Использование частных конечных точек для рабочей области Managed Prometheus и Azure Monitor
Используйте частные конечные точки для Управляемого Prometheus и рабочей области Azure Monitor, чтобы разрешить клиентам в виртуальной сети безопасно запрашивать данные по Приватный канал. Частная конечная точка использует отдельный IP-адрес в адресном пространстве виртуальной сети ресурса рабочей области Azure Monitor. Сетевой трафик между клиентами в виртуальной сети и ресурсом рабочей области проходит через виртуальную сеть и приватный канал в магистральной сети Майкрософт, устраняя уязвимость из общедоступного Интернета.
Примечание.
Если вы используете Управляемый Grafana Azure для запроса данных, настройте управляемую частную конечную точку , чтобы убедиться, что запросы из Управляемой Grafana в рабочую область Azure Monitor используют магистральную сеть Майкрософт без прохождения через Интернет.
Использование частных конечных точек для рабочей области позволяет:
- Защитите рабочую область, настроив параметр сети общедоступного доступа, чтобы заблокировать все подключения к конечной точке общедоступного запроса для рабочей области.
- улучшить безопасность в виртуальной сети благодаря возможностям предотвращения кражи данных из виртуальной сети;
- Безопасное подключение к рабочим областям из локальных сетей, которые подключаются к виртуальной сети с помощью VPN или ExpressRoutes с частным пирингом.
Общие сведения
Частная конечная точка — это особый сетевой интерфейс для службы Azure в виртуальной сети. При создании частной конечной точки для рабочей области она обеспечивает безопасное подключение между клиентами в виртуальной сети и рабочей области. Частной конечной точке назначается IP-адрес из диапазона IP-адресов вашей виртуальной сети. Подключение между частной конечной точкой и рабочей областью использует безопасную приватную связь.
Приложения в виртуальной сети могут легко подключаться к рабочей области через частную конечную точку, используя те же строка подключения и механизмы авторизации, которые они будут использовать в противном случае.
Частные конечные точки можно создавать в подсетях, использующих конечные точки служб. Клиенты в подсети затем могут подключаться к рабочей области с помощью частной конечной точки, используя конечные точки службы для доступа к другим службам.
При создании частной конечной точки для рабочей области в виртуальной сети запрос на согласие отправляется для утверждения владельцу учетной записи рабочей области. Если пользователь, запрашивающий создание частной конечной точки, также является владельцем рабочей области, этот запрос согласия автоматически утвержден.
Владельцы рабочих областей Azure Monitor могут управлять запросами согласия и частными конечными точками с помощью вкладки "Частный доступ" на странице "Сеть" рабочей области в портал Azure.
Совет
Если вы хотите ограничить доступ к рабочей области только через частную конечную точку, выберите "Отключить общедоступный доступ и использовать частный доступ" на вкладке "Общедоступный доступ" на странице "Сеть" рабочей области в портал Azure.
Создание частной конечной точки
Сведения о создании частной конечной точки с помощью портал Azure, PowerShell или Azure CLI см. в следующих статьях. Статьи предоставляют веб-приложение Azure в качестве целевой службы, но действия по созданию приватного канала одинаковы для рабочей области Azure Monitor.
При создании частной конечной точки сделайте следующее выделение из раскрывающихся списков на базовой вкладке:
- Тип ресурса — выбор
Microsoft.Monitor/accounts. Укажите рабочую область Azure Monitor, к которой он подключается. - Целевой вложенный ресурс — выберите
prometheusMetrics.
Создайте частную конечную точку с помощью следующих статей:
Подключение к частной конечной точке
Клиенты виртуальной сети, использующие частную конечную точку, должны использовать ту же конечную точку запроса для рабочей области Azure Monitor, что и клиенты, подключающиеся к общедоступной конечной точке. Мы опираемся на разрешение DNS для автоматического маршрутизации подключений из виртуальной сети в рабочую область через приватный канал.
По умолчанию мы создаем частную зону DNS, подключенную к виртуальной сети, с необходимыми обновлениями для частных конечных точек. Однако если вы используете собственный DNS-сервер, то вам может потребоваться внести дополнительные изменения в конфигурацию DNS. В разделе об изменениях DNS ниже описаны обновления, необходимые для частных конечных точек.
Изменения DNS для частных конечных точек
Примечание.
Дополнительные сведения о настройке параметров DNS для частных конечных точек см . в разделе конфигурации DNS частной конечной точки Azure.
При создании частной конечной точки запись ресурса DNS CNAME для рабочей области обновляется до псевдонима в поддомене с префиксом privatelink. По умолчанию также создается Частная зона DNS, соответствующая поддомену privatelink, с записями ресурсов DNS A для частных конечных точек.
При разрешении URL-адреса конечной точки запроса извне виртуальной сети с частной конечной точкой она разрешается в общедоступную конечную точку рабочей области. При разрешении из виртуальной сети, в котором размещена частная конечная точка, URL-адрес конечной точки запроса разрешается в IP-адрес частной конечной точки.
В приведенном ниже примере мы используем k8s02-workspace регион "Восточная часть США". Имя ресурса не гарантируется уникальным, что требует от нас добавить несколько символов после имени, чтобы сделать URL-путь уникальным; например, k8s02-workspace-<key>. Эта уникальная конечная точка запроса отображается на странице обзора рабочей области Azure Monitor.
Записи ресурсов DNS для рабочей области Azure Monitor при разрешении извне виртуальной сети, в которых размещена частная конечная точка, являются следующими:
| Имя. | Тип | значение |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
CNAME | <Общедоступная конечная точка региональной службы AMW> |
| <Общедоступная конечная точка региональной службы AMW> | а | <Общедоступный IP-адрес региональной службы AMW> |
Как упоминалось ранее, вы можете запретить или контролировать доступ для клиентов за пределами виртуальной сети через общедоступную конечную точку с помощью вкладки "Общедоступный доступ" на странице "Сеть" рабочей области.
Записи ресурсов DNS для "k8s02-workspace" при разрешении клиентом в виртуальной сети, где размещена частная конечная точка, являются следующими:
| Имя. | Тип | значение |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
а | <IP-адрес частной конечной точки> |
Этот подход обеспечивает доступ к рабочей области с помощью той же конечной точки запроса для клиентов в виртуальной сети, где размещаются частные конечные точки, а также клиенты за пределами виртуальной сети.
Если вы используете пользовательский DNS-сервер в сети, клиенты должны иметь возможность разрешить полное доменное имя для конечной точки запроса рабочей области к IP-адресу частной конечной точки. Необходимо настроить DNS-сервер для делегирования поддомена приватного канала в частную зону DNS для виртуальной сети или настроить записи A для k8s02-workspace с IP-адресом частной конечной точки.
Совет
При использовании пользовательского или локального DNS-сервера необходимо настроить DNS-сервер для разрешения имени конечной точки запроса рабочей области в privatelink поддомене на IP-адрес частной конечной точки. Это можно сделать, делегировав поддомен privatelink частной зоне DNS виртуальной сети или настроив зону DNS на DNS-сервере и добавив записи DNS A.
Рекомендуемые имена зон DNS для частных конечных точек для рабочей области Azure Monitor:
| Ресурс | Целевой подресурс | Имя зоны |
|---|---|---|
| Рабочая область Azure Monitor | prometheusMetrics | privatelink.<region>.prometheus.monitor.azure.com |
Дополнительные сведения о настройке собственного DNS-сервера для поддержки частных конечных точек см. в следующих статьях:
Цены
Дополнительные сведения о ценах см. на странице цен на службу "Приватный канал" Azure.
Известные проблемы
Помните о следующих известных проблемах с частными конечными точками для рабочей области Azure Monitor.
Ограничения доступа к рабочей области для клиентов в виртуальных сети с частными конечными точками
Клиенты в виртуальных сетями с существующими частными конечными точками сталкиваются с ограничениями при доступе к другим рабочим областям Azure Monitor с частными конечными точками. Например, предположим, что виртуальная сеть N1 имеет частную конечную точку для рабочей области A1. Если рабочая область A2 имеет частную конечную точку в виртуальной сети N2, клиенты в виртуальной сети N1 также должны запрашивать данные рабочей области в учетной записи A2 с помощью частной конечной точки. Если в рабочей области A2 нет частных конечных точек, клиенты в виртуальной сети N1 могут запрашивать данные из этой рабочей области без частной конечной точки.
Это ограничение является результатом изменений DNS, внесенных при создании частной конечной точки рабочей области A2.