Conectar-se a uma fonte de dados de forma privada
Neste guia, você aprenderá a conectar sua instância do Azure Managed Grafana a uma fonte de dados usando o Managed Private Endpoint. Os pontos de extremidade privados gerenciados do Azure Managed Grafana são pontos de extremidade criados em uma Rede Virtual Gerenciada que o serviço Azure Managed Grafana usa. Eles estabelecem links privados dessa rede para suas fontes de dados do Azure. O Azure Managed Grafana configura e gerencia esses pontos de extremidade privados em seu nome. Você pode criar pontos de extremidade privados gerenciados do seu Azure Managed Grafana para acessar outros serviços gerenciados do Azure (por exemplo, escopo de link privado do Azure Monitor ou espaço de trabalho do Azure Monitor) e suas próprias fontes de dados autohospedadas (por exemplo, conectando-se ao Prometheus auto-hospedado por trás de um serviço de link privado).
Quando você usa pontos de extremidade privados gerenciados, o tráfego entre o Azure Managed Grafana e suas fontes de dados atravessa exclusivamente a rede de backbone da Microsoft sem passar pela Internet. Os pontos finais privados geridos protegem contra a transferência de dados não autorizada. Um ponto de extremidade privado gerenciado usa um endereço IP privado da sua Rede Virtual Gerenciada para trazer efetivamente seu espaço de trabalho do Azure Managed Grafana para essa rede. Cada ponto de extremidade privado gerenciado é mapeado para um recurso específico no Azure e não para o serviço inteiro. Os clientes podem limitar a conectividade apenas a recursos aprovados por suas organizações.
Uma conexão de ponto de extremidade privada é criada em um estado "Pendente" quando você cria um ponto de extremidade privado gerenciado em seu espaço de trabalho do Azure Managed Grafana. Um fluxo de trabalho de aprovação é iniciado. O proprietário do recurso de link privado é responsável por aprovar ou rejeitar a nova conexão. Se o proprietário aprovar a conexão, o link privado é estabelecido. Caso contrário, o link privado não será configurado. O Azure Managed Grafana mostra o status atual da conexão. Somente um ponto de extremidade privado gerenciado em um estado aprovado pode ser usado para enviar tráfego para o recurso de link privado conectado ao ponto de extremidade privado gerenciado.
Embora os pontos de extremidade privados gerenciados sejam gratuitos, pode haver cobranças associadas ao uso de links privados em uma fonte de dados. Para obter mais informações, consulte os detalhes de preços da fonte de dados.
Nota
Atualmente, os pontos de extremidade privados gerenciados estão disponíveis apenas no Azure Global.
Nota
Se você estiver executando uma fonte de dados privada em um cluster AKS, quando o serviço externalTrafficPolicy
estiver definido como local, o Serviço de Link Privado do Azure precisará usar uma sub-rede diferente da sub-rede do Pod. Se a mesma sub-rede for necessária, o serviço deverá usar Cluster externalTrafficPolicy
. Consulte Cloud Provider Azure.
Supported data sources (Origens de dados suportadas)
Os pontos de extremidade privados gerenciados funcionam com serviços do Azure que oferecem suporte a link privado. Usando eles, você pode conectar seu espaço de trabalho do Azure Managed Grafana aos seguintes armazenamentos de dados do Azure por conectividade privada:
- Azure Cosmos DB para Mongo DB (Somente para arquitetura de Unidade de Solicitação (RU))
- Azure Cosmos DB para PostgreSQL
- Azure Data Explorer
- Escopo do link privado do Azure Monitor (por exemplo, espaço de trabalho do Log Analytics)
- Espaço de trabalho do Azure Monitor, para Serviço Gerenciado para Prometheus
- Instância gerenciada SQL do Azure
- Servidor SQL do Azure
- Serviços de ligação privada
- Azure Databricks
- Banco de Dados do Azure para servidores flexíveis PostgreSQL (somente para servidores que têm rede de acesso público)
Pré-requisitos
Para seguir as etapas deste guia, você deve ter:
- Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
- Uma instância do Azure Managed Grafana na camada Standard. Se você ainda não tiver uma, crie uma nova instância.
Criar um ponto de extremidade privado gerenciado para o espaço de trabalho do Azure Monitor
Você pode criar um ponto de extremidade privado gerenciado em seu espaço de trabalho do Azure Managed Grafana para se conectar a uma fonte de dados com suporte usando um link privado.
No portal do Azure, navegue até seu espaço de trabalho Grafana e selecione Rede.
Selecione Ponto de extremidade privado gerenciado e, em seguida, selecione Criar.
No painel Novo ponto de extremidade privado gerenciado, preencha as informações necessárias para o recurso se conectar.
Selecione um tipo de recurso do Azure (por exemplo, Microsoft.Monitor/accounts for Azure Monitor Managed Service for Prometheus).
Selecione Criar para adicionar o recurso de ponto de extremidade privado gerenciado.
Entre em contato com o proprietário do espaço de trabalho de destino do Azure Monitor para aprovar a solicitação de conexão.
Nota
Depois que a nova conexão de ponto de extremidade privado for aprovada, todo o tráfego de rede entre seu espaço de trabalho do Azure Managed Grafana e a fonte de dados selecionada fluirá somente pela rede de backbone do Azure.
Criar um ponto de extremidade privado gerenciado para o serviço de Link Privado do Azure
Se você tiver uma fonte de dados interna à sua rede virtual, como um servidor InfluxDB hospedado em uma máquina virtual do Azure ou um servidor Loki hospedado dentro do cluster AKS, poderá conectar seu Azure Managed Grafana a ela. Primeiro, você precisa adicionar um acesso de link privado a esse recurso usando o serviço de Link Privado do Azure. As etapas exatas necessárias para configurar um link privado dependem do tipo de recurso do Azure. Consulte a documentação do serviço de hospedagem que você tem. Por exemplo, este artigo descreve como criar um serviço de link privado no Serviço Kubernetes do Azure especificando um objeto de serviço kubernetes.
Depois de configurar o serviço de link privado, você pode criar um ponto de extremidade privado gerenciado em seu espaço de trabalho do Grafana que se conecta ao novo link privado.
No portal do Azure, navegue até o recurso Grafana e selecione Rede.
Selecione Ponto de extremidade privado gerenciado e, em seguida, selecione Criar.
No painel Novo ponto de extremidade privado gerenciado, preencha as informações necessárias para o recurso se conectar.
Gorjeta
O campo Nome de domínio é opcional. Se você especificar um nome de domínio, o Azure Managed Grafana garantirá que esse nome de domínio será resolvido para o IP privado do ponto de extremidade gerenciado dentro da rede gerenciada de serviço do Grafana. Você pode usar esse nome de domínio na configuração de URL da fonte de dados Grafana em vez do endereço IP privado. Ser-lhe-á pedido que utilize o nome de domínio se tiver ativado o TLS ou a Indicação de Nome de Servidor (SNI) para o seu armazenamento de dados auto-alojado.
Selecione Criar para adicionar o recurso de ponto de extremidade privado gerenciado.
Entre em contato com o proprietário do serviço de link privado de destino para aprovar a solicitação de conexão.
Depois que a solicitação de conexão for aprovada, selecione Atualizar para garantir que o status da conexão seja Aprovado e que o endereço IP privado seja mostrado.
Nota
A etapa Atualizar não pode ser ignorada, pois a atualização aciona uma operação de sincronização de rede pelo Azure Managed Grafana. Depois que a nova conexão de ponto de extremidade privado gerenciado for mostrada aprovada, todo o tráfego de rede entre seu espaço de trabalho do Azure Managed Grafana e a fonte de dados selecionada fluirá apenas pela rede de backbone do Azure.
Próximos passos
Neste guia de instruções, você aprendeu como configurar o acesso privado entre um espaço de trabalho do Azure Managed Grafana e uma fonte de dados. Para saber como configurar o acesso privado de seus usuários a um espaço de trabalho do Azure Managed Grafana, consulte Configurar acesso privado.