Azure 數據總管的網路安全性
Azure 數據總管叢集的設計目的是使用公用 URL 來存取。 叢集上具有有效身分識別的任何人都可以從任何位置存取它。 身為組織,保護數據可能是您優先順序最高的工作之一。 因此,您可能想要限制和保護叢集的存取,甚至只允許透過您的專用虛擬網路存取您的叢集。 您可以使用下列其中一個選項來達成此目標:
- 私人端點 (建議)
- 虛擬網路 (VNet) 插入
強烈建議使用 私人端點 來保護叢集的網路存取。 此選項比虛擬網路插入具有許多優點,這會導致較低的維護負荷,包括更簡單的部署程式,以及更健全的虛擬網路變更。
下一節說明如何使用私人端點和虛擬網路插入來保護叢集。
私人端點
私人端點是使用虛擬網路私人IP位址的網路介面。 此網路介面會將您私下且安全地連線到由 Azure Private Link 提供電源的叢集。 透過啟用私人端點,您將服務帶入您的虛擬網路。
若要成功將叢集部署到私人端點,您只需需要一組私人IP位址。
注意
插入虛擬網路的叢集不支援私人端點。
虛擬網路插入
警告
虛擬網絡 插入將在 2025 年 2 月 1 日淘汰 Azure 數據總管。 如需淘汰的詳細資訊,請參閱淘汰 azure 數據總管 虛擬網絡 插入。
虛擬網路插入可讓您將叢集直接部署到虛擬網路。 叢集可以從虛擬網路內透過 VPN 閘道或內部部署網路的 Azure ExpressRoute 私下存取。 將叢集插入虛擬網路可讓您管理其所有流量。 這包括存取叢集及其所有數據擷取或導出的流量。 此外,您必須負責允許Microsoft存取叢集以進行管理和健康情況監視。
若要成功將叢集插入虛擬網路,您必須設定虛擬網路以符合下列需求:
- 您必須將子網委派給 Microsoft.Kusto/clusters ,以啟用服務,並以網路意圖原則的形式定義部署的 先決條件
- 子網必須妥善調整,才能支援叢集使用量的未來成長
- 管理叢集需要兩個公用IP位址,並確保其狀況良好
- 或者,如果您使用額外的防火牆設備來保護網路,則必須允許叢集連線到一組完整功能變數名稱 (FQDN) 以供連出流量使用
私人端點與虛擬網路插入
虛擬網路插入可能會導致高維護負荷,因為實作詳細數據,例如在防火牆中維護 FQDN 清單,或在受限制的環境中部署公用 IP 位址。 因此,我們建議使用私人端點來連線到您的叢集。
下表顯示如何根據插入至虛擬網路的叢集或使用私人端點保護的網路安全性相關功能來實作。
| 功能 | 私人端點 | 虛擬網路插入 |
|---|---|---|
| 輸入IP位址篩選 | 管理公用存取 | 建立輸入網路安全組規則 |
| 可轉移存取其他服務 (記憶體、事件中樞等) | 建立受控私人端點 | 建立資源的私人端點 |
| 限制輸出存取 | 使用 圖說文字原則或 AllowedFQDNList | 將虛擬設備用於子網的篩選連出流量 |