Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
À mesure que les organisations adoptent de plus en plus les services cloud, la sécurisation et l’efficacité de l’accès à ces ressources devient primordiale. Les hubs FinOps offrent des options flexibles pour prendre en charge l’accès public ou privé à la mise en réseau des données, en fonction de vos besoins. Ce guide explique comment chaque option d’accès aux données fonctionne et comment configurer la mise en réseau privée pour accéder en toute sécurité aux données dans les hubs FinOps.
Fonctionnement de l’accès public
L’accès public dans les hubs FinOps présente les caractéristiques suivantes :
- L’accès est contrôlé via le contrôle d’accès en fonction du rôle (RBAC) et les communications chiffrées via tls (Transport Layer Security).
- Le stockage est accessible via des adresses IP publiques (pare-feu défini sur public).
- L’Explorateur de données (si déployé) est accessible via des adresses IP publiques (pare-feu défini sur public).
- Key Vault est accessible via des adresses IP publiques (pare-feu défini sur public).
- Azure Data Factory est configuré pour utiliser le runtime d’intégration publique.
Fonctionnement de l’accès privé
L’accès privé est une option plus sécurisée qui place les ressources FinOps hubs sur un réseau isolé et limite l’accès via un réseau privé :
- L’accès au réseau public est désactivé par défaut.
- Le stockage est accessible via une adresse IP privée et des services Azure approuvés : le pare-feu est défini sur refuser par défaut avec le contournement des services sur la liste approuvée.
- L’Explorateur de données (si déployé) est accessible via une adresse IP privée : le pare-feu est défini sur refuser par défaut sans exception.
- Key Vault est accessible via une adresse IP privée et des services Azure approuvés : le pare-feu est défini sur refuser par défaut avec le contournement des services sur la liste approuvée.
- Azure Data Factory est configuré pour utiliser le runtime d’intégration publique, ce qui permet de réduire les coûts.
- Un réseau virtuel est déployé pour garantir la communication entre tous les composants pendant le déploiement et au moment de l’exécution reste privée.
Notez que la mise en réseau privée entraîne des coûts supplémentaires pour les ressources réseau, la connectivité et le calcul dédié dans Azure Data Factory. Pour obtenir une estimation détaillée des coûts, reportez-vous à la calculatrice de prix Azure.
Comparaison des options d’accès réseau
Le tableau suivant compare les options d’accès réseau disponibles dans les hubs FinOps :
| Composant | Publique | Privé | Avantage |
|---|---|---|---|
| Stockage | Accessible sur Internet¹ | Accès restreint au réseau du hub FinOps, aux réseaux appairés (par exemple, au réseau virtuel d’entreprise) et aux services Azure approuvés | Données accessibles uniquement au travail ou sur le VPN d’entreprise |
| Explorateur de données Azure | Accessible sur Internet¹ | Accès restreint au réseau du hub FinOps, aux réseaux appairés (par exemple, au réseau virtuel d’entreprise) et aux services Azure approuvés | Données accessibles uniquement au travail ou sur le VPN d’entreprise |
| Coffre de clés | Accessible sur Internet¹ | Accès restreint au réseau du hub FinOps, aux réseaux appairés (par exemple, au réseau virtuel d’entreprise) et aux services Azure approuvés | Les clés et les secrets ne sont jamais accessibles via l’Internet ouvert |
| Azure Data Factory. | Utilise le pool de calcul public | Runtime d’intégration managé dans un réseau privé avec l’Explorateur de données, le stockage et le coffre de clés | Tout le traitement des données se produit à l’intérieur du réseau |
| Réseau virtuel | Non utilisé | Le trafic du hub FinOps se produit dans un réseau virtuel isolé | Tout reste privé ; idéal pour les environnements réglementés |
¹ Bien que les ressources soient accessibles via Internet, l’accès est toujours protégé par le contrôle d’accès en fonction du rôle (RBAC).
Activation de la mise en réseau privée
Pour activer la mise en réseau privée lors du déploiement ou de la mise à jour d’une instance de hub FinOps existante, définissez Access sur Private sous l’onglet Avancé .
Avant d’activer l’accès privé, passez en revue les détails réseau de cette page pour comprendre la configuration supplémentaire requise pour vous connecter à votre instance hub. Une fois activée, votre instance de hub FinOps n’est pas accessible tant que l’accès réseau n’est pas configuré en dehors de l’instance du hub FinOps. Nous vous recommandons de partager cela avec vos administrateurs réseau pour vous assurer que la plage d’adresses IP répond aux normes réseau et qu’elles comprennent comment connecter votre instance hub au réseau existant.
Réseau virtuel FinOps Hub
Lorsque l’accès privé est sélectionné, votre instance de hub FinOps inclut un réseau virtuel pour garantir que la communication entre ses différents composants reste privée.
- Le réseau virtuel doit avoir une taille de /26 (64 adresses IP). Ce paramètre active les tailles de sous-réseau minimales requises pour Container Services (utilisées pendant les déploiements pour les scripts en cours d’exécution) et l’Explorateur de données.
- La plage d’adresses IP peut être définie au moment du déploiement et est définie par défaut sur 10.20.30.0/26.
Si nécessaire, vous pouvez créer le réseau virtuel, les sous-réseaux et éventuellement l’appairer avec votre réseau hub avant de déployer des hubs FinOps si vous suivez ces exigences :
- Le réseau virtuel doit être de taille /26 (64 adresses IP).
- Le nom doit être
<HubName>-vNet. - Le réseau virtuel doit être divisé en trois sous-réseaux avec les délégations de service comme spécifié :
- private-endpoint-subnet (/28) : aucune délégation de service n’est configurée ; héberge des points de terminaison privés pour le stockage et le coffre de clés.
- script-subnet (/28) : délégué aux services de conteneur pour l’exécution de scripts pendant le déploiement.
- dataExplorer-subnet (/27) : délégué à Azure Data Explorer.
Points de terminaison privés et DNS
La communication entre les différents composants du hub FinOps est chiffrée à l’aide de TLS. Pour que la validation de certificat TLS réussisse lors de l’utilisation d’un réseau privé, la résolution de noms DNS (Domain Name System) fiable est requise. Les zones DNS, les points de terminaison privés et les entrées DNS garantissent la résolution de noms entre les composants du hub FinOps.
- privatelink.blob.core.windows.net : pour l’Explorateur de données et le stockage utilisés par les scripts de déploiement
- privatelink.dfs.core.windows.net : pour l’Explorateur de données et le lac de données hébergeant la configuration des données et du pipeline FinOps
- privatelink.table.core.windows.net : pour l’Explorateur de données
- privatelink.queue.core.windows.net : pour l’Explorateur de données
- privatelink.vaultcore.azure.net : pour Azure Key Vault
- privatelink. {location}.kusto.windows.net : pour l’Explorateur de données
Important
La modification de la configuration DNS du réseau virtuel du hub FinOps n’est pas recommandée. Les composants du hub FinOps nécessitent une résolution de noms fiable pour que les déploiements et les mises à niveau réussissent. Les pipelines Data Factory nécessitent également une résolution de noms fiable entre les composants.
Appairage de réseau, routage et résolution de noms
Lorsque l’accès privé est sélectionné, l’instance du hub FinOps est déployée sur un réseau virtuel spoke isolé. Il existe plusieurs options pour activer la connectivité privée au réseau virtuel du hub FinOps, notamment :
- Appairage du réseau du hub FinOps avec un autre réseau virtuel Azure.
- Peering du réseau du hub FinOps et d’un hub Azure vWAN.
- Extension de l’espace d’adressage réseau du hub FinOps et déploiement d’une passerelle VPN.
- Extension de l’espace d’adressage réseau du hub FinOps et déploiement d’une passerelle de données Power BI.
- Permettre l’accès aux plages d’adresses IP des VPN et des pare-feux d’entreprise sur Internet public via les pare-feux du stockage et de l’Explorateur de données.
Pour accéder aux données du hub FinOps à partir d’un réseau virtuel existant, configurez des enregistrements A dans votre réseau virtuel existant pour accéder au stockage ou à l’Explorateur de données. Les enregistrements CNAME peuvent également être requis en fonction de votre solution DNS.
| Obligatoire | Nom | Descriptif |
|---|---|---|
| Obligatoire | < >storage_account_name.privatelink.dfs.core.windows.net | Enregistrement permettant d’accéder au stockage |
| Optionnel | < >storage_account_name.dfs.core.windows.net | CNAME vers l’enregistrement A de stockage |
| Obligatoire | < >data_explorer_name.privatelink.<>azure_location.kusto.windows.net | Enregistrement permettant d’accéder à l’Explorateur de données |
| Optionnel | < >data_explorer_name.<>azure_location.kusto.windows.net | CNAME vers l’enregistrement A de l’Explorateur de données |
Important
Lorsque vous utilisez des points de terminaison privés conjointement avec une passerelle de données Power BI, veillez à utiliser le nom de domaine complet (FQDN) du cluster Azure Data Explorer (par clustername.region.kusto.windows.netexemple) plutôt que la version abrégée (par clustername.regionexemple). Cela garantit une résolution de noms appropriée pour les fonctions de point de terminaison privé comme prévu.
Exemple de Peering de réseaux
Dans cet exemple :
- Le réseau virtuel du hub FinOps est appairé à un hub réseau.
- Le pare-feu Azure joue le rôle de routeur principal.
- Les entrées DNS pour le stockage et l’Explorateur de données sont ajoutées à Azure DNS Resolver pour garantir une résolution de noms fiable.
- Une table de routage est attachée au sous-réseau de la passerelle réseau afin d’assurer que le trafic provenant des infrastructures locales puisse être acheminé vers le réseau virtuel appairé.
Cette topologie de réseau suit les instructions d’architecture réseau Hub-Spoke décrites dans le Cloud Adoption Framework pour Azure et le Centre d’architecture Azure.
Envoyer des commentaires
Faites-nous savoir ce que vous pensez de notre travail avec un petit avis. Nous utilisons ces révisions pour améliorer et développer les outils et ressources FinOps.
Si vous recherchez quelque chose de spécifique, votez pour une idée existante ou créez une nouvelle idée. Partagez des idées avec d’autres personnes pour obtenir plus de votes. Nous nous concentrons sur les idées avec le plus de votes.