共用方式為

私下連線至資料來源

在本指南中,您將了解如何使用受控私人端點將 Azure 受控 Grafana 工作區連線至資料來源。 Azure 受控 Grafana 的受控私人端點是在 Azure 受控 Grafana 服務所使用的受控虛擬網路中建立的端點。 它們會建立從該網路到 Azure 資料來源的私人連結。 Azure 受控 Grafana 會代表您設定及管理這些私人端點。

您可以從 Azure 管理型 Grafana 建立受管理的私人端點以進行存取:

  • 其他 Azure 受控服務,例如 Azure 監視器私人連結範圍或 Azure 監視器工作區
  • 您自己的自我裝載資料來源,例如,連線至私人連結服務後方的自我裝載 Prometheus

當您使用受控私人端點時,Azure 受控 Grafana 與其數據源之間的流量只會透過Microsoft骨幹網路傳輸,而不是因特網。 受控私人端點會使用受控虛擬網路中的私人 IP 位址,有效地將 Azure 受控 Grafana 工作區帶到該網路中。 受控私人端點會防止資料外泄。 每個受控私人端點都會對應至 Azure 中的特定資源,而不是整個服務。 您可以將連線限制為只有貴組織核准的資源。

先決條件

若要遵循本指南中的程式,您必須具備:

支援的資料來源

受控私人端點會使用支援私人連結的 Azure 服務。 使用它們,您可以透過私人連線,將 Azure 受控 Grafana 工作區連線到下列 Azure 資料存放區:

  • 適用於 Mongo DB 的 Azure Cosmos DB (RU虛擬核心 架構)
  • Azure Cosmos DB for PostgreSQL
  • Azure Data Explorer
  • Azure 監視器私人連結範圍 (例如,Log Analytics 工作區)
  • Azure 監視器工作區,適用於 Prometheus 的受管理服務
  • Azure SQL 受控實例
  • Azure SQL Server
  • Azure Databricks
  • 私人連結服務

當您在 Azure 受管理 Grafana 工作區中建立受管理私人端點時,會以 等待 狀態建立私人端點連線。 此動作會開始核准工作流程。 私人連結資源的擁有者會負責核准或拒絕新連線。 如果擁有者核准連線,就會建立私人連結。 否則,不會設定私人連結。

Azure 受控 Grafana 會顯示目前的連線狀態。 只有 處於已核准 狀態的受控私人端點可用來將流量傳送至連線到受控私人端點的私人鏈接資源。

受控私人端點是免費的。 數據源上可能會有與私人連結使用量相關聯的費用。 如需詳細資訊,請參閱數據源的定價詳細數據。

附註

如果您在 Azure Kubernetes Service (AKS) 叢集中執行私人數據源,如果服務 externalTrafficPolicy 設定為本機,Azure Private Link 服務必須使用與 Pod 子網不同的子網。 如果需要相同的子網路,服務應該使用叢集 externalTrafficPolicy。 請參閱雲端提供者 Azure

建立 Azure 監視器工作區的受控私人端點

您可以在 Azure 受控 Grafana 工作區中建立受控私人端點,以使用私人連結連線到支援的資料來源

  1. 在 Azure 入口網站中,流覽至您的 Grafana 工作區,然後選取 [設定>網络]。

  2. 選取 [受控私人端點],然後選取 [ 新增]。

    Azure 入口網站新增受控私人端點的螢幕快照。

  3. 在 [新增受控私人端點] 窗格中,填寫要連線之資源的必要資訊。

    Azure 入口網站的螢幕擷取畫面,Azure 監視器工作區的新受控私人端點詳細資料。

  4. 選取 Azure 資源類型,例如 Microsoft.Monitor/accounts 以使用 Prometheus 的 Azure Monitor 受管服務。

  5. 選取 [建立],以新增受控私人端點資源。

  6. 請連絡目標 Azure 監視器工作區的擁有者,以核准連線要求。

附註

核准新的私人端點連線之後,Azure 受控 Grafana 工作區與所選數據源之間的所有網路流量只會流經 Azure 骨幹網路。

如果您在虛擬網路內部有資料來源,您可以將 Azure 受控 Grafana 連線至該資料來源。 範例包括裝載在 Azure 虛擬機上的 InfluxDB 伺服器,以及裝載於 AKS 叢集內的 Loki 伺服器。

您必須先使用 Azure Private Link 服務,新增對該資源的私人連結存取權限。 設定私人鏈接的確切步驟取決於 Azure 資源的類型。 請參閱託管服務的文件。 例如, Azure Private Link 服務整合 說明如何藉由指定 kubernetes Service 物件,在 Azure Kubernetes Service 中建立私人連結服務。

設定私人鏈接服務之後,您可以在 Grafana 工作區中建立受控私人端點,以連線到新的私人連結。

  1. 在 Azure 入口網站中,流覽至您的 Grafana 資源,然後選取 [設定>網络]。

  2. 選取 [受控私人端點],然後選取 [ 新增]。

    Azure 入口網站新增受控私人端點的螢幕快照。

  3. 在 [新增受控私人端點] 窗格中,填寫要連線之資源的必要資訊。

    Azure 入口網站中私人鏈接服務的新受控私人端點詳細數據的螢幕快照。

    秘訣

    [網域名稱] 是選用欄位。 如果您指定網域名稱,Azure Managed Grafana 可確保該網域名稱解析至此 Grafana 服務受控網路內受控私人端點的私人 IP 位址。 您可以在 Grafana 資料來源的 URL 組態中使用這個網域名稱,而不是私人 IP 位址。 如果您為自行架設的數據存放區啟用 TLS 或伺服器名稱指示(SNI),則必須使用網域名稱。

  4. 選取 [建立],以新增受控私人端點資源。

  5. 請連絡目標私人連結服務的擁有者,以核准連線要求。

  6. 核准連線要求之後,請選取 [重新整理],以確保連線狀態為 [已核准],並顯示私人 IP 位址。

附註

您無法略過 [ 重新整理 ] 步驟。 刷新會觸發 Azure 管理的 Grafana 執行網路同步作業。 在核准新的受控私人端點連線之後,Azure 受控 Grafana 工作區與所選數據源之間的所有網路流量只會流經 Azure 骨幹網路。

後續步驟

在本操作指南中,您已了解如何設定 Azure 受控 Grafana工作區與資料來源之間的私人存取權限。

若要瞭解如何設定使用者對 Azure 受控 Grafana 工作區的私人存取,請參閱:

設定私人存取權限

  • Last updated on