Application Insights 中的托管工作区

Azure MonitorApplication Insights 需要连接到 Log Analytics 工作区来存储和分析遥测数据。 为了简化部署，在创建资源期间未指定托管工作区时，Application Insights 会自动创建托管工作区。

什么是托管工作区？

托管工作区是 Application Insights 代表你创建和管理的 Log Analytics 工作区。 此工作区由创建它的 Application Insights 资源独占使用。

如果在未指定 Log Analytics 工作区的情况下创建 Application Insights 资源，Azure 会自动创建托管工作区。 如果您尝试创建传统的 Application Insights 资源，Azure 会创建一个基于工作区的版本，该版本使用托管工作区。

在创建托管工作区期间会发生什么情况？

Azure 在 Application Insights 部署期间创建托管工作区时，将执行以下作：

• 它在指定的订阅和资源组中创建 Application Insights 资源。
• 它创建 Log Analytics 工作区并将其链接到 Application Insights 资源。
• 它会创建新的资源组，并将托管工作区置于该组中。

局限性

托管工作区具有以下限制：

• 仅支持创建它们的 Application Insights 资源。 托管工作区不能用于诊断设置、自定义日志或其他 Application Insights 实例。
• 允许对工作区设置（如配额）进行更改，但不能将工作区重新用于其他用途。
• 无法将标记添加到托管工作区。
• 要删除托管工作区，必须先删除连接的 Application Insights 资源。 若要保留 Application Insights 资源，请将其连接到其他工作区，然后删除托管工作区。

标识托管工作区

Application Insights 创建的托管工作区遵循特定的命名约定。

托管工作区组

• 名称：ai_<APPINSIGHTS RESOURCE NAME>_<APPINSIGHTS RESOURCE ID>_managed
• 托管者：关联的 Application Insights 资源

托管 Log Analytics 工作区

• 名称：managed-<APPINSIGHTS RESOURCE NAME>-ws

可以通过在 Azure 门户中检查 Managed By 属性来标识管理资源。

删除托管工作区

删除托管工作区需要它不再连接到任何其他资源或资源组。 如果要删除管理工作区，必须完成以下步骤：

1. 删除基于工作区的 Application Insights 资源：可以通过将 Application Insights 资源连接到其他 Log Analytics 工作区或删除 Application Insights 资源来完成此步骤。
2. 删除资源组

完成这两个操作后，可以删除托管的工作区。

自动迁移的经典资源

从 2025 年 4 月开始，经典 Application Insights 资源会自动迁移到基于工作区的资源。 作为迁移的一部分：

• 经典 Application Insights 资源被转换为基于工作区的资源。
• 将创建托管 Log Analytics 工作区并将其链接到已迁移的资源。
• 工作区放置在新的资源组中。 新组不会从 Application Insights 资源组继承访问权限。 但是，由于以资源为中心的访问控制，具有适当权限的用户仍可以通过 Application Insights 资源查询遥测数据。

自动迁移的限制

在采取额外步骤之前，无法迁移某些经典 Application Insights 资源。 在以下方案中阻止迁移：

• 在资源名称或资源组名称中使用 Unicode 或非 UTF-8 字符。
• 阻止在订阅中创建 Log Analytics 工作区。
• 强制实施策略，防止在订阅中创建新资源。
• 即将达到订阅中的资源组限制。 每个迁移的资源都获取其自己的工作区和资源组。 如果订阅已有许多资源组或经典 Application Insights 资源，则可能没有足够的剩余配额。 Azure 订阅最多支持 980 个资源组。

若要完成迁移，请更新订阅或资源配置，以删除前面提到的阻止程序。

若要防止服务中断，请解决这些问题并 手动迁移经典 Application Insights 资源。

AMPLS 注意事项

如果 Application Insights 资源使用 Azure Monitor 专用链接范围 （AMPLS），请查看本指南以避免迁移到 Log Analytics 工作区后的数据访问问题。

迁移期间发生哪些更改

经典 Application Insights 资源支持用于引入和查询的公共网络访问（PNA）设置。 某些 AMPLS 用户禁用公共查询，以限制对专用网络的遥测访问。

在迁移过程中，该过程会将 PNA 设置从经典资源复制到新的 Log Analytics 工作区。 为了安全起意，它不会将工作区添加到 AMPLS。 此设计使资源所有者可以完全控制专用网络访问。

如果禁用公共查询访问并且工作区未与 AMPLS 关联，则迁移后，来自专用网络的遥测查询会失败。 若要还原访问权限，请将工作区添加到 AMPLS 或启用公共查询访问。

无论 PNA 设置或 AMPLS 范围如何，遥测引入都会继续。 从 Application Insights 终结点到 Log Analytics 工作区的引入路径使用Microsoft的 Azure 主干网络。 迁移不会中断数据收集。

常见配置

迁移前（工作状态）

• Application Insights 是 AMPLS 的一部分。
• PNA（查询）：已禁用
• PNA（引入）：已禁用
• 查询和引入工作来自专用网络。

迁移后（问题状态）

• Log Analytics 工作区保留相同的 PNA 设置。
• 工作区未与 AMPLS 关联。
• 来自专用网络的查询失败。 工作区会阻止访问，因为它不信任网络。

手动更新后（工作状态）

• 工作区已添加到 AMPLS 中。
• 已还原私人查询访问。
• 查询和引入工作来自专用网络。

所需操作

如果使用 AMPLS，请执行以下步骤：

• 将 Log Analytics 工作区添加到 AMPLS ，以维护专用查询访问。
• 或者，如果不需要专用访问，请为查询启用 PNA。
• 迁移后，验证来自虚拟网络的遥测查询访问。

如何将工作区添加到 AMPLS

1. 导航到 Azure Monitor 专用链接范围。
2. 选择 AMPLS 资源。
3. 打开“资源关联”。
4. 选择 并添加。
5. 选择迁移期间创建的 Log Analytics 工作区。
6. 保存配置。

由于策略限制而阻止迁移

由于订阅中的 Azure 策略限制，某些 Application Insights 资源无法自动迁移。 这些限制可防止迁移过程创建必要的 Log Analytics 工作区或资源组。

常见策略限制包括：

• 需要特定的命名约定
• 在资源或资源组上强制执行所需标签
• 限制资源部署允许的区域
• 阻止创建新资源组

这些策略在管理组、订阅或资源组级别定义和强制执行。 迁移过程尊重这些策略，不会重写它们。 如果策略阻止迁移，进程将停止，并且不会再次尝试针对该资源进行迁移。

可以预期什么

• Microsoft不会针对策略阻止的资源重试自动迁移。
• Microsoft继续将遥测引入经典资源，直到 2025 年 7 月 31 日。
• Microsoft在引入停止后保留可用于查询的现有数据，但不收集新的遥测数据。

所需操作

要完成迁移，请按照以下步骤操作：

• 手动迁移每个未自动迁移的 Application Insights 资源。
• 使用符合组织策略要求的 Log Analytics 工作区，包括资源组、标记、位置和命名标准。

如果需要有关更新 Azure 策略的帮助，请联系组织的策略管理员。

后续步骤

• 查看 托管工作区常见问题解答中的常见问题。
• 将经典资源迁移到基于工作区的 Application Insights。
• 创建和配置 Application Insights 资源。
• 在 Application Insights 中管理连接字符串。
• 了解数据收集的工作原理。
• 阅读 Application Insights 概述。