Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Ao criar um Escopo de Link Privado do Azure Monitor (AMPLS), você limita o acesso aos recursos do Azure Monitor apenas às redes conectadas ao ponto de extremidade privado. Este artigo fornece orientação sobre como projetar sua configuração de link privado do Azure Monitor e outras considerações que você deve levar em conta antes de realmente implementá-la usando as orientações em Configurar link privado para o Azure Monitor.
Limites da AMPLS
Os objetos AMPLS têm os seguintes limites:
- Uma rede virtual pode se conectar a apenas um objeto AMPLS. Isso significa que o objeto AMPLS deve fornecer acesso a todos os recursos do Azure Monitor aos quais a rede virtual deve ter acesso.
- Um objeto AMPLS pode se conectar a até 3.000 espaços de trabalho do Log Analytics e até 10.000 componentes do Application Insights. Esse aumento de 300 espaços de trabalho do Log Analytics e 1.000 componentes do Application Insights está atualmente em visualização pública.
- Um recurso do Azure Monitor pode se conectar a até 100 AMPLS. Este aumento de 5 AMPLS está atualmente em versão de pré-visualização pública.
- Um objeto AMPLS pode conectar-se a até 10 pontos finais privados.
Planejar por topologia de rede
As seções a seguir descrevem como planejar sua configuração de link privado do Azure Monitor com base em sua topologia de rede.
Evite sobrescrições de DNS ao usar um único AMPLS
Algumas redes são compostas por várias redes virtuais ou outras redes conectadas. Se essas redes compartilharem o mesmo DNS, configurar um link privado em qualquer uma delas atualizará o DNS e afetará o tráfego em todas as redes.
No diagrama a seguir, a rede virtual 10.0.1.x se conecta ao AMPLS1, que cria entradas DNS que mapeiam pontos de extremidade do Azure Monitor para IPs do intervalo 10.0.1.x. Mais tarde, a rede virtual 10.0.2.x se conecta ao AMPLS2, que substitui as mesmas entradas DNS mapeando os mesmos pontos de extremidade globais/regionais para IPs do intervalo 10.0.2.x. Como essas redes virtuais não estão interligadas, a primeira rede virtual agora não consegue alcançar estes endpoints. Para evitar esse conflito, crie apenas um único objeto AMPLS por DNS.
As redes hub-and-spoke
As redes Hub-and-spoke devem usar uma única conexão de link privado definida na rede hub (principal), e não em cada rede virtual spoke.
Você pode preferir criar links privados separados para suas redes virtuais spoke para permitir que cada rede virtual acesse um conjunto limitado de recursos de monitoramento. Nesse caso, você pode criar um ponto de extremidade privado dedicado e AMPLS para cada rede virtual. Você também deve verificar se eles não compartilham as mesmas zonas DNS para evitar sobreposições de DNS.
Redes interligadas
Com o emparelhamento de rede, as redes podem compartilhar os endereços IP uns dos outros e, muito provavelmente, compartilhar o mesmo DNS. Nesse caso, crie um único link privado em uma rede acessível a outras redes. Evite criar múltiplos pontos de extremidade privados e objetos AMPLS porque apenas o último definido no DNS se aplica.
Redes isoladas
Se suas redes não estiverem emparelhadas, você também deverá separar o DNS delas para usar links privados. Em seguida, você pode criar um ponto de extremidade privado separado para cada rede e um objeto AMPLS separado. Seus objetos AMPLS podem ser vinculados aos mesmos espaços de trabalho/componentes ou a outros diferentes.
Selecione um modo de acesso
Os modos de acesso a links privados permitem que você controle como os links privados afetam o tráfego da rede. O que você selecionar é fundamental para garantir tráfego de rede contínuo e ininterrupto.
Os modos de acesso podem aplicar-se a todas as redes ligadas ao seu AMPLS ou a redes específicas ligadas ao mesmo. Os modos de acesso são definidos separadamente para ingestão e consultas. Por exemplo, você pode definir o modo Somente privado para ingestão e o modo Aberto para consultas.
Importante
A ingestão do Log Analytics utiliza endereços específicos de recursos, por isso não adere aos modos de acesso AMPLS. Para garantir que as solicitações de ingestão do Log Analytics não possam acessar espaços de trabalho fora do AMPLS, defina o firewall de rede para bloquear o tráfego para pontos de extremidade públicos, independentemente dos modos de acesso AMPLS.
Modo de acesso Apenas Privado
Este modo permite que a rede virtual alcance apenas recursos de ligação privada no AMPLS. Essa é a opção mais segura e evita a exfiltração de dados bloqueando o tráfego dos recursos do AMPLS para o Azure Monitor.
Modo de acesso aberto
Este modo permite que a rede virtual alcance recursos de link privado e recursos que não estão no AMPLS (se eles aceitarem tráfego de redes públicas). O modo de acesso aberto não impede a exfiltração de dados, mas ainda oferece os outros benefícios dos links privados. O tráfego para recursos de ligação privada é enviado através de endpoints privados, onde é validado antes de ser encaminhado pela infraestrutura da Microsoft. O modo aberto é útil para o modo misto, onde alguns recursos são acessados publicamente e outros acessados por um link privado. Também pode ser útil durante um processo de integração gradual.
Importante
Tenha cuidado ao selecionar o modo de acesso. Usar o modo de acesso Somente privado bloqueará o tráfego para recursos que não estão no AMPLS em todas as redes que compartilham o mesmo DNS, independentemente da assinatura ou locatário. Se não for possível adicionar todos os recursos do Azure Monitor ao AMPLS, comece adicionando recursos selecionados e aplicando o modo de acesso aberto. Mude para o modo Apenas Privado para máxima segurança apenas depois de adicionar todos os recursos do Azure Monitor ao seu AMPLS.
Definir modos de acesso para redes específicas
Os modos de acesso definidos no recurso AMPLS afetam todas as redes, mas você pode substituir essas configurações para redes específicas.
No diagrama a seguir, a VNet1 usa o modo Aberto e a VNet2 usa o modo Somente Privado. As solicitações da VNet1 podem chegar ao Espaço de Trabalho 1 e ao Componente 2 por meio de um link privado. As solicitações podem chegar ao Componente 3 somente se ele aceitar tráfego de redes públicas. As solicitações de VNet2 não podem acessar o Componente 3.
Controle o acesso à rede aos recursos AMPLS
Os componentes do Azure Monitor podem ser definidos como:
- Aceitar ou bloquear a ingestão de redes públicas (redes não conectadas ao recurso AMPLS).
- Aceitar ou bloquear consultas de redes públicas (redes não conectadas ao recurso AMPLS).
Essa granularidade permite que você defina o acesso por espaço de trabalho de acordo com suas necessidades específicas. Por exemplo, você pode aceitar a ingestão apenas por meio de redes privadas conectadas por link, mas ainda assim optar por aceitar consultas de todas as redes, públicas e privadas.
Nota
Bloquear consultas de redes públicas significa que clientes como máquinas e SDKs fora do AMPLS conectado não podem consultar dados no recurso. Esses dados incluem registos, métricas e o fluxo de métricas ao vivo. O bloqueio de consultas de redes públicas afeta todas as experiências que executam essas consultas, como pastas de trabalho, painéis, informações no portal do Azure e consultas executadas de fora do portal do Azure.
Seguem-se exceções a este acesso à rede:
- Registos de diagnóstico. Os logs e métricas enviados para um espaço de trabalho a partir de uma configuração de diagnóstico estão em um canal privado seguro da Microsoft e não são controlados por essas configurações.
- Métricas personalizadas ou métricas de VM convidada do Azure Monitor. As métricas personalizadas enviadas do Agente do Azure Monitor não são controladas por DCEs e não podem ser configuradas em links privados.
Nota
As consultas enviadas por meio da API do Gerenciador de Recursos não podem usar links privados do Azure Monitor. Essas consultas só podem obter acesso se o recurso de destino permitir consultas de redes públicas.
As seguintes experiências são conhecidas por executar consultas por meio da API do Resource Manager:
- Conector LogicApp
- Solução de Gestão de Atualizações
- Solução de Controlo de Alterações
- Perspetivas de VMs
- Informações sobre Contêineres
- Painel Resumo do Espaço de Trabalho (preterido) do Log Analytics (que mostra o painel de controlos de soluções)
- Painel de Métricas no Application Insights (gráfico de métricas baseado em logs)
Considerações especiais
Application Insights
- Adicione recursos que hospedam as cargas de trabalho monitoradas a um link privado. Por exemplo, consulte Utilização de pontos de extremidade privados no Azure Web App.
- As experiências de consumo não-portais também devem ser executadas na rede virtual privada vinculada que inclui cargas de trabalho monitoradas.
- Forneça sua própria conta de armazenamento para oferecer suporte a links privados para o .NET Profiler e Depurador.
Nota
Para proteger totalmente o Application Insights baseado em espaço de trabalho, bloqueie o acesso ao recurso do Application Insights e ao espaço de trabalho subjacente do Log Analytics.
Prometheus Gerenciado
- As definições de ingestão do Link Privado são realizadas utilizando o AMPLS e configurações nos Pontos de Extremidade de Coleta de Dados (DCEs) que referenciam o espaço de trabalho do Azure Monitor, utilizado para armazenar métricas do Prometheus.
- As configurações de consulta de Link Privado são feitas diretamente no espaço de trabalho do Azure Monitor usado para armazenar métricas do Prometheus e não são tratadas com AMPLS.
Para configurar a ingestão de métricas do Managed Prometheus usando AMPLS, consulte Habilitar a ingestão de métricas do AKS com AMPLS.
Próximos passos
- Saiba como configurar seu link privado.
- Saiba mais sobre armazenamento privado para logs personalizados e chaves gerenciadas pelo cliente.
- Saiba mais sobre o Private Link for Automation.