Privátní koncové body pro Azure Data Explorer
Privátní koncové body pro cluster můžete použít k tomu, aby klienti ve virtuální síti mohli bezpečně přistupovat k datům přes privátní propojení. Privátní koncové body používají privátní IP adresy z adresního prostoru virtuální sítě k privátnímu připojení ke clusteru. Síťový provoz mezi klienty ve virtuální síti a clusterem, prochází přes virtuální síť a privátní propojení v páteřní síti Microsoftu, čímž eliminuje riziko ohrožení veřejného internetu.
Použití privátních koncových bodů pro váš cluster umožňuje:
- Zabezpečte cluster konfigurací brány firewall tak, aby blokovala všechna připojení ve veřejném koncovém bodu ke clusteru.
- Zvyšte zabezpečení virtuální sítě tím, že můžete zablokovat exfiltraci dat z virtuální sítě.
- Bezpečně se připojte ke clusterům z místních sítí, které se připojují k virtuální síti pomocí brány VPN nebo ExpressRoutes s privátním partnerským vztahem.
Přehled
Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti, která má přiřazené IP adresy z rozsahu IP adres vaší virtuální sítě. Když pro cluster vytvoříte privátní koncový bod, poskytuje zabezpečené připojení mezi klienty ve vaší virtuální síti a clusterem. Připojení mezi privátním koncovým bodem a clusterem používá zabezpečené privátní propojení.
Aplikace ve virtuální síti se můžou bezproblémově připojit ke clusteru přes privátní koncový bod. Mechanismy připojovací řetězec a autorizace jsou stejné jako u připojení k veřejnému koncovému bodu.
Když ve virtuální síti vytvoříte privátní koncový bod pro cluster, odešle se žádost o souhlas s žádostí o schválení vlastníkovi clusteru. Pokud je uživatel, který žádá o vytvoření privátního koncového bodu, také vlastníkem clusteru, žádost se automaticky schválí. Vlastníci clusteru můžou spravovat žádosti o souhlas a privátní koncové body clusteru na webu Azure Portal v rámci privátních koncových bodů.
Cluster můžete zabezpečit tak, aby přijímal pouze připojení z vaší virtuální sítě tím, že nakonfigurujete bránu firewall clusteru tak, aby odepřela přístup prostřednictvím svého veřejného koncového bodu ve výchozím nastavení. K povolení provozu z virtuální sítě s privátním koncovým bodem nepotřebujete pravidlo brány firewall, protože brána firewall clusteru řídí přístup pouze pro veřejný koncový bod. Naproti tomu privátní koncové body spoléhají na tok souhlasu pro udělení přístupu podsítí ke clusteru.
Plánování velikosti podsítě ve virtuální síti
Velikost podsítě použité k hostování privátního koncového bodu clusteru se po nasazení podsítě nedá změnit. Privátní koncový bod využívá více IP adres ve vaší virtuální síti. Vextrémních Toto zvýšení je způsobeno zvýšeným počtem přechodných účtů úložiště požadovaných jako pracovní účty pro ingestování do clusteru. Pokud je scénář ve vašem prostředí relevantní, musíte ho naplánovat při určování velikosti podsítě.
Poznámka:
Relevantní scénáře příjmu dat, které by byly zodpovědné za horizontální navýšení kapacity přechodných účtů úložiště, jsou příjem dat z místního souboru a asynchronní příjem dat z objektu blob.
Následující informace vám pomůžou určit celkový počet IP adres vyžadovaných vaším privátním koncovým bodem:
| Používání | Počet IP adres |
|---|---|
| Služba stroje | 0 |
| Služba pro správu dat | 0 |
| Přechodné účty úložiště | 6 |
| Rezervované adresy Azure | 5 |
| Celkem | 13 |
Poznámka:
Absolutní minimální velikost podsítě musí být /28 (14 použitelných IP adres). Pokud plánujete vytvořit cluster Azure Data Exploreru pro extrémní úlohy příjmu dat, jste na bezpečné straně se maskou sítě /24 .
Pokud jste vytvořili podsíť, která je příliš malá, můžete ji odstranit a vytvořit novou s větším rozsahem adres. Po opětovném vytvoření podsítě můžete pro cluster vytvořit nový privátní koncový bod.
Připojení k privátnímu koncovému bodu
Klienti ve virtuální síti používající privátní koncový bod by měli používat stejný připojovací řetězec pro cluster jako klienti připojující se k veřejnému koncovému bodu. Překlad DNS automaticky směruje připojení z virtuální sítě do clusteru přes privátní propojení.
Důležité
Pro připojení ke clusteru pomocí privátních koncových bodů použijte stejný připojovací řetězec jako pro připojení k veřejnému koncovému bodu. Nepřipojujte se ke clusteru pomocí adresy URL subdomény privátního odkazu.
Azure Data Explorer ve výchozím nastavení vytvoří privátní zónu DNS připojenou k virtuální síti s potřebnými aktualizacemi pro privátní koncové body. Pokud ale používáte vlastní server DNS, možná budete muset provést další změny konfigurace DNS.
Důležité
Pro optimální konfiguraci doporučujeme, abyste své nasazení srovnáli s doporučeními v privátním koncovém bodu a konfiguraci DNS ve škálovací platformě Cloud Adoption Framework. Informace v článku slouží k automatizaci vytváření položek Privátní DNS pomocí zásad Azure, což usnadňuje správu nasazení při škálování.
Azure Data Explorer vytvoří v rámci nasazení privátního koncového bodu několik viditelných plně kvalifikovaných názvů zákazníků. Kromě plně kvalifikovaného názvu domény dotazu a příjmu dat obsahuje několik plně kvalifikovaných názvů domén pro objekty blob nebo tabulky nebo koncové body fronty (potřebné pro scénáře příjmu dat).
Zakázání veřejného přístupu
Pokud chcete zvýšit zabezpečení, můžete také zakázat veřejný přístup ke clusteru na webu Azure Portal.
Spravované privátní koncové body
Pomocí spravovaného privátního koncového bodu můžete clusteru umožnit zabezpečený přístup ke službám souvisejícím s příjmem dat nebo dotazování prostřednictvím jejich privátního koncového bodu. Díky tomu může cluster Azure Data Exploreru přistupovat k vašim prostředkům přes privátní IP adresu.
Podporované služby
Azure Data Explorer podporuje vytváření spravovaných privátních koncových bodů pro následující služby:
- Azure Event Hubs
- Azure IoT Hubs
- Účet služby Azure Storage
- Azure Data Explorer
- Azure SQL
- Azure Digital Twins
Omezení
Privátní koncové body se nepodporují pro clustery Azure Data Exploreru vložené do virtuální sítě.
Důsledky nákladů
Privátní koncové body nebo spravované privátní koncové body jsou prostředky, které účtují další náklady. Náklady se liší v závislosti na vybrané architektuře řešení. Další informace najdete v tématu o cenách služby Azure Private Link.