Virtuális hálózati integráció Azure Data Lake Storage Gen1-hez
Ez a cikk az 1. generációs Azure Data Lake Storage virtuális hálózati integrációját mutatja be. A virtuális hálózat integrációjával mostantól úgy állíthatja be fiókjait, hogy azok csak az adott virtuális hálózatokról és alhálózatokról érkező forgalmat fogadják.
Ezzel a funkcióval megvédheti Data Lake Storage-fiókját a külső fenyegetésektől.
A Data Lake Storage Gen1 virtuális hálózati integrációja a virtuális hálózat és a Microsoft Entra ID közötti virtuális hálózati szolgáltatásvégpont-biztonságot használja további biztonsági jogcímek létrehozására a hozzáférési jogkivonatban. Ezután e jogcímek használatával hitelesíti a virtuális hálózatot az 1. generációs Data Lake Storage-fiókkal, és engedélyezi a hozzáférést.
Megjegyzés
A funkció felár nélkül használható. Az 1. generációs Data Lake Storage esetében fiókjánál a standard árat számlázzuk ki. További információkért lásd a díjszabást. Az összes többi Ön által használt Azure-szolgáltatásról a díjszabásban talál további információt.
Forgatókönyvek a virtuális hálózat integrációjához az 1. generációs Data Lake Storage-ban
Az 1. generációs Data Lake Storage virtuális hálózati integrációjánál korlátozhatja adott virtuális hálózatok és alhálózatok hozzáférését az 1. generációs Data Lake Storage-fiókhoz. Miután a fiókot egy megadott virtuális hálózathoz/alhálózathoz kötötte, más Azure-beli virtuális hálózatok vagy virtuális gépek nem férhetnek hozzá. Funkcióit tekintve az 1. generációs Data Lake Storage-fiókok virtuális hálózati integrációja ugyanazt a fogatókönyvet valósítja meg, mint a virtuális hálózati szolgáltatásvégpontok. Néhány fontos különbség van, amelyeket az alábbi szakaszok ismertetnek.
Megjegyzés
A helyszíni hálózatokról való hozzáférések engedélyezéséhez a meglévő IP-tűzfalszabályok is használhatók a virtuális hálózati szabályok mellett.
Optimális útválasztás a virtuális hálózat integrációjához az 1. generációs Data Lake Storage-ban
A virtuális hálózati szolgáltatásvégpontok egyik legfőbb előnye a virtuális hálózat felőli optimális útválasztás. Ugyanezt az optimális útválasztást az 1. generációs Data Lake Storage-fiókoknál is végrehajthatja. Használja az alábbi, felhasználó által meghatározott útvonalakat az 1. generációs Data Lake Storage-fiók virtuális hálózatából.
Data Lake Storage nyilvános IP-címe – Használja a nyilvános IP-címet az 1. generációs Data Lake Storage-célfiókokhoz. Az 1. generációs Data Lake Storage-fiókok IP-címei a fiókok DNS-nevének feloldásával azonosíthatók. Hozzon létre külön bejegyzést mindegyik címhez.
# Create a route table for your resource group.
az network route-table create --resource-group $RgName --name $RouteTableName
# Create route table rules for Data Lake Storage public IP addresses.
# There's one rule per Data Lake Storage public IP address.
az network route-table route create --name toADLSregion1 --resource-group $RgName --route-table-name $RouteTableName --address-prefix <ADLS Public IP Address> --next-hop-type Internet
# Update the virtual network, and apply the newly created route table to it.
az network vnet subnet update --vnet-name $VnetName --name $SubnetName --resource-group $RgName --route-table $RouteTableName
Adatok kiszűrése az ügyféloldali virtuális hálózatokról
A Data Lake Storage-fiókok virtuális hálózatok felőli hozzáférésének biztosítása mellett érdemes gondoskodni arról is, hogy ne lehessen adatokat kiszűrni egy jogosulatlan fiókkal.
A virtuális hálózaton használjon egy tűzfalmegoldást, amely a célfiók URL-címe alapján megszűri a kimenő forgalmat. Csak a jóváhagyott 1. generációs Data Lake Storage-fiók számára engedélyezze a hozzáférést.
Néhány elérhető lehetőség:
- Azure Firewall: A virtuális hálózathoz helyezzen üzembe és konfiguráljon egy Azure Firewallt. Lássa el védelemmel a kimenő Data Lake Storage-forgalmat, és korlátozza az ismert és jogosult fiók-URL-címekre.
- Hálózati virtuális berendezés tűzfala: Előfordulhat, hogy a rendszergazda csak bizonyos kereskedelmi tűzfaltermékek használatát engedélyezi. Használjon az Azure Marketplace-en elérhető hálózati virtuális berendezési tűzfalmegoldást, amely elláthatja ugyanezt a funkciót.
Megjegyzés
Ha az adatok útvonalán tűzfalat használ, az egy további ugrást jelent az adatok útvonalán. Ez hatással lehet a végpontok közötti hálózati adatátvitel teljesítményére. Az elérhető adatátviteli sebességet és a kapcsolatok késését is befolyásolhatja.
Korlátozások
Az új funkció támogatásához újra létre kell hozni azokat a HDInsight-fürtöket, amelyeket Data Lake Storage Gen1 virtuális hálózati integráció támogatása előtt hoztak létre.
Amikor új HDInsight-fürt létrehozásakor egy 1. generációs Data Lake Storage-fiókot választ ki, amelyen engedélyezve van a virtuális hálózati integráció, a folyamat sikertelen lesz. Elsőként tiltsa le a virtuális hálózati szabályokat. Vagy a Data Lake Storage-fiók Tűzfal és virtuális hálózatok panelén válassza a Hozzáférés engedélyezése minden hálózatról és szolgáltatásról lehetőséget. Ezután hozza létre a HDInsight-fürtöt, mielőtt végül újra engedélyezi a virtuális hálózati szabályt, vagy törölje a Hozzáférés engedélyezése az összes hálózatból és szolgáltatásból jelölőnégyzetet. További információt a Kivételek szakaszban talál.
Data Lake Storage Gen1 virtuális hálózati integráció nem működik az Azure-erőforrások felügyelt identitásaival.
A virtuális hálózattal integrált 1. generációs Data Lake Storage-fiókokban található fájl- és mappaadatok nem érhetők el a portálról. Ez a korlátozás magában foglalja a virtuális hálózathoz tartozó virtuális gépekről való hozzáférést és az olyan tevékenységeket is, mint az Adatkezelő használata. A fiókfelügyeleti tevékenységek továbbra is működni fognak. A virtuális hálózattal integrált Data Lake Storage-fiókokban található fájl- és mappaadatok minden nem portálalapú erőforrás által elérhetők. Ebbe beletartozik az SDK-hozzáférés, a PowerShell-szkriptek és az egyéb (nem a portálról indított) Azure-szolgáltatások.
Konfiguráció
1. lépés: A virtuális hálózat konfigurálása Microsoft Entra szolgáltatásvégpont használatára
Nyissa meg az Azure Portalt, és jelentkezzen be fiókjába.
Hozzon létre egy új virtuális hálózatotaz előfizetésében. Vagy használhat egy meglévő virtuális hálózatot is. A virtuális hálózatoknak az 1. generációs Data Lake Storage-fiókkal megegyező régióban kell lenniük.
A Virtuális hálózat panelen válassza a Szolgáltatásvégpontok lehetőséget.
Válassza a Hozzáadás elemet egy új szolgáltatásvégpont hozzáadásához.
Válassza ki a Microsoft.AzureActiveDirectory szolgáltatást a végponthoz.
Válassza ki, mely alhálózatok számára kívánja engedélyezni a csatlakozást. Válassza a Hozzáadás lehetőséget.
A szolgáltatásvégpont hozzáadása akár 15 percet is igénybe vehet. A hozzáadást követően a szolgáltatásvégpont megjelenik a listában. Ellenőrizze, hogy megjelenik-e, és hogy a beállítások megfelelően vannak-e konfigurálva.
2. lépés: Az 1. generációs Data Lake Storage-fiókhoz engedélyezett virtuális hálózat vagy alhálózat beállítása
A virtuális hálózat konfigurálását követően hozzon létre egy új 1. generációs Azure Data Lake Storage-fiókot az előfizetésében. Vagy használhat egy meglévő 1. generációs Data Lake Storage-fiókot is. Az 1. generációs Data Lake Storage-fióknak a virtuális hálózattal megegyező régióban kell lennie.
Válassza a Tűzfalak és virtuális hálózatok lehetőséget.
Megjegyzés
Ha a Tűzfalak és virtuális hálózatok elem nem látható a beállítások között, jelentkezzen ki a portálról. Zárja be a böngészőt, és ürítse ki a böngésző gyorsítótárát. Indítsa újra a számítógépet, és próbálkozzon újra.
Válassza a Kijelölt hálózatok lehetőséget.
Válassza a Meglévő virtuális hálózat hozzáadása elemet.
Válassza ki azokat a virtuális hálózatokat és alhálózatokat, amelyek számára engedélyezi a csatlakozást. Válassza a Hozzáadás lehetőséget.
Győződjön meg arról, hogy a virtuális hálózatok és alhálózatok megfelelően jelennek meg a listában. Kattintson a Mentés gombra.
Megjegyzés
A beállítások módosításának életbe léptetése akár 5 percig is eltarthat.
[Opcionális] A Tűzfal és virtuális hálózatok lap Tűzfal szakaszában engedélyezheti a csatlakozást adott IP-címekről.
Kivételek
Engedélyezheti a csatlakozást az Azure-szolgáltatásokból vagy a kiválasztott virtuális hálózaton kívüli virtuális gépekről. A Tűzfal és virtuális hálózatok panel Kivételek területén válasszon a két lehetőség közül:
Hozzáférés engedélyezése ehhez az 1. generációs Data Lake Storage-fiókhoz az összes Azure-szolgáltatás számára. Ez a beállítás minden Azure-szolgáltatás (pl.: Azure Data Factory, Azure Event Hubs) és minden Azure-beli virtuális gép számára engedélyezi a kommunikációt a Data Lake Storage-fiókkal.
Hozzáférés engedélyezése ehhez az 1. generációs Data Lake Storage-fiókhoz az Azure Data Lake Analytics számára. Ez a beállítás a Data Lake Analytics számára engedélyezi, hogy csatlakozzon a Data Lake Storage-fiókhoz.
Javasoljuk, hogy ezeket a kivételeket tartsa kikapcsolva. Ezeket a kivételeket csak akkor kapcsolja be, ha e szolgáltatások számára a virtuális hálózaton kívülről is biztosítania kell a csatlakozási lehetőséget.