Integrace virtuální sítě pro Azure Data Lake Storage Gen1
Tento článek představuje integraci virtuální sítě pro Azure Data Lake Storage Gen1. Díky integraci virtuální sítě můžete své účty nakonfigurovat tak, aby přijímaly provoz pouze z konkrétních virtuálních sítí a podsítí.
Tato funkce vám pomůže zabezpečit účet Data Lake Storage před externími hrozbami.
Integrace virtuální sítě pro Data Lake Storage Gen1 využívá zabezpečení koncového bodu služby virtuální sítě mezi virtuální sítí a Microsoft Entra ID ke generování dalších deklarací identity zabezpečení v přístupovém tokenu. Tyto deklarace identity pak slouží k ověření vaší virtuální sítě v účtu Data Lake Storage Gen1 a povolení přístupu.
Poznámka
Na používání těchto funkcí se nevztahují žádné další poplatky. Váš účet se účtuje standardní sazbou za Data Lake Storage Gen1. Další informace najdete v tématu ceny. Ceny všech ostatních služeb Azure, které používáte, najdete na stránce s cenami.
Scénáře pro integraci virtuální sítě pro Data Lake Storage Gen1
Díky integraci virtuální sítě Data Lake Storage Gen1 můžete omezit přístup k vašemu účtu Data Lake Storage Gen1 z konkrétních virtuálních sítí a podsítí. Jakmile se váš účet uzamkne pro zadané virtuální sítě a podsítě, ostatní virtuální sítě a virtuální počítače v Azure k němu nebudou mít povolený přístup. Integrace virtuální sítě Data Lake Storage Gen1 umožňuje funkčně stejný scénář jako koncové body služby pro virtuální síť. V následujících částech najdete podrobný popis několika klíčových rozdílů.
Poznámka
Kromě pravidel virtuální sítě je možné k povolení přístupu z místních sítí použít také stávající pravidla firewallu protokolu IP.
Optimální směrování s využitím integrace virtuální sítě Data Lake Storage Gen1
Klíčovou výhodou koncových bodů služby pro virtuální síť je optimální směrování z vaší virtuální sítě. Stejnou optimalizaci tras můžete provést i u účtů Data Lake Storage Gen1. Použijte následující trasy definované uživatelem z vaší virtuální sítě k vašemu účtu Data Lake Storage Gen1.
Data Lake Storage public IP address (Veřejná IP adresa Data Lake Storage) – Použijte veřejnou IP adresu cílových účtů Data Lake Storage Gen 1. IP adresy vašeho účtu Data Lake Storage Gen1 můžete zjistit překladem názvů DNS vašich účtů. Pro každou adresu vytvořte samostatný záznam.
# Create a route table for your resource group.
az network route-table create --resource-group $RgName --name $RouteTableName
# Create route table rules for Data Lake Storage public IP addresses.
# There's one rule per Data Lake Storage public IP address.
az network route-table route create --name toADLSregion1 --resource-group $RgName --route-table-name $RouteTableName --address-prefix <ADLS Public IP Address> --next-hop-type Internet
# Update the virtual network, and apply the newly created route table to it.
az network vnet subnet update --vnet-name $VnetName --name $SubnetName --resource-group $RgName --route-table $RouteTableName
Únik dat z virtuální sítě zákazníka
Kromě zabezpečení přístupu k účtům Data Lake Storage z virtuálních sítí by vás mohlo také zajímat, jak zajistit, že nedojde k žádnému úniku do neoprávněného účtu.
Použijte řešení brány firewall ve vaší virtuální síti k filtrování odchozího provozu na základě adresy URL cílového účtu. Povolte přístup pouze schváleným účtům Data Lake Storage Gen1.
Mezi dostupné možnosti patří:
- Azure Firewall:Nasaďte a nakonfigurujte službu Azure Firewall pro vaši virtuální síť. Zajistěte zabezpečení odchozího provozu Data Lake Storage a uzamkněte ho pro adresu URL známého a schváleného účtu.
- Brána firewall síťového virtuálního zařízení: Váš správce může povolit používání bran firewall pouze od určitých komerčních dodavatelů. Stejného výsledku dosáhnete použitím řešení brány firewall síťového virtuálního zařízení, které je k dispozici na webu Azure Marketplace.
Poznámka
Použitím brány firewall v cestě k datům se do ní přidá další segment směrování. To může mít vliv na výkon sítě při výměně dat od začátku do konce. Ovlivněná může být i dostupná propustnost a latence připojení.
Omezení
Clustery HDInsight, které byly vytvořeny před tím, než byla k dispozici podpora integrace virtuální sítě Data Lake Storage Gen1, musí být znovu vytvořeny, aby podporovaly tuto novou funkci.
Pokud vytvoříte nový cluster HDInsight a vyberete účet Data Lake Storage Gen1 s povolenou integrací virtuální sítě, proces selže. Nejprve zakažte pravidlo virtuální sítě. Případně v okně Brána firewall a virtuální sítě účtu Data Lake Storage vyberte Povolit přístup ze všech sítí a služeb. Potom vytvořte cluster HDInsight a nakonec znovu povolte pravidlo virtuální sítě nebo zrušte výběr možnosti Povolit přístup ze všech sítí a služeb. Další informace najdete v části Výjimky.
Data Lake Storage Gen1 integrace virtuální sítě nefunguje se spravovanými identitami pro prostředky Azure.
Data v souborech a složkách ve vašem účtu Data Lake Storage Gen1 s podporou virtuálních sítí nejsou přístupná na portálu. Toto omezení zahrnuje přístup z virtuálního počítače v rámci virtuální sítě a aktivity, jako je používání Průzkumníka dat. Aktivity správy účtu fungují dál. Data v souborech a složkách ve vašem účtu Data Lake Storage s podporou virtuálních sítí jsou přístupná přes všechny prostředky mimo portál. Mezi tyto prostředky patří přístup s využitím sad SDK, skripty PowerShellu a další služby Azure, pokud nepocházejí z portálu.
Konfigurace
Krok 1: Konfigurace virtuální sítě pro použití koncového bodu služby Microsoft Entra
Přejděte na web Azure Portal a přihlaste se ke svému účtu.
Vytvořte ve svém předplatném novou virtuální síť. Případně můžete přejít k existující virtuální síti. Virtuální síť musí být ve stejné oblasti jako účet Data Lake Storage Gen1.
V okně Virtuální síť vyberte Koncové body služby.
Vyberte Přidat a přidejte nový koncový bod služby.
Jako službu pro koncový bod vyberte Microsoft.AzureActiveDirectory.
Vyberte podsítě, pro které chcete povolit možnosti připojení. Vyberte Přidat.
Přidání koncového bodu služby může trvat až 15 minut. Po přidání se zobrazí v seznamu. Ověřte, že se zobrazí a že všechny podrobnosti odpovídají konfiguraci.
Krok 2: Nastavení povolené virtuální sítě nebo podsítě pro účet Data Lake Storage Gen1
Po dokončení konfigurace virtuální sítě ve svém předplatném vytvořte nový účet Azure Data Lake Storage Gen1. Případně můžete přejít k existujícímu účtu Data Lake Storage Gen1. Účet Data Lake Storage Gen1 musí být ve stejné oblasti jako virtuální síť.
Vyberte Brána firewall a virtuální sítě.
Poznámka
Pokud se Brána firewall a virtuální sítě v nastavení nezobrazí, odhlaste se z portálu. Zavřete prohlížeč a vymažte mezipaměť prohlížeče. Restartujte počítač a zkuste to znovu.
Vyberte Vybrané sítě.
Vyberte Přidat existující virtuální síť.
Vyberte virtuální sítě a podsítě, kterým chcete povolit možnosti připojení. Vyberte Přidat.
Ujistěte se, že se virtuální sítě a podsítě správně zobrazí v seznamu. Vyberte Uložit.
Poznámka
Po uložení může trvat až 5 minut, než se nastavení projeví.
[Volitelné] Na stránce Brána firewall a virtuální sítě v části Brána firewall můžete povolit možnosti připojení z konkrétních IP adres.
Výjimky
Můžete povolit možnosti připojení ze služeb Azure a virtuálních počítačů mimo vaše vybrané virtuální sítě. V okně Brána firewall a virtuální sítě v oblasti Výjimky máte na výběr dvě možnosti:
Povolit přístup k tomuto účtu Data Lake Storage Gen1 všem službám Azure. Tato možnost povolí službám Azure, jako je Azure Data Factory nebo Azure Event Hubs, a všem virtuálním počítačům Azure komunikovat s vaším účtem Data Lake Storage.
Povolit přístup k tomuto účtu Data Lake Storage Gen1 službě Azure Data Lake Analytics. Tato možnost povolí možnosti připojení služby Data Lake Analytics k tomuto účtu Data Lake Storage.
Doporučujeme nechat tyto výjimky vypnuté. Zapněte je pouze v případě, že potřebujete možnosti připojení z těchto dalších služeb mimo vaši virtuální síť.