés (c’est-à-dire des points de terminaison qui ne sont pas propres aux ressources), la configuration d’une liaison privée, même pour une ressource unique, modifie la configuration DNS affectant le trafic vers toutes les ressources. En d’autres termes, le trafic vers tous les espaces de travail ou composants est affecté par une simple configuration de liaison privée.

L’utilisation de points de terminaison partagés signifie également que vous devez utiliser une seule étendue AMPLS pour tous les réseaux qui partagent le même DNS. La création de plusieurs ressources d’étendue de liaison privée Azure Monitor (AMPLS) entraînera le remplacement des zones DNS Azure Monitor entre elles et de bloquer des environnements existants. Pour en savoir plus, consultez Planifier selon la topologie de réseau.

Points de terminaison globaux et régionaux partagés

Lors vous configurez Private Link, même pour une ressource unique, le trafic vers les points de terminaison suivants est envoyé via les adresses IP privées allouées :

  • Tous les points de terminaison Application Insights :les points de terminaison qui gèrent l’ingestion, les métriques en temps réel, Profiler et le débogueur vers des points de terminaison Application Insights sont globaux.
  • Point de terminaison de requête : le point de terminaison qui gère les requêtes pour Application Insights et Log Analytics est global.

Important

La création d’une liaison privée affecte non seulement le trafic vers toutes les ressources de surveillance, mais également les ressources figurant dans votre étendue AMPLS. En réalité, toutes les demandes de requête et d’ingestion adressées aux composants Application Insights passeront par les adresses IP privées. Cela ne signifie pas que la validation de la liaison privée s’applique à toutes ces requêtes.

Les ressources non ajoutées à l’étendue AMPLS ne peuvent être atteintes que si le mode d’accès à l’étendue AMPLS est Ouvert et que la ressource cible accepte le trafic à partir des réseaux publics. Lorsque vous utilisez l’adresse IP privée, les validations de liaison privée ne s’appliquent pas aux ressources qui ne figurent pas dans l’étendue AMPLS. Pour en savoir plus, consultez Modes d’accès Private Link.

Les paramètres Private Link pour Prometheus managé et l’ingestion de données dans votre espace de travail Azure Monitor sont configurés sur les points de terminaison de collecte de données pour la ressource référencée. Les paramètres d’interrogation de votre espace de travail Azure Monitor sur Private Link sont effectués directement sur l’espace de travail Azure Monitor et ne sont pas gérés par AMPLS.

Points de terminaison propres aux ressources

Les points de terminaison Log Analytics sont spécifiques à l’espace de travail, à l’exception du point de terminaison de requête discuté précédemment. Par conséquent, l’ajout d’un espace de travail Log Analytics spécifique à l’étendue AMPLS enverra des demandes d’ingestion à cet espace de travail via la liaison privée. L’ingestion vers d’autres espaces de travail continuera d’utiliser les points de terminaison publics.

Les points de terminaison de collecte de données sont également spécifiques à la ressource. Vous pouvez les utiliser afin de configurer de manière unique les paramètres d’ingestion pour collecter les données de télémétrie du système d’exploitation invité à partir de vos machines (ou d’un ensemble de machines) lorsque vous utilisez le nouvel Agent Azure Monitor et les nouvelles règles de collecte de données. La configuration d’un point de terminaison de collecte de données pour un ensemble de machines n’affecte pas l’ingestion de la télémétrie des invités à partir d’autres machines qui utilisent le nouvel agent.

Important

À compter du 1er décembre 2021, la configuration DNS des points de terminaison privés utilise le mécanisme de compression de point de terminaison, qui alloue une adresse IP privée unique pour tous les espaces de travail de la même région. Il permet d’améliorer l’échelle prise en charge (jusqu’à 300 espaces de travail et 1 000 composants par étendue AMPLS) et de réduire le nombre total d’adresses IP prises à partir du pool d’adresses IP du réseau.

Comme expliqué dans la section Azure Monitor Private Link s’appuie sur votre DNS, une seule ressource d’étendue AMPLS doit être créée pour tous les réseaux partageant le même DNS. Par conséquent, les organisations qui utilisent un seul DNS global ou régional disposent d’une liaison privée unique pour gérer le trafic vers toutes les ressources Azure Monitor, dans l’ensemble des réseaux globaux ou régionaux.

Pour les liaisons privées créés avant septembre 2021, cela signifie ce qui suit :

  • L’ingestion de journaux fonctionne uniquement pour les ressources dans l’étendue de liaison privée Azure Monitor. L’ingestion de toutes les autres ressources est refusée (sur tous les réseaux qui partagent le même DNS), quel que soit l’abonnement ou le locataire.
  • Les requêtes ont un comportement plus ouvert qui permet aux demandes de requête d’atteindre même des ressources ne figurant pas dans l’étendue AMPLS. L’intention était ici d’éviter de bloquer les requêtes des clients aux ressources ne figurant pas dans l’étendue AMPLS et d’autoriser les requêtes centrées sur des ressources à retourner le jeu de résultats complet.

Ce comportement s’est avéré trop restrictif pour certains clients, car il bloque l’ingestion des ressources qui ne se trouve pas dans l’étendue AMPLS. Mais il était trop permissif pour d’autres, car il permettait d’interroger des ressources qui ne se trouve pas dans l’étendue AMPLS.

À compter de septembre 2021, les liaisons privées ont de nouveaux paramètres obligatoires d’étendue AMPLS qui définissent explicitement la manière dont les liaisons privées doivent affecter le trafic réseau. Lorsque vous créez une ressource d’étendue AMPLS, vous devez désormais sélectionner les modes d’accès que vous souhaitez pour l’ingestion et les requêtes séparément :

Bien que les demandes de requête Log Analytics soient affectées par le paramètre de mode d’accès AMPLS, les demandes d’ingestion Log Analytics utilisent des points de terminaison spécifiques aux ressources et ne sont pas contrôlées par le mode d’accès AMPLS. Pour veiller à ce que les requêtes d’ingestion de Log Analytics ne puissent pas accéder aux espaces de travail en dehors de l’AMPLS, configurez le pare-feu du réseau pour bloquer le trafic vers les points de terminaison publics, indépendamment des modes d’accès de l’AMPLS.

Notes

Si vous avez configuré Log Analytics avec Private Link en définissant initialement les règles de groupe de sécurité réseau pour autoriser le trafic sortant par ServiceTag:AzureMonitor, les machines virtuelles connectées envoient les journaux via un point de terminaison public. Par la suite, si vous changez les règles de manière à refuser le trafic sortant par ServiceTag:AzureMonitor, les machines virtuelles connectées continueront d’envoyer des journaux jusqu’à ce que vous redémarriez pas machines virtuelles ou que vous mettiez fin aux sessions. Pour veiller à ce que la configuration souhaitée prenne effet immédiatement, redémarrez les machines virtuelles connectées.

Étapes suivantes