设置专用访问

1. 开始创建 Grafana 工作区的过程

2. 在“ 创建 Grafana 工作区 ”窗格中，选择“ 网络 ”选项卡。

3. 在 “公共访问>选项”下，选择“ 已禁用” 以禁用对 Azure 托管 Grafana 工作区的公共访问，并且仅允许通过专用终结点进行访问。

4. 单击“ 查看 + 创建 ”（准备就绪时）。

   

在 CLI 中，运行 az grafana create 命令，并将占位符<grafana-workspace><resource-group>替换为你自己的信息：

az grafana create --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled

1. 在 Azure 门户中导航到你的 Azure 托管 Grafana 工作区。

2. 在左侧菜单中的“设置”下，选择“网络”。

3. 在“公共访问”下，选择“禁用”以禁用对 Azure 托管 Grafana 工作区的公共访问，并仅允许通过专用终结点进行访问。 如果你已禁用公共访问，但想要启用对 Azure 托管 Grafana 工作区的公共访问，请选择“启用”。

4. 选择“保存”。

   

在 CLI 中，运行 az grafana update 命令并将占位符 <grafana-workspace> 和 <resource-group> 替换为你自己的信息：

az grafana update --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled

1. 在“网络”中选择“专用访问”选项卡，然后选择“添加”开始设置新的专用终结点。

   

2. 在“基本信息”选项卡中填写以下信息：

   参数	说明	示例
   订阅	选择 Azure 订阅。 专用终结点必须与虚拟网络位于同一订阅中。 稍后将在本操作指南中选择一个虚拟网络。	MyAzureSubscription
   资源组	选择一个资源组或新建一个资源组。	MyResourceGroup
   名称	输入 Azure 托管 Grafana 工作区的新专用终结点名称。	MyPrivateEndpoint
   网络接口名称	此字段会自动填充。 （可选）编辑网络接口的名称。	MyPrivateEndpoint-nic
   区域	选择区域。 专用终结点必须与虚拟网络位于同一区域中。	(美国)美国中西部

   

3. 选择“下一步: 资源 >”。 专用链接提供了为不同类型的 Azure 资源创建专用终结点的选项。 “资源”字段中已自动填写了当前 Azure 托管 Grafana 工作区。

   1. 资源类型 Microsoft.Dashboard/grafana 和目标子资源 grafana 表示要为 Azure 托管 Grafana 工作区创建终结点。

   2. 你的工作区名称已列在“资源”下。

      

4. 选择“下一步: 虚拟网络 >”。

   1. 选择要向其部署专用终结点的现有“虚拟网络”。 如果没有虚拟网络，请创建虚拟网络。

   2. 从列表中选择“子网”。

   3. 默认已禁用“专用终结点的网络策略”。 （可选）选择“编辑”以添加网络安全组或路由表策略。 此项更改会影响与所选子网关联的所有专用终结点。

   4. 在“专用 IP 配置”下，选择动态分配 IP 地址的选项。 有关详细信息，请参阅 专用 IP 地址。

   5. （可选）可以选择或创建应用程序安全组。 借助应用程序安全组，可以对虚拟机进行分组，并根据这些组定义网络安全策略。

      

5. 选择“下一步: DNS >”以配置 DNS 记录。 如果不希望更改默认设置，可以转到下一个选项卡。

   1. 对于“与专用 DNS 区域集成”，选择“是”，以将专用终结点与专用 DNS 区域集成。 你也可以使用自己的 DNS 服务器，或者使用虚拟机上的主机文件创建 DNS 记录。

   2. 预选专用 DNS 区域的订阅和资源组。 可以选择更改它们。

   若要了解有关 DNS 配置的详细信息，请转到 Azure 虚拟网络中资源的名称解析和专用终结点的 DNS 配置。 Azure 托管 Grafana 的 Azure 专用终结点专用 DNS 区域值列在 Azure 服务 DNS 区域中。

   

6. 选择“下一步：标记 >”并选择性地创建标记。 标记是名称/值对，通过将相同的标记应用到多个资源和资源组，可以对资源进行分类并查看合并的账单。

7. 选择“下一步: 查看 + 创建 >”以查看有关 Azure 托管 Grafana 工作区、专用终结点、虚拟网络和 DNS 的信息。 还可以选择“下载自动化模板”，以便稍后重复使用此表单中的 JSON 数据。

8. 选择“创建”。

部署完成后，将收到一条已创建终结点的通知。 如果已自动批准，可以开始私下访问工作区。 否则，必须等待审批。

1. 若要设置专用终结点，需要一个虚拟网络。 如果还没有虚拟网络，请使用 az network vnet create 创建一个虚拟网络。 将占位符文本 <vnet>、<resource-group>、<subnet> 和 <vnet-location> 替换为你的新虚拟网络、资源组、子网的名称和 VNet 位置。

   az network vnet create --name <vnet> --resource-group <resource-group> --subnet-name <subnet> --location <vnet-location>
   

   占位符	说明	示例
   <vnet>	输入新虚拟网络的名称。 借助虚拟网络，Azure 资源之间以及 Azure 资源与 Internet 之间能够进行专用通信。	MyVNet
   <resource-group>	输入虚拟网络的现有资源组的名称。	MyResourceGroup
   <subnet>	输入新子网的名称。 子网是网络内部的网络。 这是分配专用 IP 地址的位置。	MySubnet
   <vnet-location>	输入一个 Azure 区域。 虚拟网络必须与专用终结点位于同一区域中。	centralus

2. 运行 az grafana show 命令以检索要为其设置专用访问的 Azure 托管 Grafana 工作区的属性。 将占位符 <grafana-workspace> 替换为你的工作区名称。

   az grafana show --name <grafana-workspace>
   

   此命令将生成包含有关你的 Azure 托管 Grafana 工作区的信息的输出。 请记下 id 值。 例如：/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana。

3. 运行 az network private-endpoint create 命令，以便为 Azure 托管 Grafana 工作区创建专用终结点。 将占位符文本 <resource-group>、<private-endpoint>、<vnet>、<private-connection-resource-id>、<connection-name> 和 <location> 替换为自己的信息。

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint> --vnet-name <vnet> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id grafana
   

   占位符	说明	示例
   <resource-group>	输入专用终结点的现有资源组的名称。	MyResourceGroup
   <private-endpoint>	输入新专用终结点的名称。	MyPrivateEndpoint
   <vnet>	输入现有 vnet 的名称。	Myvnet
   <private-connection-resource-id>	输入你的 Azure 托管 Grafana 工作区的专用连接资源 ID。 这是从上一步骤的输出中保存的 ID。	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana
   <connection-name>	输入连接名称。	MyConnection
   <location>	输入一个 Azure 区域。 专用终结点必须与虚拟网络位于同一区域中。	centralus

在 Azure 托管 Grafana 工作区中转到“网络”“专用访问”以访问链接到你的工作区的专用终结点>。

1. 检查专用链接连接的连接状态。 创建专用终结点时，必须批准连接。 如果要为其创建专用终结点的资源位于目录中并且拥有 足够的权限，则会自动批准连接请求。 否则，必须等待该资源的所有者批准连接请求。 有关连接批准模型的详细信息，请转到管理 Azure 专用终结点。

2. 若要手动批准、拒绝或删除连接，请选中要编辑的终结点旁边的复选框，并从顶部菜单中选择操作项。

3. （可选）选择专用终结点的名称以打开专用终结点资源，并访问详细信息或编辑专用终结点。

   

查看专用终结点连接详细信息

运行 az network private-endpoint-connection list 命令，以查看链接到你的 Azure 托管 Grafana 工作区的所有专用终结点连接，并检查其连接状态。 将占位符 <resource-group> 和 <grafana-workspace> 替换为资源组和 Azure 托管 Grafana 工作区的名称。

az network private-endpoint-connection list --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

（可选）若要获取特定专用终结点的详细信息，请使用 az network private-endpoint-connection show 命令。 将占位符文本 <resource-group> 和 <grafana-workspace> 替换为资源组和 Azure 托管 Grafana 工作区的名称。

az network private-endpoint-connection show --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

获取连接批准

创建专用终结点时，必须批准连接。 如果要为其创建专用终结点的资源位于目录中并且拥有 足够的权限，则会自动批准连接请求。 否则，必须等待该资源的所有者批准连接请求。

若要批准专用终结点连接，请使用 az network private-endpoint-connection approve 命令。 将占位符文本 <resource-group>、<private-endpoint> 和 <grafana-workspace> 替换为资源组、专用终结点和 Azure 托管 Grafana 资源的名称。

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.Dashboard/grafana --resource-name <grafana-workspace>

有关连接批准模型的详细信息，请转到管理 Azure 专用终结点。

删除专用终结点连接

若要删除专用终结点连接，请使用 az network private-endpoint-connection delete 命令。 将占位符文本 <resource-group> 和 <private-endpoint> 替换为资源组的名称和专用终结点的名称。

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

有关更多 CLI 命令，请转到 az network private-endpoint-connection