Integrasi jaringan virtual untuk Azure Data Lake Storage Gen1
Artikel ini memperkenalkan integrasi jaringan virtual untuk Azure Data Lake Storage Gen1. Dengan integrasi jaringan virtual, Anda dapat mengonfigurasi akun Anda untuk menerima lalu lintas hanya dari jaringan virtual dan subnet tertentu.
Fitur ini membantu mengamankan akun Data Lake Storage Anda dari ancaman eksternal.
Integrasi jaringan virtual untuk Data Lake Storage Gen1 memanfaatkan keamanan titik akhir layanan jaringan virtual antara jaringan virtual Anda dan Microsoft Entra ID untuk menghasilkan klaim keamanan tambahan dalam token akses. Klaim ini kemudian digunakan untuk mengautentikasi jaringan virtual ke akun Data Lake Storage Gen1 Anda dan mengizinkan akses.
Catatan
Tidak ada biaya tambahan yang terkait dengan penggunaan kemampuan ini. Akun Anda ditagih dengan tarif standar untuk Data Lake Storage Gen1. Untuk informasi selengkapnya, lihat harga. Untuk semua layanan Azure lainnya yang Anda gunakan, lihat harga.
Skenario untuk integrasi jaringan virtual untuk Azure Data Lake Storage Gen1
Dengan integrasi jaringan virtual Data Lake Storage Gen1, Anda dapat membatasi akses ke akun Data Lake Storage Gen1 dari jaringan virtual dan subnet tertentu. Setelah akun Anda terkunci ke subnet jaringan virtual tertentu, jaringan virtual/VM yang lain di Azure tidak akan dapat mengaksesnya. Secara fungsional, integrasi jaringan virtual Data Lake Storage Gen1 memungkinkan skenario yang sama dengan titik akhir layanan jaringan virtual. Beberapa perbedaan utama diperinci di bagian berikut.
Catatan
Aturan firewall IP yang ada juga dapat digunakan selain aturan jaringan virtual untuk memungkinkan akses dari jaringan lokal juga.
Perutean optimal dengan integrasi jaringan virtual Data Lake Storage Gen1
Manfaat utama titik akhir layanan jaringan virtual adalah perutean optimal dari jaringan virtual Anda. Anda dapat melakukan pengoptimalan rute yang sama ke akun Data Lake Storage Gen1. Gunakan rute yang ditentukan pengguna berikut dari jaringan virtual Anda ke akun Data Lake Storage Gen1 Anda.
Alamat IP publik Data Lake Storage - Gunakan alamat IP publik untuk akun Data Lake Storage Gen1 target Anda. Untuk mengidentifikasi alamat IP untuk akun Data Lake Storage Gen1 Anda, selesaikan nama DNS akun Anda. Buat entri terpisah untuk setiap alamat.
# Create a route table for your resource group.
az network route-table create --resource-group $RgName --name $RouteTableName
# Create route table rules for Data Lake Storage public IP addresses.
# There's one rule per Data Lake Storage public IP address.
az network route-table route create --name toADLSregion1 --resource-group $RgName --route-table-name $RouteTableName --address-prefix <ADLS Public IP Address> --next-hop-type Internet
# Update the virtual network, and apply the newly created route table to it.
az network vnet subnet update --vnet-name $VnetName --name $SubnetName --resource-group $RgName --route-table $RouteTableName
Penyelundupan data dari jaringan virtual pelanggan
Selain mengamankan akun Data Lake Storage untuk akses dari jaringan virtual, Anda juga mungkin tertarik untuk memastikan tidak ada penyeludupan ke akun yang tidak sah.
Gunakan solusi firewall di jaringan virtual Anda untuk memfilter lalu lintas keluar berdasarkan URL akun tujuan. Izinkan akses hanya ke akun Data Lake Storage Gen1 yang disetujui.
Beberapa opsi yang tersedia adalah:
- Azure Firewall: Menyebarkan dan mengonfigurasi firewall Azure untuk jaringan virtual Anda. Amankan lalu lintas Data Lake Storage keluar, dan batasi URL akun yang diketahui dan disetujui.
- Firewall appliance virtual jaringan: Administrator Anda mungkin mengizinkan penggunaan hanya pada vendor firewall komersial tertentu. Gunakan solusi firewall peralatan virtual jaringan yang tersedia di Marketplace Azure untuk melakukan fungsi yang sama.
Catatan
Menggunakan firewall di jalur data akan memasukkan hop tambahan di jalur data. Ini mungkin memengaruhi performa jaringan untuk pertukaran data end-to-end. Ketersediaan throughput dan latensi koneksi mungkin terpengaruh.
Batasan
Kluster HDInsight yang dibuat sebelum dukungan integrasi jaringan virtual Data Lake Storage Gen1 tersedia harus dibuat ulang untuk mendukung fitur baru ini.
Saat Anda membuat kluster HDInsight baru dan memilih akun Data Lake Storage Gen1 dengan integrasi jaringan virtual diaktifkan, prosesnya akan gagal. Pertama, nonaktifkan aturan jaringan virtual. Atau, pada bilah Firewall dan jaringan virtual dari akun Data Lake Storage, pilih Izinkan akses dari semua jaringan dan layanan. Kemudian, buat kluster HDInsight sebelum akhirnya mengaktifkan kembali aturan jaringan virtual atau membatalkan pilihan Izinkan akses dari semua jaringan dan layanan. Untuk informasi selengkapnya, lihat bagian Pengecualian.
Integrasi jaringan virtual Data Lake Storage Gen1 tidak berfungsi dengan identitas terkelola untuk sumber daya Azure.
Data file dan folder di akun Data Lake Storage Gen1 virtual Anda tidak dapat diakses dari portal. Pembatasan ini mencakup akses dari VM yang berada dalam jaringan virtual dan aktivitas seperti menggunakan Data Explorer. Aktivitas manajemen akun terus berfungsi. Data file dan folder di akun Data Lake Storage yang mendukung jaringan virtual Anda dapat diakses melalui semua sumber daya selain portal. Sumber daya ini termasuk akses SDK, skrip PowerShell, dan layanan Azure lainnya saat semua tidak berasal dari portal.
Konfigurasi
Langkah 1: Konfigurasikan jaringan virtual Anda untuk menggunakan titik akhir layanan Microsoft Entra
Buka portal Microsoft Azure, dan masuk ke akun Anda.
Buat jaringan virtual baru di langganan Anda. Atau, Anda dapat membuka jaringan virtual yang ada. Jaringan virtual harus berada di wilayah yang sama dengan akun Data Lake Storage Gen 1.
Pada bilah Jaringan virtual, pilih Titik akhir layanan.
Pilih Tambahkan untuk menambahkan titik akhir layanan baru.
Pilih Microsoft.AzureActiveDirectory sebagai layanan untuk titik akhir.
Pilih subnet yang ingin Anda izinkan konektivitasnya. Pilih Tambahkan.
Perlu waktu hingga 15 menit hingga titik akhir layanan ditambahkan. Setelah ditambahkan, titik akhir akan muncul dalam daftar. Pastikan bahwa titik akhir muncul dan bahwa semua detail sesuai dengan yang dikonfigurasikan.
Langkah 2: Siapkan jaringan virtual atau subnet yang diizinkan untuk akun Azure Data Lake Storage Gen1 Anda
Setelah mengonfigurasi jaringan virtual, buat akun Azure Data Lake Storage Gen1 baru di langganan Anda. Atau Anda dapat masuk ke akun Data Lake Storage Gen1 yang sudah ada. Akun Data Lake Storage Gen1 harus berada di wilayah yang sama dengan jaringan virtual.
Pilih Firewall dan jaringan virtual.
Catatan
Jika Anda tidak melihat Firewall dan jaringan virtual di pengaturan, keluar dari portal. Tutup browser, dan hapus tembolokan browser. Mulai ulang komputer dan coba lagi.
Pilih Jaringan yang dipilih.
Pilih Tambahkan jaringan virtual yang ada.
Pilih jaringan virtual dan subnet untuk memungkinkan konektivitas. Pilih Tambahkan.
Pastikan bahwa jaringan virtual dan subnet muncul dengan benar dalam daftar. Pilih Simpan.
Catatan
Perlu waktu hingga 5 menit hingga pengaturan diterapkan setelah Anda menyimpan.
[Opsional] Pada halaman Firewall dan jaringan virtual, di bagian Firewall, Anda dapat mengizinkan konektivitas dari alamat IP tertentu.
Pengecualian
Anda dapat mengaktifkan konektivitas dari layanan Azure dan VM di luar jaringan virtual yang Anda pilih. Pada bilah Firewall dan jaringan virtual, di area Pengecualian, pilih dari dua opsi:
Izinkan semua layanan Azure mengakses akun Azure Data Lake Storage Gen1 ini. Opsi ini memungkinkan layanan Azure seperti Azure Data Factory, Azure Event Hubs, dan semua Azure VM untuk berkomunikasi dengan akun Data Lake Storage Anda.
Izinkan Azure Data Lake Analytics mengakses akun Data Lake Storage Gen1 ini. Opsi ini memungkinkan konektivitas Data Lake Analytics ke akun Data Lake Storage ini.
Sebaiknya Anda menonaktifkan pengecualian ini. Aktifkan hanya jika membutuhkan konektivitas dari layanan lain dari luar jaringan virtual Anda.