保护连接
为了确保您在使用 IBM Cloud Monitoring 时能够更好地控制数据并提高数据的安全性,您可以选择使用私有路由访问 IBM Cloud 服务端点。 专用路由无法通过互联网访问。 通过使用 IBM Cloud 专用服务端点功能,您可以保护您的数据免受来自公共网络的威胁,并逻辑上扩展您的专用网络。
- 您可以将 Monitoring 代理程序配置为仅使用专用端点。
- 您可以配置 Monitoring 实例以仅允许通过专用端点进行 API 调用。
可以将 Monitoring 服务配置为在仅公用端点或仅专用端点上发送和接收数据。 Web UI 仅在公共端点上可用。
准备工作
在需要决定选择哪个网络时,必须考虑以下因素:
- 有关服务和应用程序如何访问帐户中基于云的服务的企业需求
- 有关生产工作负载的安全性
- 行业合规性法规
例如,在 IBM Cloud 中工作时,可能具有以下需求:
- 无权访问因特网来连接到 IBM Cloud 服务
- 对帐户中工作负载建立隔离连接
有上述需求时,应从公用网络移到专用网络。
您可以配置一个 Monitoring 代理,通过公共网络或专用网络连接到 Monitoring 实例。 缺省情况下,该代理程序通过公用网络进行连接。
您可以通过公用网络或专用网络进行 API 调用。 缺省情况下,通过公用网络进行创建。
网络的类型定义了隔离级别和安全级别,这可配置用于在帐户中基于云的资源之间移动工作负载。 请考虑通过专用网络连接 Monitoring 代理程序。
设置私人服务终端
专用网络端点支持通过 IBM Cloud 专用网络而不是公用网络路由服务。 专用网络端点提供了唯一 IP 地址,您无需 VPN 连接就可访问该地址。
步骤 1: 启用帐户
如果要使用公共因特网上的连接,那么不必在 IBM Cloud 帐户上启用服务端点。
要使用专用网络端点,必须启用虚拟路由和转发 (VRF) 帐户功能。
您必须先在您的帐户中启用虚拟路由和转发,然后才能启用 IBM Cloud 专用服务终端。
- 要启用 VRF,请创建支持案例。
- 要启用服务端点,请使用 IBM Cloud CLI。 有关如何启用帐户的更多信息,请参阅 启用 VRF 和服务端点。
步骤 2: 通过专用端点强制执行 API 调用
为 VRF 和服务端点启用帐户后,可以配置 Monitoring 实例以仅允许通过专用端点进行 API 调用。
供应 Monitoring 服务的实例后,可以使用以下 CLI 命令来更新实例配置并对所有 API 命令强制实施专用端点:
ibmcloud resource service-instance-update <my-service-instance> --service-endpoints 'private'
或者,可以将 资源控制器 API 与针对 /resource_instances/{id} 端点的 PATCH 请求配合使用。
启用专用端点后,将拒绝通过公共端点进行的 API 调用。
步骤 3: 配置 Monitoring 代理程序以通过专用端点进行连接
为 VRF 和服务端点启用帐户后,可以配置 Monitoring 代理程序以通过专用网络连接到 IBM Cloud Monitoring 实例。
您可以将 Monitoring 配置为使用专用网络,将专用端点作为入口 URL。 要获取有关专用端点的信息,请参阅 专用端点。
将 Monitoring 代理程序配置为使用专用端点时会发生什么?
- 专用端点无法通过公用因特网进行访问。
- 所有流量都路由到 IBM Cloud 专用网络。
允许网络流量
当您设置了额外的防火墙,或在您的 IBM Cloud 基础设施中自定义防火墙设置时,您需要允许网络流量进入 Monitoring 服务。
通过端点采集
您可以选择通过公共或专用端点将数据发送到 Monitoring 服务。 请注意,您可能需要在主机中定义防火墙规则。
通过公共端点访问 Web UI
要访问 IBM Cloud Monitoring 网页界面,您可能需要在主机中定义防火墙规则。 要获取有关 Web UI 端点的信息,请参阅 Web UI 端点。
通过 Webhook 接收警报通知
要使用 Monitoring 服务的网络挂钩接收提醒通知,您可能需要为调用网络挂钩的子网定义防火墙规则。 要获取有关子网的信息,请参阅 Webhook 通知的子网。