Endpoint privati per Esplora dati di Azure
È possibile usare endpoint privati per il cluster per consentire ai client in una rete virtuale di accedere in modo sicuro ai dati tramite un collegamento privato. Gli endpoint privati usano indirizzi IP privati dallo spazio indirizzi di rete virtuale per connettersi privatamente al cluster. Il traffico di rete tra client nella rete virtuale e il cluster attraversa la rete virtuale e un collegamento privato sulla rete backbone Microsoft, eliminando l'esposizione da Internet pubblica.
L'uso di endpoint privati per il cluster consente di:
- Proteggere il cluster configurando il firewall per bloccare tutte le connessioni nell'endpoint pubblico al cluster.
- Aumentare la sicurezza per la rete virtuale consentendo di bloccare l'esfiltrazione dei dati dalla rete virtuale.
- Connettersi in modo sicuro ai cluster da reti locali che si connettono alla rete virtuale usando un gateway VPN o ExpressRoutes con peering privato.
Panoramica
Un endpoint privato è un'interfaccia di rete speciale per un servizio di Azure nella rete virtuale assegnata agli indirizzi IP dall'intervallo di indirizzi IP della rete virtuale. Quando si crea un endpoint privato per il cluster, offre connettività sicura tra client nella rete virtuale e nel cluster. La connessione tra l'endpoint privato e il cluster usa un collegamento privato sicuro.
Le applicazioni nella rete virtuale possono connettersi facilmente al cluster tramite l'endpoint privato. Le stringhe di connessione e i meccanismi di autorizzazione sono uguali a quello usato per connettersi a un endpoint pubblico.
Quando si crea un endpoint privato per il cluster nella rete virtuale, viene inviata una richiesta di consenso per l'approvazione al proprietario del cluster. Se l'utente che richiede la creazione dell'endpoint privato è anche un proprietario del cluster, la richiesta viene approvata automaticamente. I proprietari del cluster possono gestire le richieste di consenso e gli endpoint privati per il cluster nel portale di Azure, in Endpoint privati.
È possibile proteggere il cluster per accettare solo le connessioni dalla rete virtuale configurando il firewall del cluster per negare l'accesso tramite l'endpoint pubblico per impostazione predefinita. Non è necessaria una regola del firewall per consentire il traffico da una rete virtuale con un endpoint privato perché il firewall del cluster controlla solo l'accesso per l'endpoint pubblico. Al contrario, gli endpoint privati si basano sul flusso di consenso per concedere alle subnet l'accesso al cluster.
Pianificare le dimensioni della subnet nella rete virtuale
Le dimensioni della subnet usata per ospitare un endpoint privato per un cluster non possono essere modificate dopo la distribuzione della subnet. L'endpoint privato usa più indirizzi IP nella rete virtuale. In scenari estremi, ad esempio l'inserimento high-end, il numero di indirizzi IP utilizzati dall'endpoint privato potrebbe aumentare. Questo aumento è causato da un numero maggiore di account di archiviazione temporanei necessari come account di gestione temporanea per l'inserimento nel cluster. Se lo scenario è rilevante nell'ambiente, è necessario pianificarlo quando si determinano le dimensioni per la subnet.
Nota
Gli scenari di inserimento pertinenti che sarebbero responsabili della scalabilità orizzontale degli account di archiviazione temporanei vengono inserimenti da un file locale e l'inserimento asincrono da un BLOB.
Usare le informazioni seguenti per determinare il numero totale di indirizzi IP richiesti dall'endpoint privato:
| Uso | Numero di indirizzi IP |
|---|---|
| Servizio motore | 1 |
| Servizio di gestione dei dati | 1 |
| Account di archiviazione temporanei | 6 |
| Indirizzi riservati di Azure | 5 |
| Totale | 13 |
Nota
Le dimensioni minime assolute per la subnet devono essere /28 (14 indirizzi IP utilizzabili). Se si prevede di creare un cluster di Azure Esplora dati per carichi di lavoro di inserimento estremi sul lato sicuro con una maschera di rete /24.
Se è stata creata una subnet troppo piccola, è possibile eliminarla e crearne una nuova con un intervallo di indirizzi più grande. Dopo aver ricreato la subnet, è possibile creare un nuovo endpoint privato per il cluster.
Connettersi a un endpoint privato
I client in una rete virtuale che usano un endpoint privato devono usare la stessa stringa di connessione per il cluster come client che si connettono a un endpoint pubblico. La risoluzione DNS instrada automaticamente le connessioni dalla rete virtuale al cluster tramite un collegamento privato.
Importante
Usare la stessa stringa di connessione usata per connettersi a un endpoint pubblico per connettersi al cluster usando gli endpoint privati. Non connettersi al cluster usando il suo URL del sottodominio del collegamento privato.
Per impostazione predefinita, Azure Esplora dati crea una zona DNS privata collegata alla rete virtuale con gli aggiornamenti necessari per gli endpoint privati. Tuttavia, se si usa il proprio server DNS, potrebbe essere necessario apportare altre modifiche alla configurazione DNS.
Importante
Per una configurazione ottimale, è consigliabile allineare la distribuzione con le raccomandazioni contenute nell'endpoint privato e nella configurazione DNS in Scala Cloud Adoption Framework articolo. Usare le informazioni contenute nell'articolo per automatizzare la creazione di voci DNS privato usando Criteri di Azure, semplificando la gestione della distribuzione in base alla scalabilità.
Azure Esplora dati crea più FQDN visibili dal cliente come parte della distribuzione dell'endpoint privato. Oltre al nome di dominio completo di inserimento e query viene fornito con diversi FQDN per BLOB/table/queue endpoint (necessari per gli scenari di inserimento )
Disabilitare l'accesso pubblico
Per aumentare la sicurezza, è anche possibile disabilitare l'accesso pubblico al cluster nel portale di Azure.
Endpoint privati gestiti
È possibile usare un endpoint privato gestito per consentire al cluster di accedere in modo sicuro ai servizi correlati all'inserimento o alle query tramite l'endpoint privato. Ciò consente al cluster di Esplora dati di Azure di accedere alle risorse tramite un indirizzo IP privato.
Servizi supportati
Azure Esplora dati supporta la creazione di endpoint privati gestiti ai servizi seguenti:
- Hub eventi di Azure
- Hub di Azure IoT
- Account di archiviazione di Azure
- Esplora dati di Azure
- SQL di Azure
- Gemelli digitali di Azure
Limitazioni
Gli endpoint privati non sono supportati per le reti virtuali inserite in cluster di Esplora dati di Azure.
Implicazioni sui costi
Gli endpoint privati o gli endpoint privati gestiti sono risorse che comportano costi aggiuntivi. Il costo varia a seconda dell'architettura della soluzione selezionata. Per altre informazioni, vedere prezzi collegamento privato di Azure.
Contenuti correlati
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per