Privé-eindpunten voor Azure Data Explorer
U kunt privé-eindpunten voor uw cluster gebruiken om clients in een virtueel netwerk toe te staan om veilig toegang te krijgen tot gegevens via een private link. Privé-eindpunten gebruiken privé-IP-adressen uit de adresruimte van uw virtuele netwerk om u privé te verbinden met uw cluster. Netwerkverkeer tussen clients in het virtuele netwerk en het cluster, gaat via het virtuele netwerk en een privékoppeling op het Microsoft backbone-netwerk, waardoor blootstelling van het openbare internet wordt geëlimineerd.
Door privé-eindpunten voor uw cluster te gebruiken, kunt u het volgende doen:
- Beveilig uw cluster door de firewall zo te configureren dat alle verbindingen op het openbare eindpunt naar het cluster worden geblokkeerd.
- Verhoog de beveiliging voor het virtuele netwerk door exfiltratie van gegevens uit het virtuele netwerk te blokkeren.
- Maak veilig verbinding met clusters vanuit on-premises netwerken die verbinding maken met het virtuele netwerk met behulp van een VPN-gateway of ExpressRoutes met privépeering.
Overzicht
Een privé-eindpunt is een speciale netwerkinterface voor een Azure-service in uw virtuele netwerk waaraan IP-adressen zijn toegewezen vanuit het IP-adresbereik van uw virtuele netwerk. Wanneer u een privé-eindpunt voor uw cluster maakt, biedt het beveiligde connectiviteit tussen clients in uw virtuele netwerk en uw cluster. De verbinding tussen het privé-eindpunt en het cluster maakt gebruik van een beveiligde privékoppeling.
Toepassingen in het virtuele netwerk kunnen naadloos verbinding maken met het cluster via het privé-eindpunt. De verbindingsreeksen en autorisatiemechanismen zijn hetzelfde als u zou gebruiken om verbinding te maken met een openbaar eindpunt.
Wanneer u een privé-eindpunt voor een cluster in uw virtuele netwerk maakt, wordt er een toestemmingsaanvraag verzonden voor goedkeuring aan de eigenaar van het cluster. Als de gebruiker die het privé-eindpunt wil maken ook eigenaar is van het cluster, wordt de aanvraag automatisch goedgekeurd. Clustereigenaren kunnen toestemmingsaanvragen en privé-eindpunten voor het cluster beheren in Azure Portal, onder Privé-eindpunten.
U kunt uw cluster beveiligen om alleen verbindingen van uw virtuele netwerk te accepteren door de clusterfirewall zo te configureren dat toegang via het openbare eindpunt standaard wordt geweigerd. U hebt geen firewallregel nodig om verkeer van een virtueel netwerk met een privé-eindpunt toe te staan, omdat de clusterfirewall alleen de toegang voor het openbare eindpunt beheert. Privé-eindpunten zijn daarentegen afhankelijk van de toestemmingsstroom voor het verlenen van subnetten toegang tot het cluster.
De grootte van het subnet in uw virtuele netwerk plannen
De grootte van het subnet dat wordt gebruikt voor het hosten van een privé-eindpunt voor een cluster, kan niet worden gewijzigd zodra het subnet is geïmplementeerd. Het privé-eindpunt verbruikt meerdere IP-adressen in uw virtuele netwerk. In extreme scenario's, zoals intensieve opname, kan het aantal IP-adressen dat door het privé-eindpunt wordt gebruikt, toenemen. Deze toename wordt veroorzaakt door een verhoogd aantal tijdelijke opslagaccounts dat is vereist als tussenaccounts voor invoer in uw cluster. Als het scenario relevant is in uw omgeving, moet u dit plannen bij het bepalen van de grootte van het subnet.
Notitie
De relevante opnamescenario's die verantwoordelijk zijn voor het uitschalen van de tijdelijke opslagaccounts, zijn opname vanuit een lokaal bestand en asynchrone opname vanuit een blob-.
Gebruik de volgende informatie om het totale aantal IP-adressen te bepalen dat is vereist voor uw privé-eindpunt:
| Gebruiken | Aantal IP-adressen |
|---|---|
| Engine service | 1 |
| Gegevensbeheerservice | 1 |
| Tijdelijke opslagaccounts | 6 |
| Gereserveerde Azure-adressen | 5 |
| Totaal | 13 |
Notitie
De absolute minimumgrootte voor het subnet moet /28 (14 bruikbare IP-adressen). Als u van plan bent een Azure Data Explorer-cluster te maken voor extreme gegevensverwerkingsbelastingen, zit u goed met een /24 netmask.
Als u een subnet hebt gemaakt dat te klein is, kunt u het verwijderen en een nieuw subnet maken met een groter adresbereik. Zodra u het subnet opnieuw hebt gemaakt, kunt u een nieuw privé-eindpunt voor het cluster maken.
Verbinding maken met een privé-eindpunt
Clients in een virtueel netwerk met behulp van een privé-eindpunt moeten dezelfde verbindingsreeks voor het cluster gebruiken als clients die verbinding maken met een openbaar eindpunt. DNS-omzetting routeert automatisch verbindingen van het virtuele netwerk naar het cluster via een privékoppeling.
Belangrijk
Gebruik dezelfde verbindingsreeks om verbinding te maken met het cluster met behulp van privé-eindpunten, zoals u zou gebruiken om verbinding te maken met een openbaar eindpunt. Maak geen verbinding met het cluster door de URL van het privékoppelingssubdomein te gebruiken.
Azure Data Explorer maakt standaard een privé-DNS-zone gekoppeld aan het virtuele netwerk met de benodigde updates voor de privé-eindpunten. Als u echter uw eigen DNS-server gebruikt, moet u mogelijk meer wijzigingen aanbrengen in uw DNS-configuratie.
Belangrijk
Voor een optimale configuratie raden we u aan uw implementatie af te stemmen op de aanbevelingen in het artikel Privé-eindpunt en DNS-configuratie op schaal Cloud Adoption Framework. Gebruik de informatie in het artikel om het maken van privé-DNS-vermeldingen te automatiseren met behulp van Azure-beleid, zodat u uw implementatie gemakkelijker kunt beheren wanneer u schaalt.
Azure Data Explorer maakt meerdere zichtbare FQDN's van klanten als onderdeel van de implementatie van het privé-eindpunt. Naast de query en opname FQDN wordt het geleverd met verschillende FQDN's voor blob-/tabel-/wachtrijeindpunten (nodig voor opnamescenario's)
Openbare toegang uitschakelen
Als u de beveiliging wilt verbeteren, kunt u ook openbare toegang tot het cluster uitschakelen in Azure Portal.
Beheerde privé-eindpunten
U kunt een beheerd privé-eindpunt gebruiken om het cluster in staat te stellen veilig toegang te krijgen tot uw opname- of querygerelateerde services via hun privé-eindpunt. Hierdoor heeft het Azure Data Explorer-cluster toegang tot uw resources via een privé-IP-adres.
Notitie
Het is raadzaam om managed identity te gebruiken om verbinding te maken met Azure Storage- en Azure Event Hubs in plaats van beheerde privé-eindpunten. Als u verbinding wilt maken met beheerde identiteiten, configureert u de Azure Storage- of Event Hubs-resources om Azure Data Explorer te herkennen als een vertrouwde service. Gebruik vervolgens Managed Identity om toegang te verlenen door een uitzondering voor netwerkregels te maken voor vertrouwde Azure-services.''
Ondersteunde services
Azure Data Explorer biedt ondersteuning voor het maken van beheerde privé-eindpunten voor de volgende services:
- Azure Event Hubs
- Azure IoT Hubs
- Azure-opslagaccount
- Azure Data Explorer
- Azure SQL
- Azure Digital Twins
Beperkingen
Privé-eindpunten worden niet ondersteund voor virtuele netwerken die Azure Data Explorer-clusters hebben geïnjecteerd.
Gevolgen voor kosten
Privé-eindpunten of beheerde privé-eindpunten zijn resources waarvoor extra kosten in rekening worden gebracht. De kosten variëren afhankelijk van de geselecteerde oplossingsarchitectuur. Zie Prijzen van Azure Private Linkvoor meer informatie.