Compartir a través de


Implementación del clúster Azure Data Explorer en la red virtual

Advertencia

La inyección de red virtual se retirará de Azure Data Explorer el 1 de febrero de 2025. Para más información sobre el desuso, consulte Desuso de la inyección de red virtual para Azure Data Explorer.

En este artículo se explican los recursos que están presentes cuando se implementa un clúster de Azure Data Explorer en una red virtual de Azure personalizada. Esta información le ayudará a implementar un clúster en una subred de la red virtual (VNet). Para más información sobre las redes virtuales de Azure, vea ¿Qué es Azure Virtual Network?

Diagrama que muestra un esquema de la arquitectura de red virtual.

Azure Data Explorer admite la implementación de un clúster en una subred de la red virtual (VNet). Esta funcionalidad le permite:

Acceso al clúster de Azure Data Explorer en la red virtual

Puede acceder al clúster de Azure Data Explorer mediante las siguientes direcciones IP para cada servicio (servicios de administración de datos y motor):

  • IP privada: se usa para acceder al clúster dentro de la red virtual.
  • IP pública: se usa para acceder al clúster desde fuera de la red virtual para la administración y la supervisión, y como una dirección de origen para las conexiones salientes iniciadas desde el clúster.

Importante

Las reglas predeterminadas de grupo de seguridad de red bloquean el acceso a direcciones IP públicas fuera de la red virtual. Para llegar a un punto de conexión público, debe agregar una excepción para las direcciones IP públicas en el grupo de seguridad de red.

Se crean los siguientes registros DNS para acceder al servicio:

  • [clustername].[geo-region].kusto.windows.net (motor) ingest-[clustername].[geo-region].kusto.windows.net (administración de datos) se asignan a la dirección IP pública de cada servicio.

  • private-[clustername].[geo-region].kusto.windows.net (motor) ingest-private-[clustername].[geo-region].kusto.windows.net\private-ingest-[clustername].[geo-region].kusto.windows.net (administración de datos) se asignan a la dirección IP privada de cada servicio.

Planeamiento del tamaño de la subred en la red virtual

El tamaño de la subred que se usa para hospedar un clúster de Azure Data Explorer no se puede modificar una vez implementada la subred. En la red virtual, Azure Data Explorer usa una dirección IP privada para cada máquina virtual y dos direcciones IP privadas para los equilibradores de carga internos (motor y administración de datos). Las redes de Azure también usan cinco direcciones IP para cada subred. Azure Data Explorer aprovisiona dos máquinas virtuales para el servicio de administración de datos. Las máquinas virtuales del servicio de motor se aprovisionan por capacidad de escala de configuración de usuario.

El número total de direcciones IP:

Usar Número de direcciones
Servicio de motor 1 por instancia
Servicio de administración de datos 2
Equilibradores de carga internos 2
Direcciones reservadas de Azure 5
Total #instancias_de_motor + 9

Importante

  • Asegúrese de planear el tamaño de la subred antes de implementar Azure Data Explorer. Una vez implementado, no se puede cambiar el tamaño de la subred.
  • Asegúrese de que no implementa ningún otro recurso o servicio de Azure en la subred en la que planea implementar Azure Data Explorer. Si lo hace, se impedirá que Azure Data Explorer se inicie al reanudarse desde un estado suspendido.

Puntos de conexión de servicio para conectarse a Azure Data Explorer

Los puntos de conexión de servicio de Azure permiten proteger los recursos multiinquilino de Azure en la red virtual. La implementación del clúster en la subred le permite configurar conexiones de datos con Event Hubs o Event Grid mientras se restringen los recursos subyacentes de la subred de Azure Data Explorer.

Puntos de conexión privados

Los puntos de conexión privados permiten el acceso privado a los recursos de Azure (como Storage/Event Hub/Data Lake Gen 2) y usar una IP privada desde su instancia de Virtual Network, lo que lleva al recurso a su red virtual. Cree un punto de conexión privado a los recursos utilizados por las conexiones de datos, como Event Hub y Storage, y las tablas externas como Storage, Data Lake Gen 2 y SQL Database, desde la red virtual para acceder a los recursos subyacentes de forma privada.

Nota:

La configuración de un punto de conexión privado requiere la configuración de DNS. Solo se da soporte técnico a la configuración de la zona de DNS privado de Azure. No se admite un servidor DNS personalizado.

Configuración de las reglas del grupo de seguridad de red

Los NSG permiten controlar el acceso a la red dentro de una red virtual. Debe configurar los grupos de seguridad de red para que el clúster de Azure Data Explorer funcione en la red virtual.

Configuración de las reglas de grupo de seguridad de red mediante la delegación de subred

La delegación de subred es el método predeterminado para configurar reglas de grupo de seguridad de red para clústeres de Azure Data Explorer implementados en una subred de la red virtual. Al usar la delegación de subred, debe delegarla en Microsoft.Kusto/clusters antes de crear el clúster en la subred.

Al habilitar la delegación de subred en la subred del clúster, el servicio puede definir sus condiciones previas para la implementación en forma de directivas de intención de red. Al crear el clúster en la subred, las configuraciones del grupo de seguridad de red mencionadas en las secciones siguientes se crean automáticamente.

Advertencia

Al cambiar la configuración de delegación de subred, finalmente se interrumpirá el funcionamiento normal del clúster. Por ejemplo, después de detener el clúster, es posible que no pueda iniciar el clúster, ejecutar comandos de administración o aplicar la supervisión de estado en el clúster.

Configuración manual de las reglas del grupo de seguridad de red

Como alternativa, puede configurar manualmente el grupo de seguridad de red. De forma predeterminada, la implementación de un clúster en una red virtual exige la delegación de subred para que se configure "Microsoft.Kusto/clusters". No participar en este requisito es posible mediante el panel Características en vista previa.

Advertencia

La configuración manual de reglas del grupo de seguridad de red para el clúster no es sencilla y requiere que supervise constantemente este artículo para conocer los cambios. Se recomienda encarecidamente usar la delegación de subred para el clúster o, si lo prefiere, considere la posibilidad de usar una solución basada en un punto de conexión privado.

Configuración de NSG de entrada

Usar From Para Protocolo
Administración Direcciones de administración de Azure Data Explorer/AzureDataExplorerManagement(ServiceTag) YourAzureDataExplorerSubnet:443 TCP
Supervisión del estado Direcciones de supervisión de estado de Azure Data Explorer YourAzureDataExplorerSubnet:443 TCP
Comunicación interna de Azure Data Explorer YourAzureDataExplorerSubnet: Todos los puertos YourAzureDataExplorerSubnet: Todos los puertos All
Permitir entrada de Azure Load Balancer (sondeo de estado) AzureLoadBalancer YourAzureDataExplorerSubnet:80,443 TCP

Configuración de NSG de salida

Usar From Para Protocolo
Dependencia de Azure Storage YourAzureDataExplorerSubnet Almacenamiento: 443 TCP
Dependencia de Azure Data Lake YourAzureDataExplorerSubnet AzureDataLake: 443 TCP
Ingesta y supervisión de servicios de Event Hubs YourAzureDataExplorerSubnet EventHub: 443,5671 TCP
Publicación de métricas YourAzureDataExplorerSubnet AzureMonitor: 443 TCP
Active Directory (si es aplicable) YourAzureDataExplorerSubnet AzureActiveDirectory: 443 TCP
Dependencia de KeyVault YourAzureDataExplorerSubnet AzureKeyVault:443 TCP
Entidad de certificación YourAzureDataExplorerSubnet Internet: 80 TCP
Comunicación interna YourAzureDataExplorerSubnet Subred de Azure Data Explorer:todos los puertos All
Puertos que se usan para los complementos sql\_request y http\_request YourAzureDataExplorerSubnet Internet: personalizado TCP

En las secciones siguientes se muestran las direcciones IP pertinentes para la administración y la supervisión del estado.

Nota:

Puede omitir las siguientes listas si la subred está delegada en Microsoft.Kusto/clusters, tal como se describe en Configuración de las reglas de grupo de seguridad de red mediante la delegación de subred. En este escenario, es posible que las direcciones IP no estén actualizadas, pero se actualizarán automáticamente cuando se asignen al clúster las reglas de NSG necesarias.

Direcciones IP de administración de Azure Data Explorer

Nota:

Para futuras implementaciones, use la etiqueta de servicio AzureDataExplorer

Region Direcciones
Centro de Australia 20.37.26.134
Centro de Australia 2 20.39.99.177
Este de Australia 40.82.217.84
Sudeste de Australia 20.40.161.39
Sur de Brasil 191.233.25.183
Sudeste de Brasil 191.232.16.14
Centro de Canadá 40.82.188.208
Este de Canadá 40.80.255.12
Centro de la India 40.81.249.251, 104.211.98.159
Centro de EE. UU. 40.67.188.68
EUAP del centro de EE. UU. 40.89.56.69
Este de China 2 139.217.184.92
Norte de China 2 139.217.60.6
Este de Asia 20.189.74.103
Este de EE. UU. 52.224.146.56
Este de EE. UU. 2 52.232.230.201
EUAP de Este de EE. UU. 2 52.253.226.110
Centro de Francia 40.66.57.91
Sur de Francia 40.82.236.24
Centro-oeste de Alemania 51.116.98.150
Japón Oriental 20.43.89.90
Japón Occidental 40.81.184.86
Centro de Corea del Sur 40.82.156.149
Corea del Sur 40.80.234.9
Centro-Norte de EE. UU 40.81.43.47
Norte de Europa 52.142.91.221
Este de Noruega 51.120.49.100
Oeste de Noruega 51.120.133.5
Centro de Polonia 20.215.208.177
Norte de Sudáfrica 102.133.129.138
Oeste de Sudáfrica 102.133.0.97
Centro-sur de EE. UU. 20.45.3.60
Sudeste de Asia 40.119.203.252
Sur de la India 40.81.72.110, 104.211.224.189
Norte de Suiza 20.203.198.33
Oeste de Suiza 51.107.98.201
Centro de Emiratos Árabes Unidos 20.37.82.194
Norte de Emiratos Árabes Unidos 20.46.146.7
Sur de Reino Unido 2 40.81.154.254
Oeste de Reino Unido 40.81.122.39
Departamento de Defensa de centro de EE. UU. 52.182.33.66
Departamento de Defensa del este de EE. UU 52.181.33.69
USGov: Arizona 52.244.33.193
USGov Texas 52.243.157.34
USGov Virginia 52.227.228.88
Centro-Oeste de EE. UU. 52.159.55.120
Oeste de Europa 51.145.176.215
Oeste de la India 40.81.88.112
Oeste de EE. UU. 13.64.38.225
Oeste de EE. UU. 2 40.90.219.23
Oeste de EE. UU. 3 20.40.24.116

Direcciones de supervisión de estado

Region Direcciones
Centro de Australia 52.163.244.128, 20.36.43.207, 20.36.44.186, 20.36.45.105, 20.36.45.34, 20.36.44.177, 20.36.45.33, 20.36.45.9
Centro de Australia 2 52.163.244.128
Este de Australia 52.163.244.128, 13.70.72.44, 52.187.248.59, 52.156.177.51, 52.237.211.110, 52.237.213.135, 104.210.70.186, 104.210.88.184, 13.75.183.192, 52.147.30.27, 13.72.245.57
Sudeste de Australia 52.163.244.128, 13.77.50.98, 52.189.213.18, 52.243.76.73, 52.189.194.173, 13.77.43.81, 52.189.213.33, 52.189.216.81, 52.189.233.66, 52.189.212.69, 52.189.248.147
Sur de Brasil 23.101.115.123, 191.233.203.34, 191.232.48.69, 191.232.169.24, 191.232.52.16, 191.239.251.52, 191.237.252.188, 191.234.162.82, 191.232.49.124, 191.232.55.149, 191.232.49.236
Centro de Canadá 23.101.115.123, 52.228.121.143, 52.228.121.146, 52.228.121.147, 52.228.121.149, 52.228.121.150, 52.228.121.151, 20.39.136.152, 20.39.136.155, 20.39.136.180, 20.39.136.185, 20.39.136.187, 20.39.136.193, 52.228.121.152, 52.228.121.153, 52.228.121.31, 52.228.118.139, 20.48.136.29, 52.228.119.222, 52.228.121.123
Este de Canadá 23.101.115.123, 40.86.225.89, 40.86.226.148, 40.86.227.81, 40.86.225.159, 40.86.226.43, 40.86.227.75, 40.86.231.40, 40.86.225.81
Centro de la India 52.163.244.128, 52.172.204.196, 52.172.218.144, 52.172.198.236, 52.172.187.93, 52.172.213.78, 52.172.202.195, 52.172.210.146
Centro de EE. UU. 23.101.115.123, 13.89.172.11, 40.78.130.218, 40.78.131.170, 40.122.52.191, 40.122.27.37, 40.113.224.199, 40.122.118.225, 40.122.116.133, 40.122.126.193, 40.122.104.60
EUAP del centro de EE. UU. 23.101.115.123
Este de China 2 40.73.96.39
Norte de China 2 40.73.33.105
Este de Asia 52.163.244.128, 13.75.34.175, 168.63.220.81, 207.46.136.220, 168.63.210.90, 23.101.15.21, 23.101.7.253, 207.46.136.152, 65.52.180.140, 23.101.13.231, 23.101.3.51
Este de EE. UU. 52.249.253.174, 52.149.248.192, 52.226.98.175, 52.226.98.216, 52.149.184.133, 52.226.99.54, 52.226.99.58, 52.226.99.65, 52.186.38.56, 40.88.16.66, 40.88.23.108, 52.224.135.234, 52.151.240.130, 52.226.99.68, 52.226.99.110, 52.226.99.115, 52.226.99.127, 52.226.99.153, 52.226.99.207, 52.226.100.84, 52.226.100.121, 52.226.100.138, 52.226.100.176, 52.226.101.50, 52.226.101.81, 52.191.99.133, 52.226.96.208, 52.226.101.102, 52.147.211.11, 52.147.211.97, 52.147.211.226, 20.49.104.10
Este de EE. UU. 2 104.46.110.170, 40.70.147.14, 40.84.38.74, 52.247.116.27, 52.247.117.99, 52.177.182.76, 52.247.117.144, 52.247.116.99, 52.247.67.200, 52.247.119.96, 52.247.70.70
EUAP de Este de EE. UU. 2 104.46.110.170
Centro de Francia 40.127.194.147, 40.79.130.130, 40.89.166.214, 40.89.172.87, 20.188.45.116, 40.89.133.143, 40.89.148.203, 20.188.44.60, 20.188.45.105, 20.188.44.152, 20.188.43.156
Sur de Francia 40.127.194.147
Japón Oriental 52.163.244.128, 40.79.195.2, 40.115.138.201, 104.46.217.37, 40.115.140.98, 40.115.141.134, 40.115.142.61, 40.115.137.9, 40.115.137.124, 40.115.140.218, 40.115.137.189
Japón Occidental 52.163.244.128, 40.74.100.129, 40.74.85.64, 40.74.126.115, 40.74.125.67, 40.74.128.17, 40.74.127.201, 40.74.128.130, 23.100.108.106, 40.74.128.122, 40.74.128.53
Centro de Corea del Sur 52.163.244.128, 52.231.77.58, 52.231.73.183, 52.231.71.204, 52.231.66.104, 52.231.77.171, 52.231.69.238, 52.231.78.172, 52.231.69.251
Corea del Sur 52.163.244.128, 52.231.200.180, 52.231.200.181, 52.231.200.182, 52.231.200.183, 52.231.153.175, 52.231.164.160, 52.231.195.85, 52.231.195.86, 52.231.195.129, 52.231.200.179, 52.231.146.96
Centro-Norte de EE. UU 23.101.115.123
Norte de Europa 40.127.194.147, 40.85.74.227, 40.115.100.46, 40.115.100.121, 40.115.105.188, 40.115.103.43, 40.115.109.52, 40.112.77.214, 40.115.99.5
Norte de Sudáfrica 52.163.244.128
Oeste de Sudáfrica 52.163.244.128
Centro-sur de EE. UU. 104.215.116.88, 13.65.241.130, 40.74.240.52, 40.74.249.17, 40.74.244.211, 40.74.244.204, 40.84.214.51, 52.171.57.210, 13.65.159.231
Sur de la India 52.163.244.128
Sudeste de Asia 52.163.244.128, 20.44.192.205, 20.44.193.4, 20.44.193.56, 20.44.193.98, 20.44.193.147, 20.44.193.175, 20.44.194.249, 20.44.196.82, 20.44.196.95, 20.44.196.104, 20.44.196.115, 20.44.197.158, 20.195.36.24, 20.195.36.25, 20.195.36.27, 20.195.36.37, 20.195.36.39, 20.195.36.40, 20.195.36.41, 20.195.36.42, 20.195.36.43, 20.195.36.44, 20.195.36.45, 20.195.36.46, 20.44.197.160, 20.44.197.162, 20.44.197.219, 20.195.58.80, 20.195.58.185, 20.195.59.60, 20.43.132.128
Norte de Suiza 51.107.58.160, 51.107.87.163, 51.107.87.173, 51.107.83.216, 51.107.68.81, 51.107.87.174, 51.107.87.170, 51.107.87.164, 51.107.87.186, 51.107.87.171
Sur de Reino Unido 2 40.127.194.147, 51.11.174.122, 51.11.173.237, 51.11.174.192, 51.11.174.206, 51.11.175.74, 51.11.175.129, 20.49.216.23, 20.49.216.160, 20.49.217.16, 20.49.217.92, 20.49.217.127, 20.49.217.151, 20.49.166.84, 20.49.166.178, 20.49.166.237, 20.49.167.84, 20.49.232.77, 20.49.232.113, 20.49.232.121, 20.49.232.130, 20.49.232.140, 20.49.232.169, 20.49.165.24, 20.49.232.240, 20.49.217.152, 20.49.217.164, 20.49.217.181, 51.145.125.189, 51.145.126.43, 51.145.126.48, 51.104.28.64
Oeste de Reino Unido 40.127.194.147, 51.140.245.89, 51.140.246.238, 51.140.248.127, 51.141.48.137, 51.140.250.127, 51.140.231.20, 51.141.48.238, 51.140.243.38
Departamento de Defensa de centro de EE. UU. 52.126.176.221, 52.126.177.43, 52.126.177.89, 52.126.177.90, 52.126.177.171, 52.126.177.233, 52.126.177.245, 52.126.177.150, 52.126.178.37, 52.126.178.44, 52.126.178.56, 52.126.178.59, 52.126.178.68, 52.126.178.70, 52.126.178.97, 52.126.178.98, 52.126.178.93, 52.126.177.54, 52.126.178.94, 52.126.178.129, 52.126.178.130, 52.126.178.142, 52.126.178.144, 52.126.178.151, 52.126.178.172, 52.126.178.179, 52.126.178.182, 52.126.178.187, 52.126.178.189, 52.126.178.154, 52.127.34.97
Departamento de Defensa del este de EE. UU 52.127.161.3, 52.127.163.115, 52.127.163.124, 52.127.163.125, 52.127.163.130, 52.127.163.131, 52.127.163.152, 20.140.189.226, 20.140.191.106, 20.140.191.107, 20.140.191.128, 52.127.161.234, 52.245.216.185, 52.245.216.186, 52.245.216.187, 52.245.216.160, 52.245.216.161, 52.245.216.162, 52.245.216.163, 52.245.216.164, 52.245.216.165, 52.245.216.166, 52.245.216.167, 52.245.216.168, 20.140.191.129, 20.140.191.144, 20.140.191.170, 52.245.214.70, 52.245.214.164, 52.245.214.189, 52.127.50.128
USGov: Arizona 52.244.204.5, 52.244.204.137, 52.244.204.158, 52.244.204.184, 52.244.204.225, 52.244.205.3, 52.244.50.212, 52.244.55.231, 52.244.205.91, 52.244.205.238, 52.244.201.244, 52.244.201.250, 52.244.200.92, 52.244.206.12, 52.244.206.58, 52.244.206.69, 52.244.206.83, 52.244.207.78, 52.244.203.11, 52.244.203.159, 52.244.203.238, 52.244.200.31, 52.244.202.155, 52.244.206.225, 52.244.218.1, 52.244.218.34, 52.244.218.38, 52.244.218.47, 52.244.202.7, 52.244.203.6, 52.127.2.97
USGov Texas 52.126.176.221, 52.126.177.43, 52.126.177.89, 52.126.177.90, 52.126.177.171, 52.126.177.233, 52.126.177.245, 52.126.177.150, 52.126.178.37, 52.126.178.44, 52.126.178.56, 52.126.178.59, 52.126.178.68, 52.126.178.70, 52.126.178.97, 52.126.178.98, 52.126.178.93, 52.126.177.54, 52.126.178.94, 52.126.178.129, 52.126.178.130, 52.126.178.142, 52.126.178.144, 52.126.178.151, 52.126.178.172, 52.126.178.179, 52.126.178.182, 52.126.178.187, 52.126.178.189, 52.126.178.154, 52.127.34.97
USGov Virginia 52.127.161.3, 52.127.163.115, 52.127.163.124, 52.127.163.125, 52.127.163.130, 52.127.163.131, 52.127.163.152, 20.140.189.226, 20.140.191.106, 20.140.191.107, 20.140.191.128, 52.127.161.234, 52.245.216.185, 52.245.216.186, 52.245.216.187, 52.245.216.160, 52.245.216.161, 52.245.216.162, 52.245.216.163, 52.245.216.164, 52.245.216.165, 52.245.216.166, 52.245.216.167, 52.245.216.168, 20.140.191.129, 20.140.191.144, 20.140.191.170, 52.245.214.70, 52.245.214.164, 52.245.214.189, 52.127.50.128
Centro-Oeste de EE. UU. 23.101.115.123, 13.71.194.194, 13.78.151.73, 13.77.204.92, 13.78.144.31, 13.78.139.92, 13.77.206.206, 13.78.140.98, 13.78.145.207, 52.161.88.172, 13.77.200.169
Oeste de Europa 213.199.136.176, 51.124.88.159, 20.50.253.190, 20.50.254.255, 52.143.5.71, 20.50.255.137, 20.50.255.176, 52.143.5.148, 20.50.255.211, 20.54.216.1, 20.54.216.113, 20.54.216.236, 20.54.216.244, 20.54.217.89, 20.54.217.102, 20.54.217.162, 20.50.255.109, 20.54.217.184, 20.54.217.197, 20.54.218.36, 20.54.218.66, 51.124.139.38, 20.54.218.71, 20.54.218.104, 52.143.0.117, 20.54.218.240, 20.54.219.47, 20.54.219.75, 20.76.10.82, 20.76.10.95, 20.76.10.139, 20.50.2.13
Oeste de la India 52.163.244.128
Oeste de EE. UU. 13.88.13.50, 40.80.156.205, 40.80.152.218, 104.42.156.123, 104.42.216.21, 40.78.63.47, 40.80.156.103, 40.78.62.97, 40.80.153.6
Oeste de EE. UU. 2 52.183.35.124, 40.64.73.23, 40.64.73.121, 40.64.75.111, 40.64.75.125, 40.64.75.227, 40.64.76.236, 40.64.76.240, 40.64.76.242, 40.64.77.87, 40.64.77.111, 40.64.77.122, 40.64.77.131, 40.91.83.189, 52.250.74.132, 52.250.76.69, 52.250.76.130, 52.250.76.137, 52.250.76.145, 52.250.76.146, 52.250.76.153, 52.250.76.177, 52.250.76.180, 52.250.76.191, 52.250.76.192, 40.64.77.143, 40.64.77.159, 40.64.77.195, 20.64.184.243, 20.64.184.249, 20.64.185.9, 20.42.128.97

Configuración de ExpressRoute

Use ExpressRoute para conectar la red local a Azure Virtual Network. Una configuración común consiste en anunciar la ruta predeterminada (0.0.0.0/0) a través de la sesión de Protocolo de puerta de enlace de borde (BGP). Esto obliga a que el tráfico que sale de la red virtual se reenvíe a la red local del cliente que puede quitar el tráfico, lo que interrumpirá los flujos de salida. Para superar este comportamiento predeterminado, se puede configurar Ruta definida por el usuario (UDR) (0.0.0.0/0) y el próximo salto será Internet. Como UDR tiene prioridad sobre BGP, el tráfico se destinará a Internet.

Protección del tráfico de salida con un firewall

Si quiere proteger el tráfico de salida mediante Azure Firewall o cualquier aplicación virtual para limitar los nombres de dominio, se deben permitir los siguientes nombres de dominio completos (FQDN) en el firewall.

prod.warmpath.msftcloudes.com:443
gcs.prod.monitoring.core.windows.net:443
production.diagnostics.monitoring.core.windows.net:443
graph.windows.net:443
graph.microsoft.com:443
*.login.microsoft.com :443
*.update.microsoft.com:443
login.live.com:443
wdcp.microsoft.com:443
login.microsoftonline.com:443
azureprofilerfrontdoor.cloudapp.net:443
*.core.windows.net:443
*.servicebus.windows.net:443,5671
shoebox2.metrics.nsatc.net:443
prod-dsts.dsts.core.windows.net:443
*.vault.azure.net
ocsp.msocsp.com:80
*.windowsupdate.com:80
ocsp.digicert.com:80
go.microsoft.com:80
dmd.metaservices.microsoft.com:80
www.msftconnecttest.com:80
crl.microsoft.com:80
www.microsoft.com:80
adl.windows.com:80
crl3.digicert.com:80

Nota:

  • Para restringir el acceso a las dependencias con un carácter comodín (*), use la API descrita en Cómo detectar dependencias automáticamente.

  • Si usa Azure Firewall, agregue una regla de red con las siguientes propiedades:

    Protocolo: TCP Tipo de origen: Dirección IP Origen: * Etiquetas de servicio: AzureMonitor Puertos de destino: 443

Configuración de la tabla de rutas

Debe configurar la tabla de rutas de la subred del clúster con Internet como próximo salto para evitar problemas de rutas asimétricas.

Configuración de la tabla de rutas mediante la delegación de subred

Se recomienda usar la delegación de subred para configurar la tabla de rutas para la implementación del clúster, de forma similar a cómo se realizó para las reglas de NSG. Al habilitar la delegación de subred en la subred del clúster, puede habilitar el servicio para configurar y actualizar la tabla de rutas automáticamente.

Configuración manual de la tabla de rutas

Como alternativa, puede configurar manualmente la tabla de rutas. De forma predeterminada, la implementación de un clúster en una red virtual exige la delegación de subred para que se configure "Microsoft.Kusto/clusters". No participar en este requisito es posible mediante el panel Características en vista previa.

Advertencia

La configuración manual de la tabla de rutas para el clúster no es sencilla y requiere que supervise constantemente este artículo para conocer los cambios. Se recomienda encarecidamente usar la delegación de subred para el clúster o, si lo prefiere, considere la posibilidad de usar una solución basada en un punto de conexión privado.

Para configurar manualmente la tabla de rutas, debe definirla en la subred. Tiene que agregar las direcciones de administración y seguimiento de estado con Internet como próximo salto.

Por ejemplo, para la región Oeste de EE. UU., se deben definir los UDR siguientes:

Nombre Prefijo de dirección Próximo salto
ADX_Management 13.64.38.225/32 Internet
ADX_Monitoring 23.99.5.162/32 Internet
ADX_Monitoring_1 40.80.156.205/32 Internet
ADX_Monitoring_2 40.80.152.218/32 Internet
ADX_Monitoring_3 104.42.156.123/32 Internet
ADX_Monitoring_4 104.42.216.21/32 Internet
ADX_Monitoring_5 40.78.63.47/32 Internet
ADX_Monitoring_6 40.80.156.103/32 Internet
ADX_Monitoring_7 40.78.62.97/32 Internet
ADX_Monitoring_8 40.80.153.6/32 Internet

Cómo detectar dependencias automáticamente

Azure Data Explorer proporciona una API que permite a los clientes detectar mediante programación todas las dependencias salientes externas (FQDN). Estas dependencias de salida permitirán a los clientes configurar un firewall en su lado para permitir el tráfico de administración mediante los FQDN dependientes. Los clientes pueden tener estos dispositivos de firewall en Azure o en el entorno local. Esta última opción podría provocar una latencia adicional y podría afectar al rendimiento del servicio. Los equipos de servicio tendrán que probar este escenario para evaluar el impacto en el rendimiento del servicio.

Se usa ARMClient para demostrar la API REST con PowerShell.

  1. Inicio de sesión con ARMClient

    armclient login
    
  2. Invoque la operación de diagnóstico.

    $subscriptionId = '<subscription id>'
    $clusterName = '<name of cluster>'
    $resourceGroupName = '<resource group name>'
    $apiversion = '2021-01-01'
    
    armclient get /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/OutboundNetworkDependenciesEndpoints?api-version=$apiversion
    
  3. Compruebe la respuesta.

    {
       "value":
       [
        ...
          {
            "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Kusto/Clusters/<clusterName>/OutboundNetworkDependenciesEndpoints/AzureActiveDirectory",
            "name": "<clusterName>/AzureActiveDirectory",
            "type": "Microsoft.Kusto/Clusters/OutboundNetworkDependenciesEndpoints",
            "etag": "\"\"",
            "location": "<AzureRegion>",
            "properties": {
              "category": "Azure Active Directory",
              "endpoints": [
                {
                  "domainName": "login.microsoftonline.com",
                  "endpointDetails": [
                    {
                      "port": 443
                    }
                  ]
                },
                {
                  "domainName": "graph.windows.net",
                  "endpointDetails": [
                    {
                      "port": 443
                    }
                  ]
                }
              ],
              "provisioningState": "Succeeded"
            }
          },
          {
            "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Kusto/Clusters/<clusterName>/OutboundNetworkDependenciesEndpoints/InternalTracing",
            "name": "<clustername>/InternalTracing",
            "type": "Microsoft.Kusto/Clusters/OutboundNetworkDependenciesEndpoints",
            "location": "Australia Central",
            "properties": {
              "category": "Internal Tracing",
              "endpoints": [
                {
                  "domainName": "ingest-<internalTracingCluster>.<region>.kusto.windows.net",
                  "endpointDetails": [
                    {
                      "port": 443,
                      "ipAddress": "25.24.23.22"
                    }
                  ]
                }
              ],
              "provisioningState": "Succeeded"
            }
        }
        ...
       ]
    }
    

Las dependencias salientes abarcan categorías como Microsoft Entra ID, Azure Monitor, Entidad de certificación, Azure Storage y Seguimiento interno. En cada categoría hay una lista de nombres de dominio y puertos necesarios para ejecutar el servicio. Se pueden usar para configurar mediante programación el dispositivo de firewall que prefiera.

Implementación de un clúster de Azure Data Explorer en la red virtual mediante una plantilla de Azure Resource Manager

Para implementar el clúster de Azure Data Explorer en la red virtual, use la plantilla de Azure Resource Manager Implementación del clúster de Azure Data Explorer en la red virtual.

Esta plantilla crea el clúster, la red virtual, la subred, el grupo de seguridad de red y las direcciones IP públicas.

Restricciones conocidas

  • Los recursos de red virtual con clústeres implementados no admiten el traslado a un nuevo grupo de recursos o a una operación de suscripción.
  • Los recursos de dirección IP pública que se usan para el motor de clúster o el servicio de administración de datos no admiten el traslado a una nueva operación de suscripción o grupo de recursos.
  • No es posible usar el prefijo DNS "privado" de la red virtual insertada en clústeres de Azure Data Explorer como parte de la consulta