設定私人存取
在本指南中,您將瞭解如何停用對 Azure 受控 Grafana 工作區的公用存取,並設定私人端點。 在 Azure 受控 Grafana 中設定私人端點會藉由將連入流量限制為特定網路來提高安全性。
必要條件
停用工作區的公用存取
當您建立 Azure Grafana 工作區時,預設會啟用公用存取。 停用公用存取可防止所有流量存取資源,除非您通過私人端點。
注意
啟用私人存取時,使用釘選到 Grafana 功能的 Ping 圖表將無法再運作,因為 Azure 入口網站 無法在私人 IP 位址上存取 Azure 受控 Grafana 工作區。
流覽至 Azure 入口網站 中的 Azure 受控 Grafana 工作區。
在左側功能表中,選取 [設定] 下的 [網络]。
在 [公用存取] 下,選取 [已停用] 以停用對 Azure 受控 Grafana 工作區的公用存取,並只允許透過私人端點存取。 如果您已經停用公用存取,而想要啟用對 Azure 受控 Grafana 工作區的公用存取,您可以選取 [ 已啟用]。
選取 [儲存]。
在 CLI 中,執行 az grafana update 命令,並將佔位元<grafana-workspace>
<resource-group>
取代為您自己的資訊:
az grafana update --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled
建立私人端點
停用公用存取之後,請使用 Azure Private Link 設定 私人端點 。 私人端點允許從虛擬網路使用私人IP位址存取 Azure 受控 Grafana 工作區。
在 [ 網络] 中,選取 [ 私人存取 ] 索引標籤,然後 選取 [新增 ] 以開始設定新的私人端點。
填寫 [基本] 索引標籤,其中包含下列資訊:
參數 |
描述 |
範例 |
訂用帳戶 |
選取 Azure 訂用帳戶。 您的私人端點必須與虛擬網路位於相同的訂用帳戶中。 您稍後會在本操作指南中選取虛擬網路。 |
MyAzureSubscription |
資源群組 |
選取資源群組或建立新的資源群組。 |
MyResourceGroup |
名稱 |
輸入 Azure 受控 Grafana 工作區的新私人端點名稱。 |
MyPrivateEndpoint |
網路介面名稱 |
此欄位會自動完成。 選擇性地編輯網路介面的名稱。 |
MyPrivateEndpoint-nic |
區域 |
選取區域。 您的私人端點必須與虛擬網路位於相同的區域中。 |
(美國)美國中西部 |
選取 [下一步:資源 >]。 Private Link 提供為不同類型的 Azure 資源建立私人端點的選項。 目前的 Azure 受控 Grafana 工作區會自動填入 [ 資源 ] 字段。
資源類型 Microsoft.Dashboard/grafana 和目標子資源 grafana 表示您要為 Azure 受控 Grafana 工作區建立端點。
工作區的名稱列在 [資源] 底下。
選取 [下一步: 虛擬網路 >]。
選取要部署私人端點的現有 [虛擬網路]。 如果您沒有虛擬網路,請建立虛擬網路。
從清單中選取 [子網路]。
預設會停用私人端點 的網路原則。 選擇性地選取 [編輯 ] 以新增網路安全組或路由表原則。 這項變更會影響與所選子網相關聯的所有私人端點。
在 [私人 IP 組態] 之下,選取用以動態配置 IP 位址的選項。 如需詳細資訊,請參閱私人 IP 位址。
您可以選擇性地選取或建立 [應用程式安全性群組]。 應用程式安全性群組可讓您將虛擬機器分組,並根據這些群組定義網路安全性原則。
選取 [下一步:DNS >] 以設定 DNS 記錄。 如果您不想變更預設設定,可往前移至下一個索引標籤。
針對 [與私人 DNS 區域整合],選取 [是] 可將您的私人端點與私人 DNS 區域整合。 您也可以使用自己的 DNS 伺服器,或使用虛擬機上的主機檔案建立 DNS 記錄。
系統會預先選取私人 DNS 區域的訂用帳戶和資源群組。 您可以選擇性加以變更。
若要深入了解 DNS 設定,請移至 Azure 虛擬網路中資源的名稱解析,以及私人端點的 DNS 設定。 Azure 受控 Grafana 的 Azure 私人端點私人 DNS 區域值會列在 Azure 服務 DNS 區域。
選取 [下一步:標籤 >] 並選擇性地建立標籤。 籤標籤為成對的名稱和數值,可讓您透過將相同標籤套用至多個資源與資源群組,進而分類資源並檢視合併的帳單。
選取 [下一步:檢閱 + 建立 > ],以檢閱 Azure 受控 Grafana 工作區、私人端點、虛擬網路和 DNS 的相關信息。 您也可以選取 [下載範本以進行自動化],以便稍後重複使用此表單的 JSON 資料。
選取 建立。
部署完成後,您會收到已建立端點的通知。 如果它已自動核准,您可以私下存取工作區。 否則,您必須等候核准。
若要設定私人端點,您需要虛擬網路。 如果還沒有虛擬網路,請使用 az network vnet create 加以建立。 將佔位元文字 <vnet>
、 <resource-group>
、 <subnet>
和 <vnet-location>
取代為新虛擬網路、資源群組和名稱和 vnet 位置的名稱。
az network vnet create --name <vnet> --resource-group <resource-group> --subnet-name <subnet> --location <vnet-location>
預留位置 |
描述: |
範例 |
<vnet> |
輸入新虛擬網路的名稱。 虛擬網路可讓 Azure 資源彼此以及與網際網路進行私密通訊。 |
MyVNet |
<resource-group> |
輸入虛擬網路的現有資源群組名稱。 |
MyResourceGroup |
<subnet> |
輸入新子網路的名稱。 子網路是網路內的網路。 這是指派私人 IP 位址的位置。 |
MySubnet |
<vnet-location> |
輸入 Azure 區域。 您的虛擬網路必須與私人端點位於相同的區域中。 |
centralus |
執行 az grafana show 命令,以擷取您想要設定私人存取的 Azure Managed Grafana 工作區屬性。 將佔位元 <grafana-workspace>
取代為您的工作區名稱。
az grafana show --name <grafana-workspace>
此命令會產生輸出,其中包含 Azure 受控 Grafana 工作區的相關信息。 記下 id
值。 例如:/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana
。
執行 az network private-endpoint create 命令,為您的 Azure 受控 Grafana 工作區建立私人端點。 以您自己的資訊,取代預留位置文字 <resource-group>
、<private-endpoint>
、<vnet>
、<private-connection-resource-id>
、<connection-name>
和 <location>
。
az network private-endpoint create --resource-group <resource-group> --name <private-endpoint> --vnet-name <vnet> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id grafana
預留位置 |
描述: |
範例 |
<resource-group> |
輸入私人端點的現有資源群組名稱。 |
MyResourceGroup |
<private-endpoint> |
輸入新的私人端點名稱。 |
MyPrivateEndpoint |
<vnet> |
輸入現有 VNet 的名稱。 |
Myvnet |
<private-connection-resource-id> |
輸入您的 Azure 受控 Grafana 工作區的私人連線資源識別碼。 這是您在上一個步驟輸出中儲存的識別碼。 |
/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana |
<connection-name> |
輸入連線名稱。 |
MyConnection |
<location> |
輸入 Azure 區域。 您的私人端點必須與虛擬網路位於相同的區域中。 |
centralus |
管理私人連結連線
移至 Azure 受控 Grafana 工作區中的網路>私人存取,以存取連結至工作區的私人端點。
檢查私人連結連線的連線狀態。 當您建立私人端點時,必須核准連線。 如果您要建立私人端點的資源位於您的目錄中,而且您有足夠的權限,就會自動核准連線要求。 否則,您必須等待該資源的擁有者核准您的連線要求。 如需連線核准模型的詳細資訊,請前往管理 Azure 私人端點。
若要手動核准、拒絕或移除連線,請選取您要編輯的端點旁的核取方塊,並從頂端功能表中選取動作項目。
選取私人端點的名稱以開啟私人端點資源,並存取更多資訊或編輯私人端點。
檢閱私人端點連線詳細資料
執行 az network private-endpoint-connection list 命令,檢閱連結至 Azure 受控 Grafana 工作區的所有私人端點連線,並檢查其連線狀態。 將佔位元 <resource-group>
取代 <grafana-workspace>
為資源群組和 Azure Managed Grafana 工作區的名稱。
az network private-endpoint-connection list --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana
或者,若要取得特定私人端點的詳細資料,請使用 az network private-endpoint-connection show 命令。 將佔位元文字 <resource-group>
取代 <grafana-workspace>
為資源群組的名稱和 Azure 受控 Grafana 工作區的名稱。
az network private-endpoint-connection show --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana
取得連線核准
當您建立私人端點時,必須核准連線。 如果您要建立私人端點的資源位於您的目錄中,而且您有足夠的權限,就會自動核准連線要求。 否則,您必須等待該資源的擁有者核准您的連線要求。
若要核准私人端點連線,請使用 az network private-endpoint-connection approve 命令。 將 佔位元文字 <resource-group>
、 <private-endpoint>
和 <grafana-workspace>
取代為資源群組的名稱、私人端點的名稱和 Azure Managed Grafana 資源的名稱。
az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.Dashboard/grafana --resource-name <grafana-workspace>
如需連線核准模型的詳細資訊,請前往管理 Azure 私人端點。
刪除私人端點連線
若要刪除私人端點連線,請使用 az network private-endpoint-connection delete 命令。 以資源群組的名稱和私人端點的名稱,取代預留位置文字 <resource-group>
和 <private-endpoint>
。
az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>
如需更多 CLI 命令,請移至 az network private-endpoint-connection
如果您有私人端點的問題,請查看下列指南:針對 Azure 私人端點連線問題進行疑難排解。
下一步
在本操作指南中,您已瞭解如何設定使用者對 Azure 受控 Grafana 工作區的私人存取。 若要瞭解如何設定 Managed Grafana 工作區與數據源之間的私人存取,請參閱私下 連線 數據源。