Privát végpontok az Azure Data Explorerhez
A fürt privát végpontjaival engedélyezheti, hogy a virtuális hálózaton lévő ügyfelek biztonságosan hozzáférjenek az adatokhoz egy privát kapcsolaton keresztül. A privát végpontok a virtuális hálózati címtér privát IP-címeit használják a fürthöz való privát csatlakozáshoz. Hálózati forgalom a virtuális hálózat és a fürt ügyfelei között, áthalad a virtuális hálózaton és egy privát kapcsolaton a Microsoft gerinchálózatán, így kiküszöböli a nyilvános internetről való kitettséget.
A privát végpontok fürthöz való használata lehetővé teszi a következőket:
- A fürt biztonságossá tételéhez konfigurálja a tűzfalat úgy, hogy a nyilvános végponton lévő összes kapcsolatot letiltsa a fürthöz.
- Növelje a virtuális hálózat biztonságát azáltal, hogy letiltja az adatok kiszivárgását a virtuális hálózatból.
- Biztonságosan csatlakozhat olyan helyszíni hálózatokból származó fürtökhöz, amelyek VPN-átjáró vagy ExpressRoutes privát társviszony-létesítéssel csatlakoznak a virtuális hálózathoz.
Áttekintés
A privát végpontok a virtuális hálózatban található Azure-szolgáltatások speciális hálózati adapterei, amelyek a virtuális hálózat IP-címtartományából vannak hozzárendelve. Amikor privát végpontot hoz létre a fürthöz, az biztonságos kapcsolatot biztosít a virtuális hálózaton lévő ügyfelek és a fürt között. A privát végpont és a fürt közötti kapcsolat biztonságos privát kapcsolatot használ.
A virtuális hálózaton lévő alkalmazások zökkenőmentesen csatlakozhatnak a fürthöz a privát végponton keresztül. A kapcsolati sztringek és az engedélyezési mechanizmusok megegyeznek a nyilvános végponthoz való csatlakozással.
Amikor privát végpontot hoz létre a fürthöz a virtuális hálózaton, a rendszer jóváhagyásra vonatkozó kérést küld a fürt tulajdonosának. Ha a privát végpont létrehozását kérő felhasználó egyben a fürt tulajdonosa is, a rendszer automatikusan jóváhagyja a kérést. A fürttulajdonosok a Azure Portal privát végpontjai alatt kezelhetik a fürt hozzájárulási kéréseit és privát végpontjait.
Biztonságossá teheti a fürtöt, hogy csak a virtuális hálózatról fogadjon kapcsolatokat, ha úgy konfigurálja a fürt tűzfalát, hogy alapértelmezés szerint megtagadja a hozzáférést a nyilvános végponton keresztül. Nincs szükség tűzfalszabályra a privát végpontot tartalmazó virtuális hálózat forgalmának engedélyezéséhez, mert a fürt tűzfala csak a nyilvános végpont hozzáférését szabályozza. Ezzel szemben a privát végpontok az alhálózatok fürthöz való hozzáférésének engedélyezéséhez szükséges hozzájárulási folyamaton alapulnak.
Alhálózat méretének megtervezése a virtuális hálózaton
A fürt privát végpontjának üzemeltetéséhez használt alhálózat mérete nem módosítható az alhálózat üzembe helyezése után. A privát végpont több IP-címet használ a virtuális hálózaton. Szélsőséges esetekben, például a csúcskategóriás betöltés esetén a privát végpont által felhasznált IP-címek száma nőhet. Ezt a növekedést az okozza, hogy megnövekedett számú átmeneti tárfiók szükséges átmeneti fiókként a fürtbe való betöltéshez. Ha a forgatókönyv releváns a környezetben, az alhálózat méretének meghatározásakor meg kell terveznie.
Megjegyzés
Az átmeneti tárfiókok horizontális felskálázásáért felelős megfelelő betöltési forgatókönyvek a helyi fájlból való betöltés és aszinkron betöltés egy blobból.
Az alábbi információk segítségével meghatározhatja a privát végpont által igényelt IP-címek teljes számát:
| Használat | IP-címek száma |
|---|---|
| Motorszolgáltatás | 1 |
| Adatkezelési szolgáltatás | 1 |
| Átmeneti tárfiókok | 6 |
| Fenntartott Azure-címek | 5 |
| Összesen | 13 |
Megjegyzés
Az alhálózat abszolút minimális méretének /28 (14 használható IP-cím) kell lennie. Ha egy Azure Data Explorer-fürtöt tervez létrehozni a szélsőséges betöltési számítási feladatokhoz, akkor a biztonságos oldalon /24 netmask áll.
Ha túl kicsi alhálózatot hozott létre, törölheti, és létrehozhat egy újat egy nagyobb címtartománysal. Az alhálózat ismételt létrehozása után létrehozhat egy új privát végpontot a fürthöz.
Csatlakozás privát végponthoz
A privát végpontot használó virtuális hálózaton lévő ügyfeleknek ugyanazt a kapcsolati karakterlánc kell használniuk a fürthöz, mint a nyilvános végponthoz csatlakozó ügyfeleknek. A DNS-feloldás automatikusan privát kapcsolaton keresztül irányítja át a kapcsolatot a virtuális hálózatról a fürtre.
Fontos
Használja ugyanazt a kapcsolati sztringet a fürthöz privát végpontok használatával való csatlakozáshoz, amit a nyilvános végpontokhoz való csatlakozáshoz használ. Ne csatlakozzon a fürthöz a privát kapcsolat altartományának URL-címével.
Alapértelmezés szerint az Azure Data Explorer létrehoz egy privát DNS-zónát a virtuális hálózathoz a privát végpontokhoz szükséges frissítésekkel. Ha azonban saját DNS-kiszolgálót használ, előfordulhat, hogy további módosításokat kell végeznie a DNS-konfiguráción.
Fontos
Az optimális konfiguráció érdekében javasoljuk, hogy az üzembe helyezést a Privát végpont és a DNS-konfiguráció skálázási felhőadaptálási keretrendszer című cikkben szereplő javaslatokhoz igazítsa. A cikkben található információk segítségével automatizálhatja saját DNS bejegyzések létrehozását az Azure Policies használatával, így egyszerűbben kezelheti az üzembe helyezést méretezés közben.
Az Azure Data Explorer több ügyfél számára látható teljes tartománynevet hoz létre a privát végpont üzembe helyezésének részeként. A lekérdezés és a betöltés teljes tartományneve mellett számos teljes tartománynevet is tartalmaz a blob- és tábla-/ üzenetsorvégpontokhoz (a betöltési forgatókönyvekhez szükséges)
Nyilvános hozzáférés letiltása
A biztonság növelése érdekében letilthatja a fürthöz való nyilvános hozzáférést a Azure Portal.
Felügyelt privát végpontok
Felügyelt privát végponttal engedélyezheti, hogy a fürt biztonságosan elérhesse a betöltéssel vagy a lekérdezéssel kapcsolatos szolgáltatásokat a privát végponton keresztül. Ez lehetővé teszi, hogy az Azure Data Explorer-fürt privát IP-címmel férhessen hozzá az erőforrásokhoz.
Támogatott szolgáltatások
Az Azure Data Explorer támogatja a felügyelt privát végpontok létrehozását a következő szolgáltatásokhoz:
- Azure Event Hubs
- Azure IoT Hubs
- Azure Storage-fiók
- Azure Data Explorer
- Azure SQL
- Azure Digital Twins
Korlátozások
A privát végpontok nem támogatottak a virtuális hálózatba ágyazott Azure Data Explorer fürtök esetében.
Költségekre gyakorolt hatások
A privát végpontok vagy a felügyelt privát végpontok olyan erőforrások, amelyek további költségekkel járnak. A költség a kiválasztott megoldásarchitektúra függvényében változik. További információ: Azure Private Link díjszabás.
Kapcsolódó tartalom
- Privát végpontok létrehozása az Azure Data Explorer
- Felügyelt privát végpontok létrehozása az Azure Data Explorer
- Az Azure Data Explorer nyilvános hozzáférésének korlátozása
- Az Azure Data Explorer kimenő hozzáférésének korlátozása
- Privát végpont mögötti fürt csatlakoztatása egy Power BI szolgáltatás
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: