Подключение к источнику данных в частном порядке

Из этого руководства вы узнаете, как подключить экземпляр Управляемого Grafana Azure к источнику данных с помощью управляемой частной конечной точки. Управляемые частные конечные точки Azure Grafana — это конечные точки, созданные в управляемом виртуальная сеть, которые использует служба Azure Managed Grafana. Они устанавливают частные каналы из этой сети в источники данных Azure. Azure Managed Grafana настраивает и управляет этими частными конечными точками от вашего имени. Вы можете создавать управляемые частные конечные точки из управляемой Grafana Azure для доступа к другим управляемым службам Azure (например, области приватного канала Azure Monitor или рабочей области Azure Monitor) и собственным локальным источникам данных (например, подключение к локальной службе Prometheus за службой приватного канала).

При использовании управляемых частных конечных точек трафик между Управляемым Grafana Azure и его источниками данных проходит исключительно по магистральной сети Майкрософт, не проходя через Интернет. Управляемые частные конечные точки обеспечивают защиту от кражи данных. Управляемая частная конечная точка использует частный IP-адрес из управляемого виртуальная сеть, чтобы эффективно перенести рабочую область Azure Managed Grafana в ту сеть. Каждая управляемая частная конечная точка сопоставляется с определенным ресурсом в Azure, а не всей службой. Клиенты могут ограничить подключение только к ресурсам, утвержденным их организациями.

Подключение к частной конечной точке создается в состоянии "Ожидание" при создании управляемой частной конечной точки в рабочей области Azure Managed Grafana. Запускается рабочий процесс утверждения. Владелец ресурса приватного канала отвечает за утверждение или отклонение нового подключения. Если владелец утверждает подключение, устанавливается приватный канал. В противном случае частная ссылка не настроена. Управляемая Grafana Azure показывает текущее состояние подключения. Для отправки трафика в ресурс приватного канала, подключенного к управляемой частной конечной точке, можно использовать только управляемую частную конечную точку в утвержденном состоянии.

Хотя управляемые частные конечные точки бесплатны, могут взиматься плата за использование приватного канала в источнике данных. Дополнительные сведения см. в сведениях о ценах на источник данных.

Примечание.

В настоящее время управляемые частные конечные точки доступны только в Azure Global.

Примечание.

Если вы используете частный источник данных в кластере AKS, если для службы externalTrafficPolicy задано значение local, служба Приватный канал Azure должна использовать другую подсеть, отличную от подсети Pod. Если требуется та же подсеть, служба должна использовать кластер externalTrafficPolicy. См. статью "Поставщик облачных служб Azure".

Поддерживаемые источники данных

Управляемые частные конечные точки работают со службами Azure, поддерживающими приватный канал. С помощью них можно подключить рабочую область Azure Managed Grafana к следующим хранилищам данных Azure через частное подключение:

  • Azure Cosmos DB для Mongo DB (только для архитектуры единиц запросов (ЕЗ)
  • Azure Cosmos DB for PostgreSQL
  • Azure Data Explorer
  • Область приватного канала Azure Monitor (например, рабочая область Log Analytics)
  • Рабочая область Azure Monitor для управляемой службы для Prometheus
  • Управляемый экземпляр SQL Azure
  • Сервер SQL Server Azure
  • Службы Приватного канала
  • Azure Databricks
  • База данных Azure для PostgreSQL гибкие серверы (только для серверов с общедоступным доступом)

Необходимые компоненты

Чтобы выполнить действия, описанные в этом руководстве, необходимо:

Создание управляемой частной конечной точки для рабочей области Azure Monitor

Вы можете создать управляемую частную конечную точку в рабочей области Azure Managed Grafana, чтобы подключиться к поддерживаемму источнику данных с помощью приватного канала.

  1. В портал Azure перейдите в рабочую область Grafana и выберите "Сеть".

  2. Выберите управляемую частную конечную точку и нажмите кнопку "Создать".

    Снимок экрана: портал Azure создание управляемой частной конечной точки.

  3. В области "Новая управляемая частная конечная точка" введите необходимые сведения для подключения к ресурсу.

    Снимок экрана: портал Azure сведения о новой управляемой частной конечной точке для рабочей области Azure Monitor.

  4. Выберите тип ресурса Azure (например, Microsoft.Monitor/accounts for Azure Monitor Managed Service for Prometheus).

  5. Выберите "Создать", чтобы добавить ресурс управляемой частной конечной точки.

  6. Чтобы утвердить запрос на подключение, обратитесь к владельцу целевой рабочей области Azure Monitor.

Примечание.

После утверждения нового подключения к частной конечной точке весь сетевой трафик между рабочей областью Azure Managed Grafana и выбранным источником данных будет передаваться только через магистральную сеть Azure.

Если у вас есть внутренний источник данных в виртуальной сети, например сервер InfluxDB, размещенный на виртуальной машине Azure, или сервер Loki, размещенный в кластере AKS, можно подключить к нему управляемый Grafana Azure. Сначала необходимо добавить закрытый доступ к этому ресурсу с помощью службы Приватный канал Azure. Точные шаги, необходимые для настройки приватного канала, зависят от типа ресурса Azure. Ознакомьтесь с документацией по службе размещения, у вас есть. Например, в этой статье описывается создание службы приватного канала в Служба Azure Kubernetes путем указания объекта службы Kubernetes.

После настройки службы приватного канала можно создать управляемую частную конечную точку в рабочей области Grafana, которая подключается к новой приватной ссылке.

  1. В портал Azure перейдите к ресурсу Grafana и выберите "Сеть".

  2. Выберите управляемую частную конечную точку и нажмите кнопку "Создать".

    Снимок экрана: портал Azure создание управляемой частной конечной точки.

  3. В области "Новая управляемая частная конечная точка" введите необходимые сведения для подключения к ресурсу.

    Снимок экрана: портал Azure сведения о новой управляемой частной конечной точке для служб приватного канала.

    Совет

    Поле доменного имени является необязательным. Если указать доменное имя, Управляемый Grafana Azure обеспечит разрешение этого доменного имени на частный IP-адрес управляемой частной конечной точки в управляемой сети службы Grafana. Это доменное имя можно использовать в конфигурации URL-адреса источника данных Grafana вместо частного IP-адреса. Вам потребуется использовать доменное имя, если включен протокол TLS или указание имени сервера (SNI) для локального хранилища данных.

  4. Выберите "Создать", чтобы добавить ресурс управляемой частной конечной точки.

  5. Обратитесь к владельцу целевой службы приватного канала, чтобы утвердить запрос на подключение.

  6. После утверждения запроса на подключение выберите "Обновить", чтобы убедиться, что состояние подключения утверждено, а частный IP-адрес отображается.

Примечание.

Не удается пропустить шаг обновления , так как обновление активирует операцию синхронизации сети с помощью Управляемой Grafana Azure. После утверждения нового подключения к управляемой частной конечной точке все сетевые трафик между рабочей областью Azure Managed Grafana и выбранным источником данных будет передаваться только через магистральную сеть Azure.

Следующие шаги

В этом руководстве вы узнали, как настроить частный доступ между рабочей областью Azure Managed Grafana и источником данных. Чтобы узнать, как настроить частный доступ пользователей в рабочую область Azure Managed Grafana, см. статью "Настройка частного доступа".