Pontos de extremidade privados para o Azure Data Explorer
Você pode usar pontos de extremidade privados para seu cluster para permitir que clientes em uma rede virtual acessem dados com segurança por meio de um link privado . Os pontos de extremidade privados usam endereços IP privados do seu espaço de endereço de rede virtual para conectá-lo de forma privada ao seu cluster. O tráfego de rede entre clientes na rede virtual e no cluster, atravessa a rede virtual e um link privado no rede de backbone da Microsoft, eliminando a exposição da Internet pública.
O uso de pontos de extremidade privados para o seu cluster permite-lhe:
- Proteja o seu cluster configurando o firewall para bloquear todas as ligações ao cluster no endereço público.
- Aumente a segurança da rede virtual, permitindo que você bloqueie a exfiltração de dados da rede virtual.
- Conecte-se com segurança a clusters de redes locais que se conectam à rede virtual usando um gateway de VPN ou ExpressRoutes com emparelhamento privado.
Visão geral
Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure na sua rede virtual, que recebe endereços IP da faixa de endereços IP pertencente à sua rede virtual. Quando você cria um ponto de extremidade privado para seu cluster, ele fornece conectividade segura entre clientes em sua rede virtual e seu cluster. A conexão entre o ponto de extremidade privado e o cluster usa um link privado seguro.
Os aplicativos na rede virtual podem se conectar perfeitamente ao cluster através do ponto de extremidade privado. As cadeias de ligação e os mecanismos de autorização são os mesmos que tu usarias para te conectares a um ponto de extremidade público.
Quando você cria um ponto de extremidade privado para cluster em sua rede virtual, uma solicitação de consentimento é enviada para aprovação ao proprietário do cluster. Se o usuário que solicita a criação do ponto de extremidade privado também for proprietário do cluster, a solicitação será aprovada automaticamente. Os proprietários de cluster podem gerenciar solicitações de consentimento e pontos de extremidade privados para o cluster no portal do Azure, em Pontos de extremidade privados.
Você pode proteger seu cluster para aceitar apenas conexões de sua rede virtual configurando o firewall do cluster para negar acesso por meio de seu ponto de extremidade público por padrão. Você não precisa de uma regra de firewall para permitir o tráfego de uma rede virtual que tenha um ponto de extremidade privado porque o firewall do cluster controla apenas o acesso para o ponto de extremidade público. Em contraste, os pontos de extremidade privados dependem do fluxo de consentimento para conceder acesso de sub-redes ao cluster.
Planeie o tamanho da sub-rede na sua rede virtual
O tamanho da sub-rede usada para hospedar um ponto de extremidade privado para um cluster não pode ser alterado depois que a sub-rede é implantada. O ponto de extremidade privado consome vários endereços IP em sua rede virtual. Em cenários extremos, como ingestão de alto desempenho, o número de endereços IP consumidos pelo ponto de extremidade privado pode aumentar. Esse aumento é causado por um maior número de contas de armazenamento transitórias necessárias como contas de preparo para ingestão em seu cluster. Se o cenário for relevante em seu ambiente, você deverá planejá-lo ao determinar o tamanho da sub-rede.
Observação
Os cenários de ingestão relevantes que seriam responsáveis por aumentar as contas de armazenamento transitórias são a ingestão a partir de um arquivo local e a ingestão assíncrona a partir de um blob.
Use as seguintes informações para ajudá-lo a determinar o número total de endereços IP exigidos pelo seu ponto de extremidade privado:
| Utilização | Número de endereços IP |
|---|---|
| Revisão do motor | 1 |
| Serviço de gestão de dados | 1 |
| Contas de armazenamento transitórias | 6 |
| Endereços reservados do Azure | 5 |
| Total | 13 |
Observação
O tamanho mínimo absoluto para a sub-rede deve ser /28 (14 endereços IP utilizáveis). Se tencionar criar um cluster do Azure Data Explorer para cargas de trabalho de ingestão extrema, está do lado seguro com uma máscara de rede /24.
Se você criou uma sub-rede muito pequena, poderá excluí-la e criar uma nova com um intervalo de endereços maior. Depois de recriar a sub-rede, você pode criar um novo ponto de extremidade privado para o cluster.
Conectar-se a um ponto de extremidade privado
Os clientes em uma rede virtual que usam um ponto de extremidade privado devem usar a mesma cadeia de conexão para o cluster que os clientes que se conectam a um ponto de extremidade público. A resolução DNS encaminha automaticamente as conexões da rede virtual para o cluster por meio de um link privado.
Importante
Use a mesma cadeia de conexão para se conectar ao cluster usando pontos de extremidade privados que você usaria para se conectar a um ponto de extremidade público. Não se conecte ao cluster usando sua URL de subdomínio de link privado.
Por padrão, o Azure Data Explorer cria uma zona DNS privada anexada à rede virtual com as atualizações necessárias para os pontos de extremidade privados. No entanto, se estiver a utilizar o seu próprio servidor DNS, poderá ter de fazer mais alterações à sua configuração de DNS.
Importante
Para uma configuração ideal, recomendamos que a sua implantação esteja alinhada com as recomendações do artigo Private Endpoint and DNS configuration at Scale Cloud Adoption Framework. Use as informações no artigo para automatizar a criação de entrada de DNS privado usando as Políticas do Azure, facilitando o gerenciamento de sua implantação à medida que você dimensiona.
O Azure Data Explorer cria vários FQDNs visíveis para o cliente como parte da implementação do endpoint privado. Além do de consulta e ingestão de FQDN, ele vem com vários FQDNs para pontos de extremidade de blob / tabela / fila (necessários para cenários de ingestão)
Desativar o acesso público
Para aumentar a segurança, você também pode desabilitar o acesso público ao cluster no portal do Azure.
Pontos de extremidade privados gerenciados
Você pode usar um ponto de extremidade privado gerenciado para habilitar o cluster para acessar com segurança seus serviços relacionados à ingestão ou consulta por meio de seu ponto de extremidade privado. Isso permite que o cluster do Azure Data Explorer acesse seus recursos por meio de um endereço IP privado.
Observação
Recomendamos usar a Identidade Gerenciada para conectar ao Armazenamento do Azure e aos Hubs de Eventos do Azure em vez de endpoints privados geridos. Para se conectar usando identidades gerenciadas, configure os recursos do Armazenamento do Azure ou Hubs de Eventos para reconhecer o Azure Data Explorer como um serviço confiável. Em seguida, use a Identidade Gerenciada para conceder acesso, criando uma exceção de regra de rede para os serviços fidedignos do Azure.
Serviços suportados
O Azure Data Explorer dá suporte à criação de pontos de extremidade privados gerenciados para os seguintes serviços:
- Hubs de Eventos do Azure
- Centros IoT do Azure
- Conta de Armazenamento do Azure
- Azure Data Explorer
- Azure SQL
- Azure Gêmeos Digitais
Limitações
Não há suporte para pontos de extremidade privados para clusters do Azure Data Explorer injetados na rede virtual.
Implicações nos custos
Pontos de extremidade privados ou pontos de extremidade privados gerenciados são recursos que incorrem em custos adicionais. O custo varia dependendo da arquitetura da solução selecionada. Para mais informações, consulte os preços do Azure Private Link.
Conteúdo relacionado
- Criar Endpoints Privados para o Azure Data Explorer
- Criar pontos de extremidade privados gerenciados para o Azure Data Explorer
- Como restringir o acesso público ao Azure Data Explorer
- Como restringir o acesso de saída do Azure Data Explorer
- Conectar um cluster atrás de um ponto de extremidade privado a um serviço do Power BI