Condividi tramite


Distribuire il cluster Esplora dati di Azure nel Rete virtuale

Avviso

Rete virtuale injection verrà ritirato per Azure Esplora dati entro il 1° febbraio 2025. Per altre informazioni sulla deprecazione, vedere Deprecazione di Rete virtuale injection per Azure Esplora dati.

Questo articolo illustra le risorse presenti quando si distribuisce un cluster di Azure Esplora dati in un'Rete virtuale di Azure personalizzata. Queste informazioni consentono di distribuire un cluster in una subnet nella Rete virtuale rete virtuale (VNet). Per altre informazioni sulle Rete virtuale di Azure, vedere Che cos'è Azure Rete virtuale?

diagramma che mostra l'architettura di rete virtuale schema.

Azure Esplora dati supporta la distribuzione di un cluster in una subnet nella Rete virtuale (VNet). Questa funzionalità consente di:

  • Applicare le regole del gruppo di sicurezza di rete (NSG) nel traffico del cluster di Azure Esplora dati.
  • Connettere la rete locale alla subnet dei cluster di Esplora dati di Azure.
  • Proteggere le origini di connessione dati (Hub eventi e Griglia di eventi) con gli endpoint di servizio.

Accedere al cluster Esplora dati di Azure nella rete virtuale

È possibile accedere al cluster Esplora dati di Azure usando gli indirizzi IP seguenti per ogni servizio (motore e servizi di gestione dei dati):

  • IP privato: usato per accedere al cluster all'interno della rete virtuale.
  • IP pubblico: usato per accedere al cluster dall'esterno della rete virtuale per la gestione e il monitoraggio e come indirizzo di origine per le connessioni in uscita avviate dal cluster.

Importante

Le regole del gruppo di sicurezza di rete predefinite bloccano l'accesso agli indirizzi IP pubblici all'esterno della rete virtuale. Per raggiungere un endpoint pubblico, è necessario aggiungere un'eccezione per gli indirizzi IP pubblici nel gruppo di sicurezza di rete.

Per accedere al servizio vengono creati i record DNS seguenti:

  • [clustername].[geo-region].kusto.windows.net (motore) ingest-[clustername].[geo-region].kusto.windows.net (gestione dei dati) viene eseguito il mapping all'indirizzo IP pubblico per ogni servizio.

  • private-[clustername].[geo-region].kusto.windows.net (motore) ingest-private-[clustername].[geo-region].kusto.windows.net\private-ingest-[clustername].[geo-region].kusto.windows.net (gestione dei dati) viene eseguito il mapping all'INDIRIZZO IP privato per ogni servizio.

Pianificare le dimensioni della subnet nella rete virtuale

Le dimensioni della subnet usata per ospitare un cluster di azure Esplora dati non possono essere modificate dopo la distribuzione della subnet. Nella rete virtuale, Azure Esplora dati usa un indirizzo IP privato per ogni macchina virtuale e due indirizzi IP privati per i servizi di bilanciamento del carico interno (motore e gestione dei dati). La rete di Azure usa anche cinque indirizzi IP per ogni subnet. Azure Esplora dati effettua il provisioning di due macchine virtuali per il servizio di gestione dei dati. Viene effettuato il provisioning delle macchine virtuali del servizio motore per ogni capacità di scalabilità della configurazione utente.

Numero totale di indirizzi IP:

Utilizzo Numero di indirizzi
Servizio motore 1 per istanza
Servizio di gestione dei dati 2
Servizi di bilanciamento del carico interni 2
Indirizzi riservati di Azure 5
Totali #engine_instances + 9

Importante

  • Assicurarsi di pianificare le dimensioni della subnet prima di distribuire Azure Esplora dati. Dopo la distribuzione, le dimensioni della subnet non possono essere modificate.
  • Assicurarsi di non distribuire altre risorse o servizi di Azure nella subnet in cui si prevede di distribuire Azure Esplora dati. In questo modo si impedisce l'avvio di Azure Esplora dati quando si riprende da uno stato sospeso.

Endpoint di servizio per la connessione ad Azure Esplora dati

Gli endpoint di servizio di Azure consentono di proteggere le risorse multi-tenant di Azure nella rete virtuale. La distribuzione del cluster nella subnet consente di configurare le connessioni dati con Hub eventi o Griglia di eventi, limitando al tempo stesso le risorse sottostanti per la subnet di Azure Esplora dati.

Endpoint privati

Gli endpoint privati consentono l'accesso privato alle risorse di Azure (ad esempio archiviazione/hub eventi/Data Lake Gen 2) e usano l'indirizzo IP privato del Rete virtuale, portando in modo efficace la risorsa nella rete virtuale. Creare un endpoint privato per le risorse usate dalle connessioni dati, ad esempio l'hub eventi e l'archiviazione, e tabelle esterne, ad esempio Archiviazione, Data Lake Gen 2 e database SQL dalla rete virtuale per accedere privatamente alle risorse sottostanti.

Nota

Per configurare l'endpoint privato è necessario configurare DNS, è supportato solo l'installazione della zona DNS privato di Azure. Il server DNS personalizzato non è supportato.

Configurare le regole del gruppo di sicurezza di rete

I gruppi di sicurezza di rete consentono di controllare l'accesso alla rete all'interno di una rete virtuale. È necessario configurare i gruppi di sicurezza di rete per il funzionamento del cluster Esplora dati di Azure nella rete virtuale.

Configurare le regole del gruppo di sicurezza di rete usando la delega della subnet

La delega della subnet è il metodo predefinito per configurare le regole del gruppo di sicurezza di rete per i cluster di Azure Esplora dati distribuiti in una subnet nella rete virtuale. Quando si usa la delega della subnet, è necessario delegare la subnet a Microsoft.Kusto/clusters prima di creare il cluster nella subnet.

Abilitando la delega della subnet nella subnet del cluster, si abilita il servizio per definire le relative condizioni preliminari per la distribuzione sotto forma di criteri di finalità di rete. Quando si crea il cluster nella subnet, le configurazioni del gruppo di sicurezza di rete indicate nelle sezioni seguenti vengono create automaticamente.

Avviso

La modifica della configurazione della delega della subnet interromperà il normale funzionamento del cluster. Ad esempio, dopo aver arrestato il cluster, potrebbe non essere possibile avviare il cluster, eseguire comandi di gestione o applicare il monitoraggio dell'integrità nel cluster.

Configurare manualmente le regole del gruppo di sicurezza di rete

In alternativa, è possibile configurare manualmente il gruppo di sicurezza di rete. Per impostazione predefinita, la distribuzione di un cluster in una rete virtuale impone la delega della subnet per la configurazione di "Microsoft.Kusto/clusters". Rifiutare esplicitamente questo requisito è possibile usando il riquadro Funzionalità di anteprima.

Avviso

La configurazione manuale delle regole del gruppo di sicurezza di rete per il cluster non è semplice e richiede di monitorare costantemente questo articolo per individuare le modifiche. È consigliabile usare la delega della subnet per il cluster o, se si preferisce, prendere in considerazione l'uso di una soluzione basata su endpoint privato.

Configurazione del gruppo di sicurezza di rete in ingresso

Uso Da Per Protocollo
Gestione Indirizzi di gestione di Azure Esplora dati/AzureDataExplorerManagement(ServiceTag) YourAzureDataExplorerSubnet:443 TCP
Monitoraggio dell’integrità Indirizzi di monitoraggio dell'integrità di Azure Esplora dati YourAzureDataExplorerSubnet:443 TCP
Azure Esplora dati comunicazione interna YourAzureDataExplorerSubnet: Tutte le porte Porte YourAzureDataExplorerSubnet:All Tutte le date
Consentire il servizio di bilanciamento del carico di Azure in ingresso (probe di integrità) AzureLoadBalancer YourAzureDataExplorerSubnet:80,443 TCP

Configurazione del gruppo di sicurezza di rete in uscita

Uso Da Per Protocollo
Dipendenza da Archiviazione di Azure YourAzureDataExplorerSubnet Archiviazione:443 TCP
Dipendenza da Azure Data Lake YourAzureDataExplorerSubnet AzureDataLake:443 TCP
Monitoraggio e inserimento di Hub eventi YourAzureDataExplorerSubnet EventHub:443,5671 TCP
Pubblicare metriche YourAzureDataExplorerSubnet AzureMonitor:443 TCP
Active Directory (se applicabile) YourAzureDataExplorerSubnet AzureActiveDirectory:443 TCP
Dipendenza da KeyVault YourAzureDataExplorerSubnet AzureKeyVault:443 TCP
Autorità di certificazione YourAzureDataExplorerSubnet Internet:80 TCP
Comunicazione interna YourAzureDataExplorerSubnet Subnet di Azure Esplora dati:Tutte le porte Tutte le date
Porte usate per sql\_request i plug-in e http\_request YourAzureDataExplorerSubnet Internet:Custom TCP

Le sezioni seguenti elencano gli indirizzi IP pertinenti per la gestione e il monitoraggio dell'integrità.

Nota

È possibile ignorare gli elenchi seguenti se la subnet è delegata a Microsoft.Kusto/clusters come descritto in Configurare le regole del gruppo di sicurezza di rete usando la delega della subnet. In questo scenario, gli indirizzi IP potrebbero non essere aggiornati, ma verranno aggiornati automaticamente quando le regole del gruppo di sicurezza di rete necessarie vengono assegnate al cluster.

Indirizzi IP di gestione di Azure Esplora dati

Nota

Per le distribuzioni future, usare il tag del servizio AzureDataExplorer

Paese Indirizzi
Australia centrale 20.37.26.134
Australia centrale 2 20.39.99.177
Australia orientale 40.82.217.84
Australia sud-orientale 20.40.161.39
Brasile meridionale 191.233.25.183
Brasile meridionale 191.232.16.14
Canada centrale 40.82.188.208
Canada orientale 40.80.255.12
India centrale 40.81.249.251, 104.211.98.159
Stati Uniti centrali 40.67.188.68
Stati Uniti centrali (EUAP) 40.89.56.69
Cina orientale 2 139.217.184.92
Cina settentrionale 2 139.217.60.6
Asia orientale 20.189.74.103
Stati Uniti orientali 52.224.146.56
Stati Uniti orientali 2 52.232.230.201
Stati Uniti orientali 2 EUAP 52.253.226.110
Francia centrale 40.66.57.91
Francia meridionale 40.82.236.24
Germania centro-occidentale 51.116.98.150
Giappone orientale 20.43.89.90
Giappone occidentale 40.81.184.86
Corea centrale 40.82.156.149
Corea meridionale 40.80.234.9
Stati Uniti centro-settentrionali 40.81.43.47
Europa settentrionale 52.142.91.221
Norvegia orientale 51.120.49.100
Norvegia occidentale 51.120.133.5
Polonia Centrale 20.215.208.177
Sudafrica settentrionale 102.133.129.138
Sudafrica occidentale 102.133.0.97
Stati Uniti centro-meridionali 20.45.3.60
Asia sud-orientale 40.119.203.252
India meridionale 40.81.72.110, 104.211.224.189
Svizzera settentrionale 20.203.198.33
Svizzera occidentale 51.107.98.201
Emirati Arabi Uniti centrali 20.37.82.194
Emirati Arabi Uniti settentrionali 20.46.146.7
Regno Unito meridionale 40.81.154.254
Regno Unito occidentale 40.81.122.39
Stati Uniti centrali DoD 52.182.33.66
Stati uniti orientali DoD 52.181.33.69
USGov Arizona 52.244.33.193
USGov Texas 52.243.157.34
USGov Virginia 52.227.228.88
Stati Uniti centro-occidentali 52.159.55.120
Europa occidentale 51.145.176.215
India occidentale 40.81.88.112
Stati Uniti occidentali 13.64.38.225
West US 2 40.90.219.23
Stati Uniti occidentali 3 20.40.24.116

Indirizzi di monitoraggio dell'integrità

Paese Indirizzi
Australia centrale 52.163.244.128, 20.36.43.207, 20.36.44.186, 20.36.45.105, 20.36.45.34, 20.36.44.177, 20.36.45.33, 20.36.45.9
Australia centrale 2 52.163.244.128
Australia orientale 52.163.244.128, 13.70.72.44, 52.187.248.59, 52.156.177.51, 52.237.211.110, 52.237.213.135, 104.210.70.186, 104.210.88.184, 13.75.183.192, 52.147.30.27, 13.72.245.57
Australia sud-orientale 52.163.244.128, 13.77.50.98, 52.189.213.18, 52.243.76.73, 52.189.194.173, 13.77.43.81, 52.189.213.33, 52.189.216.81, 52.189.233.66, 52.189.212.69, 52.189.248.147
Brasile meridionale 23.101.115.123, 191.233.203.34, 191.232.48.69, 191.232.169.24, 191.232.52.16, 191.239.251.52, 191.237.252.188, 191.234.162.82, 191.232.49.124, 191.232.55.149, 191.232.49.236
Canada centrale 23.101.115.123, 52.228.121.143, 52.228.121.146, 52.228.121.147, 52.228.121.149, 52.228.121.150, 52.228.121.151, 20.39.136.152, 20.39.136.155, 20.39.136.180, 20.39.136.185, 20.39.136.187, 20.39.136.193, 52.228.121.152, 52.228.121.153, 52.228.121.31, 52.228.118.139, 20.48.136.29, 52.228.119.222, 52.228.121.123
Canada orientale 23.101.115.123, 40.86.225.89, 40.86.226.148, 40.86.227.81, 40.86.225.159, 40.86.226.43, 40.86.227.75, 40.86.231.40, 40.86.225.81
India centrale 52.163.244.128, 52.172.204.196, 52.172.218.144, 52.172.198.236, 52.172.187.93, 52.172.213.78, 52.172.202.195, 52.172.210.146
Stati Uniti centrali 23.101.115.123, 13.89.172.11, 40.78.130.218, 40.78.131.170, 40.122.52.191, 40.122.27.37, 40.113.224.199, 40.122.118.225, 40.122.116.133, 40.122.126.193, 40.122.104.60
Stati Uniti centrali (EUAP) 23.101.115.123
Cina orientale 2 40.73.96.39
Cina settentrionale 2 40.73.33.105
Asia orientale 52.163.244.128, 13.75.34.175, 168.63.220.81, 207.46.136.220, 168.63.210.90, 23.101.15.21, 23.101.7.253, 207.46.136.152, 65.52.180.140, 23.101.13.231, 23.101.3.51
Stati Uniti orientali 52.249.253.174, 52.149.248.192, 52.226.98.175, 52.226.98.216, 52.149.184.133, 52.226.99.54, 52.226.99.58, 52.226.99.65, 52.186.38.56, 40.88.16.66, 40.88.23.108, 52.224.135.234, 52.151.240.130, 52.226.99.68, 52.226.99.110, 52.226.99.115, 52.226.99.127, 52.226.99.153, 52.226.99.207, 52.226.100.84, 52.226.100.121, 52.226.100.138, 52.226.100.176, 52.226.101.50, 52.226.101.81, 52.191.99.133, 52.226.96.208, 52.226.101.102, 52.147.211.11, 52.147.211.97, 52.147.211.226, 20.49.104.10
Stati Uniti orientali 2 104.46.110.170, 40.70.147.14, 40.84.38.74, 52.247.116.27, 52.247.117.99, 52.177.182.76, 52.247.117.144, 52.247.116.99, 52.247.67.200, 52.247.119.96, 52.247.70.70
Stati Uniti orientali 2 EUAP 104.46.110.170
Francia centrale 40.127.194.147, 40.79.130.130, 40.89.166.214, 40.89.172.87, 20.188.45.116, 40.89.133.143, 40.89.148.203, 20.188.44.60, 20.188.45.105, 20.188.44.152, 20.188.43.156
Francia meridionale 40.127.194.147
Giappone orientale 52.163.244.128, 40.79.195.2, 40.115.138.201, 104.46.217.37, 40.115.140.98, 40.115.141.134, 40.115.142.61, 40.115.137.9, 40.115.137.124, 40.115.140.218, 40.115.137.189
Giappone occidentale 52.163.244.128, 40.74.100.129, 40.74.85.64, 40.74.126.115, 40.74.125.67, 40.74.128.17, 40.74.127.201, 40.74.128.130, 23.100.108.106, 40.74.128.122, 40.74.128.53
Corea centrale 52.163.244.128, 52.231.77.58, 52.231.73.183, 52.231.71.204, 52.231.66.104, 52.231.77.171, 52.231.69.238, 52.231.78.172, 52.231.69.251
Corea meridionale 52.163.244.128, 52.231.200.180, 52.231.200.181, 52.231.200.182, 52.231.200.183, 52.231.153.175, 52.231.164.160, 52.231.195.85, 52.231.195.86, 52.231.195.129, 52.231.200.179, 52.231.146.96
Stati Uniti centro-settentrionali 23.101.115.123
Europa settentrionale 40.127.194.147, 40.85.74.227, 40.115.100.46, 40.115.100.121, 40.115.105.188, 40.115.103.43, 40.115.109.52, 40.112.77.214, 40.115.99.5
Sudafrica settentrionale 52.163.244.128
Sudafrica occidentale 52.163.244.128
Stati Uniti centro-meridionali 104.215.116.88, 13.65.241.130, 40.74.240.52, 40.74.249.17, 40.74.244.211, 40.74.244.204, 40.84.214.51, 52.171.57.210, 13.65.159.231
India meridionale 52.163.244.128
Asia sud-orientale 52.163.244.128, 20.44.192.205, 20.44.193.4, 20.44.193.56, 20.44.193.98, 20.44.193.147, 20.44.193.175, 20.44.194.249, 20.44.196.82, 20.44.196.95, 20.44.196.104, 20.44.196.115, 20.44.197.158, 20.195.36.24, 20.195.36.25, 20.195.36.27, 20.195.36.37, 20.195.36.39, 20.195.36.40, 20.195.36.41, 20.195.36.42, 20.195.36.43, 20.195.36.44, 20.195.36.45, 20.195.36.46, 20.44.197.160, 20.44.197.162, 20.44.197.219, 20.195.58.80, 20.195.58.185, 20.195.59.60, 20.43.132.128
Svizzera settentrionale 51.107.58.160, 51.107.87.163, 51.107.87.173, 51.107.83.216, 51.107.68.81, 51.107.87.174, 51.107.87.170, 51.107.87.164, 51.107.87.186, 51.107.87.171
Regno Unito meridionale 40.127.194.147, 51.11.174.122, 51.11.173.237, 51.11.174.192, 51.11.174.206, 51.11.175.74, 51.11.175.129, 20.49.216.23, 20.49.216.160, 20.49.217.16, 20.49.217.92, 20.49.217.127, 20.49.217.151, 20.49.166.84, 20.49.166.178, 20.49.166.237, 20.49.167.84, 20.49.232.77, 20.49.232.113, 20.49.232.121, 20.49.232.130, 20.49.232.140, 20.49.232.169, 20.49.165.24, 20.49.232.240, 20.49.217.152, 20.49.217.164, 20.49.217.181, 51.145.125.189, 51.145.126.43, 51.145.126.48, 51.104.28.64
Regno Unito occidentale 40.127.194.147, 51.140.245.89, 51.140.246.238, 51.140.248.127, 51.141.48.137, 51.140.250.127, 51.140.231.20, 51.141.48.238, 51.140.243.38
Stati Uniti centrali DoD 52.126.176.221, 52.126.177.43, 52.126.177.89, 52.126.177.90, 52.126.177.171, 52.126.177.233, 52.126.177.245, 52.126.177.150, 52.126.178.37, 52.126.178.44, 52.126.178.56, 52.126.178.59, 52.126.178.68, 52.126.178.70, 52.126.178.97, 52.126.178.98, 52.126.178.93, 52.126.177.54, 52.126.178.94, 52.126.178.129, 52.126.178.130, 52.126.178.142, 52.126.178.144, 52.126.178.151, 52.126.178.172, 52.126.178.179, 52.126.178.182, 52.126.178.187, 52.126.178.189, 52.126.178.154, 52.127.34.97
Stati uniti orientali DoD 52.127.161.3, 52.127.163.115, 52.127.163.124, 52.127.163.125, 52.127.163.130, 52.127.163.131, 52.127.163.152, 20.140.189.226, 20.140.191.106, 20.140.191.107, 20.140.191.128, 52.127.161.234, 52.245.216.185, 52.245.216.186, 52.245.216.187, 52.245.216.160, 52.245.216.161, 52.245.216.162, 52.245.216.163, 52.245.216.164, 52.245.216.165, 52.245.216.166, 52.245.216.167, 52.245.216.168, 20.140.191.129, 20.140.191.144, 20.140.191.170, 52.245.214.70, 52.245.214.164, 52.245.214.189, 52.127.50.128
USGov Arizona 52.244.204.5, 52.244.204.137, 52.244.204.158, 52.244.204.184, 52.244.204.225, 52.244.205.3, 52.244.50.212, 52.244.55.231, 52.244.205.91, 52.244.205.238, 52.244.201.244, 52.244.201.250, 52.244.200.92, 52.244.206.12, 52.244.206.58, 52.244.206.69, 52.244.206.83, 52.244.207.78, 52.244.203.11, 52.244.203.159, 52.244.203.238, 52.244.200.31, 52.244.202.155, 52.244.206.225, 52.244.218.1, 52.244.218.34, 52.244.218.38, 52.244.218.47, 52.244.202.7, 52.244.203.6, 52.127.2.97
USGov Texas 52.126.176.221, 52.126.177.43, 52.126.177.89, 52.126.177.90, 52.126.177.171, 52.126.177.233, 52.126.177.245, 52.126.177.150, 52.126.178.37, 52.126.178.44, 52.126.178.56, 52.126.178.59, 52.126.178.68, 52.126.178.70, 52.126.178.97, 52.126.178.98, 52.126.178.93, 52.126.177.54, 52.126.178.94, 52.126.178.129, 52.126.178.130, 52.126.178.142, 52.126.178.144, 52.126.178.151, 52.126.178.172, 52.126.178.179, 52.126.178.182, 52.126.178.187, 52.126.178.189, 52.126.178.154, 52.127.34.97
USGov Virginia 52.127.161.3, 52.127.163.115, 52.127.163.124, 52.127.163.125, 52.127.163.130, 52.127.163.131, 52.127.163.152, 20.140.189.226, 20.140.191.106, 20.140.191.107, 20.140.191.128, 52.127.161.234, 52.245.216.185, 52.245.216.186, 52.245.216.187, 52.245.216.160, 52.245.216.161, 52.245.216.162, 52.245.216.163, 52.245.216.164, 52.245.216.165, 52.245.216.166, 52.245.216.167, 52.245.216.168, 20.140.191.129, 20.140.191.144, 20.140.191.170, 52.245.214.70, 52.245.214.164, 52.245.214.189, 52.127.50.128
Stati Uniti centro-occidentali 23.101.115.123, 13.71.194.194, 13.78.151.73, 13.77.204.92, 13.78.144.31, 13.78.139.92, 13.77.206.206, 13.78.140.98, 13.78.145.207, 52.161.88.172, 13.77.200.169
Europa occidentale 213.199.136.176, 51.124.88.159, 20.50.253.190, 20.50.254.255, 52.143.5.71, 20.50.255.137, 20.50.255.176, 52.143.5.148, 20.50.255.211, 20.54.216.1, 20.54.216.113, 20.54.216.236, 20.54.216.244, 20.54.217.89, 20.54.217.102, 20.54.217.162, 20.50.255.109, 20.54.217.184, 20.54.217.197, 20.54.218.36, 20.54.218.66, 51.124.139.38, 20.54.218.71, 20.54.218.104, 52.143.0.117, 20.54.218.240, 20.54.219.47, 20.54.219.75, 20.76.10.82, 20.76.10.95, 20.76.10.139, 20.50.2.13
India occidentale 52.163.244.128
Stati Uniti occidentali 13.88.13.50, 40.80.156.205, 40.80.152.218, 104.42.156.123, 104.42.216.21, 40.78.63.47, 40.80.156.103, 40.78.62.97, 40.80.153.6
West US 2 52.183.35.124, 40.64.73.23, 40.64.73.121, 40.64.75.111, 40.64.75.125, 40.64.75.227, 40.64.76.236, 40.64.76.240, 40.64.76.242, 40.64.77.87, 40.64.77.111, 40.64.77.122, 40.64.77.131, 40.91.83.189, 52.250.74.132, 52.250.76.69, 52.250.76.130, 52.250.76.137, 52.250.76.145, 52.250.76.146, 52.250.76.153, 52.250.76.177, 52.250.76.180, 52.250.76.191, 52.250.76.192, 40.64.77.143, 40.64.77.159, 40.64.77.195, 20.64.184.243, 20.64.184.249, 20.64.185.9, 20.42.128.97

Configurazione di ExpressRoute

Usare ExpressRoute per connettersi alla rete locale all'Rete virtuale di Azure. Una configurazione comune consiste nell'annunciare la route predefinita (0.0.0.0/0) tramite la sessione BGP (Border Gateway Protocol). In questo modo il traffico proveniente dal Rete virtuale deve essere inoltrato alla rete locale del cliente che potrebbe eliminare il traffico, causando l'interruzione dei flussi in uscita. Per superare questo valore predefinito, è possibile configurare la route definita dall'utente (UDR) (0.0.0.0/0) e l'hop successivo sarà Internet. Poiché la route definita dall'utente ha la precedenza su BGP, il traffico sarà destinato a Internet.

Protezione del traffico in uscita con un firewall

Se si vuole proteggere il traffico in uscita usando Firewall di Azure o qualsiasi appliance virtuale per limitare i nomi di dominio, nel firewall devono essere consentiti i nomi di dominio completi (FQDN) seguenti.

prod.warmpath.msftcloudes.com:443
gcs.prod.monitoring.core.windows.net:443
production.diagnostics.monitoring.core.windows.net:443
graph.windows.net:443
graph.microsoft.com:443
*.login.microsoft.com :443
*.update.microsoft.com:443
login.live.com:443
wdcp.microsoft.com:443
login.microsoftonline.com:443
azureprofilerfrontdoor.cloudapp.net:443
*.core.windows.net:443
*.servicebus.windows.net:443,5671
shoebox2.metrics.nsatc.net:443
prod-dsts.dsts.core.windows.net:443
*.vault.azure.net
ocsp.msocsp.com:80
*.windowsupdate.com:80
ocsp.digicert.com:80
go.microsoft.com:80
dmd.metaservices.microsoft.com:80
www.msftconnecttest.com:80
crl.microsoft.com:80
www.microsoft.com:80
adl.windows.com:80
crl3.digicert.com:80

Nota

  • Per limitare l'accesso per le dipendenze con un carattere jolly (*), usare l'API descritta in Come individuare automaticamente le dipendenze.

  • Se si usa Firewall di Azure, aggiungere regola di rete con le proprietà seguenti:

    Protocollo: Tipo di origine TCP: Origine indirizzo IP: * Tag del servizio: Porte di destinazione AzureMonitor: 443

Configurare la tabella di route

È necessario configurare la tabella di route della subnet del cluster con hop successivo Internet per evitare problemi di route asimmetriche.

Configurare la tabella di route usando la delega della subnet

È consigliabile usare la delega subnet per configurare la tabella di route per la distribuzione del cluster, in modo analogo a come è stata eseguita per le regole del gruppo di sicurezza di rete. Abilitando la delega della subnet nella subnet del cluster, si abilita il servizio per configurare e aggiornare automaticamente la tabella di route.

Configurare manualmente la tabella di route

In alternativa, è possibile configurare manualmente la tabella di route. Per impostazione predefinita, la distribuzione di un cluster in una rete virtuale impone la delega della subnet per la configurazione di "Microsoft.Kusto/clusters". Rifiutare esplicitamente questo requisito è possibile usando il riquadro Funzionalità di anteprima.

Avviso

La configurazione manuale della tabella di route per il cluster non è semplice e richiede di monitorare costantemente questo articolo per individuare le modifiche. È consigliabile usare la delega della subnet per il cluster o, se si preferisce, prendere in considerazione l'uso di una soluzione basata su endpoint privato.

Per configurare manualmente la tabella di route, è necessario definirla nella subnet. È necessario aggiungere gli indirizzi di gestione e monitoraggio dell'integrità con l'hop successivo Internet.

Ad esempio, per l'area Stati Uniti occidentali, è necessario definire le route definite dall'utente seguenti:

Nome Prefisso indirizzo Hop successivo
ADX_Management 13.64.38.225/32 Internet
ADX_Monitoring 23.99.5.162/32 Internet
ADX_Monitoring_1 40.80.156.205/32 Internet
ADX_Monitoring_2 40.80.152.218/32 Internet
ADX_Monitoring_3 104.42.156.123/32 Internet
ADX_Monitoring_4 104.42.216.21/32 Internet
ADX_Monitoring_5 40.78.63.47/32 Internet
ADX_Monitoring_6 40.80.156.103/32 Internet
ADX_Monitoring_7 40.78.62.97/32 Internet
ADX_Monitoring_8 40.80.153.6/32 Internet

Come individuare automaticamente le dipendenze

Azure Esplora dati fornisce un'API che consente ai clienti di individuare tutte le dipendenze esterne in uscita (FQDN) a livello di codice. Queste dipendenze in uscita consentiranno ai clienti di configurare un firewall alla fine per consentire il traffico di gestione attraverso i nomi di dominio completi dipendenti. I clienti possono avere queste appliance firewall in Azure o in locale. Quest'ultimo potrebbe causare una latenza aggiuntiva e potrebbe influire sulle prestazioni del servizio. I team di servizio dovranno testare questo scenario per valutare l'impatto sulle prestazioni del servizio.

ARMClient viene usato per illustrare l'API REST con PowerShell.

  1. Accedere con ARMClient

    armclient login
    
  2. Richiamare l'operazione di diagnosi

    $subscriptionId = '<subscription id>'
    $clusterName = '<name of cluster>'
    $resourceGroupName = '<resource group name>'
    $apiversion = '2021-01-01'
    
    armclient get /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/OutboundNetworkDependenciesEndpoints?api-version=$apiversion
    
  3. Controllare la risposta

    {
       "value":
       [
        ...
          {
            "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Kusto/Clusters/<clusterName>/OutboundNetworkDependenciesEndpoints/AzureActiveDirectory",
            "name": "<clusterName>/AzureActiveDirectory",
            "type": "Microsoft.Kusto/Clusters/OutboundNetworkDependenciesEndpoints",
            "etag": "\"\"",
            "location": "<AzureRegion>",
            "properties": {
              "category": "Azure Active Directory",
              "endpoints": [
                {
                  "domainName": "login.microsoftonline.com",
                  "endpointDetails": [
                    {
                      "port": 443
                    }
                  ]
                },
                {
                  "domainName": "graph.windows.net",
                  "endpointDetails": [
                    {
                      "port": 443
                    }
                  ]
                }
              ],
              "provisioningState": "Succeeded"
            }
          },
          {
            "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Kusto/Clusters/<clusterName>/OutboundNetworkDependenciesEndpoints/InternalTracing",
            "name": "<clustername>/InternalTracing",
            "type": "Microsoft.Kusto/Clusters/OutboundNetworkDependenciesEndpoints",
            "location": "Australia Central",
            "properties": {
              "category": "Internal Tracing",
              "endpoints": [
                {
                  "domainName": "ingest-<internalTracingCluster>.<region>.kusto.windows.net",
                  "endpointDetails": [
                    {
                      "port": 443,
                      "ipAddress": "25.24.23.22"
                    }
                  ]
                }
              ],
              "provisioningState": "Succeeded"
            }
        }
        ...
       ]
    }
    

Le dipendenze in uscita coprono categorie come Microsoft Entra ID, Monitoraggio di Azure, Autorità di certificazione, Archiviazione di Azure e Traccia interna. In ogni categoria è disponibile un elenco di nomi di dominio e porte necessari per eseguire il servizio. Possono essere usati per configurare a livello di codice l'appliance del firewall preferita.

Distribuire un cluster di Azure Esplora dati nella rete virtuale usando un modello di Azure Resource Manager

Per distribuire il cluster Esplora dati di Azure nella rete virtuale, usare il modello Deploy Azure Esplora dati cluster into your virtual network Azure Resource Manager (Distribuire il cluster di Azure Esplora dati nella rete virtuale di Azure Resource Manager).

Questo modello crea il cluster, la rete virtuale, la subnet, il gruppo di sicurezza di rete e gli indirizzi IP pubblici.

Limitazioni note

  • Le risorse di rete virtuale con cluster distribuiti non supportano lo spostamento in un nuovo gruppo di risorse o in un'operazione di sottoscrizione .
  • Le risorse dell'indirizzo IP pubblico usate per il motore del cluster o il servizio di gestione dei dati non supportano lo spostamento in un nuovo gruppo di risorse o operazione di sottoscrizione.
  • Non è possibile usare il prefisso DNS "privato" della rete virtuale inserita in Azure Esplora dati cluster come parte della query