Distribuire il cluster di Azure Esplora dati nell'Rete virtuale
Importante
Prendere in considerazione il passaggio a una soluzione basata su endpoint privato di Azure per implementare la sicurezza di rete con Azure Esplora dati. È meno soggetto a errori e fornisce la parità delle funzionalità.
Questo articolo illustra le risorse presenti quando si distribuisce un cluster di Azure Esplora dati in un Rete virtuale di Azure personalizzato. Queste informazioni consentono di distribuire un cluster in una subnet nella Rete virtuale (rete virtuale). Per altre informazioni sulle reti virtuali di Azure, vedere Informazioni su Azure Rete virtuale?
Azure Esplora dati supporta la distribuzione di un cluster in una subnet nella Rete virtuale (rete virtuale). Questa funzionalità consente di:
- Applicare le regole del gruppo di sicurezza di rete (NSG) nel traffico del cluster di Azure Esplora dati.
- Connettere la rete locale alla subnet del cluster Esplora dati di Azure.
- Proteggere le origini connessione dati (Hub eventi e Griglia di eventi) con endpoint di servizio.
Accedere al cluster di Esplora dati di Azure nella rete virtuale
È possibile accedere al cluster di Azure Esplora dati usando gli indirizzi IP seguenti per ogni servizio (motore e servizi di gestione dei dati):
- IP privato: usato per accedere al cluster all'interno della rete virtuale.
- IP pubblico: usato per accedere al cluster dall'esterno della rete virtuale per la gestione e il monitoraggio e come indirizzo di origine per le connessioni in uscita avviate dal cluster.
Importante
Le regole del gruppo di sicurezza di rete predefinite bloccano l'accesso agli indirizzi IP pubblici all'esterno della rete virtuale. Per raggiungere un endpoint pubblico, è necessario aggiungere un'eccezione per gli indirizzi IP pubblici nel gruppo di sicurezza di rete.
I record DNS seguenti vengono creati per accedere al servizio:
[clustername].[geo-region].kusto.windows.net
(motore)ingest-[clustername].[geo-region].kusto.windows.net
(gestione dei dati) vengono mappati all'INDIRIZZO IP pubblico per ogni servizio.private-[clustername].[geo-region].kusto.windows.net
(motore)ingest-private-[clustername].[geo-region].kusto.windows.net
\private-ingest-[clustername].[geo-region].kusto.windows.net
(gestione dei dati) vengono mappati all'INDIRIZZO IP privato per ogni servizio.
Pianificare le dimensioni della subnet nella rete virtuale
Le dimensioni della subnet usata per ospitare un cluster di Azure Esplora dati non possono essere modificate dopo la distribuzione della subnet. Nella rete virtuale, Azure Esplora dati usa un indirizzo IP privato per ogni macchina virtuale e due indirizzi IP privati per i servizi di bilanciamento del carico interni (motore e gestione dei dati). La rete di Azure usa anche cinque indirizzi IP per ogni subnet. Azure Esplora dati esegue il provisioning di due macchine virtuali per il servizio di gestione dei dati. Le macchine virtuali del servizio motore vengono sottoposte a provisioning per capacità di scalabilità di configurazione utente.
Numero totale di indirizzi IP:
Uso | Numero di indirizzi |
---|---|
Servizio motore | 1 per istanza |
Servizio di gestione dei dati | 2 |
Servizi di bilanciamento del carico interni | 2 |
Indirizzi riservati di Azure | 5 |
Totale | #engine_instances + 9 |
Importante
- Assicurarsi di pianificare le dimensioni della subnet prima di distribuire Azure Esplora dati. Dopo la distribuzione, non è possibile modificare le dimensioni della subnet.
- Assicurarsi di non distribuire altre risorse o servizi di Azure nella subnet in cui si prevede di distribuire Azure Esplora dati. Questa operazione impedirà l'avvio di Esplora dati di Azure quando si riprende da uno stato sospeso.
Endpoint di servizio per la connessione ad Azure Esplora dati
Gli endpoint di servizio di Azure consentono di proteggere le risorse multi-tenant di Azure nella rete virtuale. La distribuzione del cluster nella subnet consente di configurare le connessioni dati con Hub eventi o Griglia di eventi, limitando le risorse sottostanti per la subnet di Azure Esplora dati.
Endpoint privati
Gli endpoint privati consentono l'accesso privato alle risorse di Azure(ad esempio archiviazione/hub eventi/Data Lake Gen 2) e usano l'INDIRIZZO IP privato dal Rete virtuale, portando in modo efficace la risorsa nella rete virtuale. Creare un endpoint privato per le risorse usate dalle connessioni dati, ad esempio hub eventi e archiviazione, e tabelle esterne, ad esempio Archiviazione, Data Lake Gen 2 e database SQL dalla rete virtuale per accedere privatamente alle risorse sottostanti.
Nota
Per configurare l'endpoint privato è necessario configurare DNS, è supportato solo l'installazione della zona di Azure DNS privato. Il server DNS personalizzato non è supportato.
Configurare le regole del gruppo di sicurezza di rete
I gruppi di sicurezza di rete consentono di controllare l'accesso alla rete all'interno di una rete virtuale. È necessario configurare gruppi di sicurezza di rete per il cluster di Esplora dati di Azure da usare nella rete virtuale.
Configurare le regole del gruppo di sicurezza di rete tramite la delega della subnet
La delega della subnet è il metodo predefinito per configurare le regole del gruppo di sicurezza di rete per i cluster di Azure Esplora dati distribuiti in una subnet nella rete virtuale. Quando si usa la delega di subnet, è necessario delegare la subnet a Microsoft.Kusto/cluster prima di creare il cluster nella subnet.
Abilitando la delega della subnet nella subnet del cluster, è possibile abilitare il servizio per definire le relative condizioni di pre-configurazione per la distribuzione sotto forma di Criteri finalità di rete. Quando si crea il cluster nella subnet, le configurazioni del gruppo di sicurezza di rete indicate nelle sezioni seguenti vengono create automaticamente.
Avviso
La modifica della configurazione della delega della subnet interromperà infine la normale operazione del cluster. Ad esempio, dopo l'arresto del cluster, potrebbe non essere possibile avviare il cluster, eseguire comandi di gestione o applicare il monitoraggio dell'integrità nel cluster.
Configurare manualmente le regole del gruppo di sicurezza di rete
In alternativa, è possibile configurare manualmente il gruppo di sicurezza di rete. Per impostazione predefinita, la distribuzione di un cluster in una rete virtuale applica la delega della subnet per "Microsoft.Kusto/clusters" da configurare. Il rifiuto esplicito di questo requisito è possibile usando il riquadro Funzionalità di anteprima .
Avviso
La configurazione manuale delle regole del gruppo di sicurezza di rete per il cluster non è semplice e richiede di monitorare costantemente questo articolo per le modifiche. È consigliabile usare la delega di subnet per il cluster o, se si preferisce, considerare l'uso di una soluzione basata su endpoint privato .
Configurazione del gruppo di sicurezza di rete in ingresso
Uso | From | To | Protocollo |
---|---|---|---|
Gestione | Indirizzi di gestione di Azure Esplora dati/AzureDataExplorerManagement(ServiceTag) | YourAzureDataExplorerSubnet:443 | TCP |
Monitoraggio dell’integrità | Indirizzi di monitoraggio dell'integrità di Azure Esplora dati | YourAzureDataExplorerSubnet:443 | TCP |
Comunicazione interna di Azure Esplora dati | YourAzureDataExplorerSubnet: Tutte le porte | PorteAzureDataExplorerSubnet:All | Tutti |
Consenti servizio di bilanciamento del carico di Azure in ingresso (probe di integrità) | AzureLoadBalancer | YourAzureDataExplorerSubnet:80,443 | TCP |
Configurazione del gruppo di sicurezza di rete in uscita
Uso | From | To | Protocollo |
---|---|---|---|
Dipendenza da Archiviazione di Azure | YourAzureDataExplorerSubnet | Archiviazione:443 | TCP |
Dipendenza da Azure Data Lake | YourAzureDataExplorerSubnet | AzureDataLake:443 | TCP |
Monitoraggio e inserimento di Hub eventi | YourAzureDataExplorerSubnet | EventHub:443.5671 | TCP |
Pubblicare metriche | YourAzureDataExplorerSubnet | AzureMonitor:443 | TCP |
Active Directory (se applicabile) | YourAzureDataExplorerSubnet | AzureActiveDirectory:443 | TCP |
Dipendenza da KeyVault | YourAzureDataExplorerSubnet | AzureKeyVault:443 | TCP |
Autorità di certificazione | YourAzureDataExplorerSubnet | Internet:80 | TCP |
Comunicazione interna | YourAzureDataExplorerSubnet | Subnet di Azure Esplora dati:Tutte le porte | Tutti |
Porte usate per sql\_request e http\_request plug-in |
YourAzureDataExplorerSubnet | Internet:Personalizzato | TCP |
Le sezioni seguenti elencano gli indirizzi IP pertinenti per la gestione e il monitoraggio dell'integrità.
Nota
È possibile ignorare gli elenchi seguenti se la subnet è delegata a Microsoft.Kusto/cluster , come descritto in Configurare le regole del gruppo di sicurezza di rete usando la delega della subnet. In questo scenario, gli indirizzi IP potrebbero non essere aggiornati, ma verranno aggiornati automaticamente quando le regole del gruppo di sicurezza di rete necessarie vengono assegnate al cluster.
Indirizzi IP di gestione di Azure Esplora dati
Nota
Per le distribuzioni future, usare Il tag del servizio AzureDataExplorer
Region | Indirizzi |
---|---|
Australia centrale | 20.37.26.134 |
Australia centrale 2 | 20.39.99.177 |
Australia orientale | 40.82.217.84 |
Australia sud-orientale | 20.40.161.39 |
Brasile meridionale | 191.233.25.183 |
Brasile sud-orientale | 191.232.16.14 |
Canada centrale | 40.82.188.208 |
Canada orientale | 40.80.255.12 |
India centrale | 40.81.249.251, 104.211.98.159 |
Stati Uniti centrali | 40.67.188.68 |
Stati Uniti centrali EUAP | 40.89.56.69 |
Cina orientale 2 | 139.217.184.92 |
Cina settentrionale 2 | 139.217.60.6 |
Asia orientale | 20.189.74.103 |
Stati Uniti orientali | 52.224.146.56 |
Stati Uniti orientali 2 | 52.232.230.201 |
Stati Uniti orientali 2 EUAP | 52.253.226.110 |
Francia centrale | 40.66.57.91 |
Francia meridionale | 40.82.236.24 |
Germania centro-occidentale | 51.116.98.150 |
Giappone orientale | 20.43.89.90 |
Giappone occidentale | 40.81.184.86 |
Corea centrale | 40.82.156.149 |
Corea meridionale | 40.80.234.9 |
Stati Uniti centro-settentrionali | 40.81.43.47 |
Europa settentrionale | 52.142.91.221 |
Norvegia orientale | 51.120.49.100 |
Norvegia occidentale | 51.120.133.5 |
Polonia centrale | 20.215.208.177 |
Sudafrica settentrionale | 102.133.129.138 |
Sudafrica occidentale | 102.133.0.97 |
Stati Uniti centro-meridionali | 20.45.3.60 |
Asia sud-orientale | 40.119.203.252 |
India meridionale | 40.81.72.110, 104.211.224.189 |
Svizzera settentrionale | 20.203.198.33 |
Svizzera occidentale | 51.107.98.201 |
Emirati Arabi Uniti centrali | 20.37.82.194 |
Emirati Arabi Uniti settentrionali | 20.46.146.7 |
Regno Unito meridionale | 40.81.154.254 |
Regno Unito occidentale | 40.81.122.39 |
Stati Uniti centrali DoD | 52.182.33.66 |
Stati uniti orientali DoD | 52.181.33.69 |
USGov Arizona | 52.244.33.193 |
USGov Texas | 52.243.157.34 |
USGov Virginia | 52.227.228.88 |
Stati Uniti centro-occidentali | 52.159.55.120 |
Europa occidentale | 51.145.176.215 |
India occidentale | 40.81.88.112 |
Stati Uniti occidentali | 13.64.38.225 |
West US 2 | 40.90.219.23 |
Stati Uniti occidentali 3 | 20.40.24.116 |
Indirizzi di monitoraggio dell'integrità
Region | Indirizzi |
---|---|
Australia centrale | 52.163.244.128, 20.36.43.207, 20.36.44.186, 20.36.45.105, 20.36.45.34, 20.36.44.177, 20.36.45.33, 20.36.45.9 |
Australia centrale 2 | 52.163.244.128 |
Australia orientale | 52.163.244.128, 13.70.72.44, 52.187.248.59, 52.156.177.51, 52.237.211.110, 52.237.213.135, 104.210.70.186, 104.210.88.184, 13.75.183.192, 52.147.30.27, 13.72.245.57 |
Australia sud-orientale | 52.163.244.128, 13.77.50.98, 52.189.213.18, 52.243.76.73, 52.189.194.173, 13.77.43.81, 52.189.213.33, 52.189.216.81, 52.189.233.66, 52.189.212.69, 52.189.248.147 |
Brasile meridionale | 23.101.115.123, 191.233.203.34, 191.232.48.69, 191.232.169.24, 191.232.52.16, 191.239.251.52, 191.237.252.188, 191.234.162.82, 191.232.49.124, 191.232.55.149, 191.232.49.236 |
Canada centrale | 23.101.115.123, 52.228.121.143, 52.228.121.146, 52.228.121.147, 52.228.121.149, 52.228.121.150, 52.228.121.151, 20.39.136.152, 20.39.136.155, 20.39.136.180, 20.39.136.185, 20.39.136.187, 20.39.136.193, 52.228.121.152, 52.228.121.153, 52.228.121.31, 52.228.118.139, 20.48.136.29, 52.228.119.222, 52.228.121.123 |
Canada orientale | 23.101.115.123, 40.86.225.89, 40.86.226.148, 40.86.227.81, 40.86.225.159, 40.86.226.43, 40.86.227.75, 40.86.231.40, 40.86.225.81 |
India centrale | 52.163.244.128, 52.172.204.196, 52.172.218.144, 52.172.198.236, 52.172.187.93, 52.172.213.78, 52.172.202.195, 52.172.210.146 |
Stati Uniti centrali | 23.101.115.123, 13.89.172.11, 40.78.130.218, 40.78.131.170, 40.122.52.191, 40.122.27.37, 40.113.224.199, 40.122.118.225, 40.122.116.133, 40.122.126.193, 40.122.104.60 |
Stati Uniti centrali EUAP | 23.101.115.123 |
Cina orientale 2 | 40.73.96.39 |
Cina settentrionale 2 | 40.73.33.105 |
Asia orientale | 52.163.244.128, 13.75.34.175, 168.63.220.81, 207.46.136.220, 168.63.210.90, 23.101.15.21, 23.101.7.253, 207.46.136.152, 65.52.180.140, 23.101.13.231, 23.101.3.51 |
Stati Uniti orientali | 52.249.253.174, 52.149.248.192, 52.226.98.175, 52.226.98.216, 52.149.184.133, 52.226.99.54, 52.226.99.58, 52.226.99.65, 52.186.38.56, 40.88.16.66, 40.88.23.108, 52.224.135.234, 52.151.240.130, 52.226.99.68, 52.226.99.110, 52.226.99.115, 52.226.99.127, 52.226.99.153, 52.226.99.207, 52.226.100.84, 52.226.100.121, 52.226.100.138, 52.226.100.176, 52.226.101.50, 52.226.101.81, 52.191.99.133, 52.226.96.208, 52.226.101.102, 52.147.211.11, 52.147.211.97, 52.147.211.226, 20.49.104.10 |
Stati Uniti orientali 2 | 104.46.110.170, 40.70.147.14, 40.84.38.74, 52.247.116.27, 52.247.117.99, 52.177.182.76, 52.247.117.144, 52.247.116.99, 52.247.67.200, 52.247.119.96, 52.247.70.70 |
Stati Uniti orientali 2 EUAP | 104.46.110.170 |
Francia centrale | 40.127.194.147, 40.79.130.130, 40.89.166.214, 40.89.172.87, 20.188.45.116, 40.89.133.143, 40.89.148.203, 20.188.44.60, 20.188.45.105, 20.188.44.152, 20.188.43.156 |
Francia meridionale | 40.127.194.147 |
Giappone orientale | 52.163.244.128, 40.79.195.2, 40.115.138.201, 104.46.217.37, 40.115.140.98, 40.115.141.134, 40.115.142.61, 40.115.137.9, 40.115.137.124, 40.115.140.218, 40.115.137.189 |
Giappone occidentale | 52.163.244.128, 40.74.100.129, 40.74.85.64, 40.74.126.115, 40.74.125.67, 40.74.128.17, 40.74.127.201, 40.74.128.130, 23.100.108.106, 40.74.128.122, 40.74.128.53 |
Corea centrale | 52.163.244.128, 52.231.77.58, 52.231.73.183, 52.231.71.204, 52.231.66.104, 52.231.77.171, 52.231.69.238, 52.231.78.172, 52.231.69.251 |
Corea meridionale | 52.163.244.128, 52.231.200.180, 52.231.200.181, 52.231.200.182, 52.231.200.183, 52.231.153.175, 52.231.164.160, 52.231.195.85, 52.231.195.86, 52.231.195.129, 52.231.200.179, 52.231.146.96 |
Stati Uniti centro-settentrionali | 23.101.115.123 |
Europa settentrionale | 40.127.194.147, 40.85.74.227, 40.115.100.46, 40.115.100.121, 40.115.105.188, 40.115.103.43, 40.115.109.52, 40.112.77.214, 40.115.99.5 |
Sudafrica settentrionale | 52.163.244.128 |
Sudafrica occidentale | 52.163.244.128 |
Stati Uniti centro-meridionali | 104.215.116.88, 13.65.241.130, 40.74.240.52, 40.74.249.17, 40.74.244.211, 40.74.244.204, 40.84.214.51, 52.171.57.210, 13.65.159.231 |
India meridionale | 52.163.244.128 |
Asia sud-orientale | 52.163.244.128, 20.44.192.205, 20.44.193.4, 20.44.193.56, 20.44.193.98, 20.44.193.147, 20.44.193.175, 20.44.194.249, 20.44.196.82, 20.44.196.95, 20.44.196.104, 20.44.196.115, 20.44.197.158, 20.195.36.24, 20.195.36.25, 20.195.36.27, 20.195.36.37, 20.195.36.39, 20.195.36.40, 20.195.36.41, 20.195.36.42, 20.195.36.43, 20.195.36.44, 20.195.36.45, 20.195.36.46, 20.44.197.160, 20.44.197.162, 20.44.197.219, 20.195.58.80, 20.195.58.185, 20.195.59.60, 20.43.132.128 |
Svizzera settentrionale | 51.107.58.160, 51.107.87.163, 51.107.87.173, 51.107.83.216, 51.107.68.81, 51.107.87.174, 51.107.87.170, 51.107.87.164, 51.107.87.186, 51.107.87.171 |
Regno Unito meridionale | 40.127.194.147, 51.11.174.122, 51.11.173.237, 51.11.174.192, 51.11.174.206, 51.11.175.74, 51.11.175.129, 20.49.216.23, 20.49.216.160, 20.49.217.16, 20.49.217.92, 20.49.217.127, 20.49.217.151, 20.49.166.84, 20.49.166.178, 20.49.166.237, 20.49.167.84, 20.49.232.77, 20.49.232.113, 20.49.232.121, 20.49.232.130, 20.49.232.140, 20.49.232.169, 20.49.165.24, 20.49.232.240, 20.49.217.152, 20.49.217.164, 20.49.217.181, 51.145.125.189, 51.145.126.43, 51.145.126.48, 51.104.28.64 |
Regno Unito occidentale | 40.127.194.147, 51.140.245.89, 51.140.246.238, 51.140.248.127, 51.141.48.137, 51.140.250.127, 51.140.231.20, 51.141.48.238, 51.140.243.38 |
Stati Uniti centrali DoD | 52.126.176.221, 52.126.177.43, 52.126.177.89, 52.126.177.90, 52.126.177.171, 52.126.177.233, 52.126.177.245, 52.126.177.150, 52.126.178.37, 52.126.178.44, 52.126.178.56, 52.126.178.59, 52.126.178.68, 52.126.178.70, 52.126.178.97, 52.126.178.98, 52.126.178.93, 52.126.177.54, 52.126.178.94, 52.126.178.129, 52.126.178.130, 52.126.178.142, 52.126.178.144, 52.126.178.151, 52.126.178.172, 52.126.178.179, 52.126.178.182, 52.126.178.187, 52.126.178.189, 52.126.178.154, 52.127.34.97 |
Stati uniti orientali DoD | 52.127.161.3, 52.127.163.115, 52.127.163.124, 52.127.163.125, 52.127.163.130, 52.127.163.131, 52.127.163.152, 20.140.189.226, 20.140.191.106, 20.140.191.107, 20.140.191.128, 52.127.161.234, 52.245.216.185, 52.245.216.186, 52.245.216.187, 52.245.216.160, 52.245.216.161, 52.245.216.162, 52.245.216.163, 52.245.216.164, 52.245.216.165, 52.245.216.166, 52.245.216.167, 52.245.216.168, 20.140.191.129, 20.140.191.144, 20.140.191.170, 52.245.214.70, 52.245.214.164, 52.245.214.189, 52.127.50.128 |
USGov Arizona | 52.244.204.5, 52.244.204.137, 52.244.204.158, 52.244.204.184, 52.244.204.225, 52.244.205.3, 52.244.50.212, 52.244.55.231, 52.244.205.91, 52.244.205.238, 52.244.201.244, 52.244.201.250, 52.244.200.92, 52.244.206.12, 52.244.206.58, 52.244.206.69, 52.244.206.83, 52.244.207.78, 52.244.203.11, 52.244.203.159, 52.244.203.238, 52.244.200.31, 52.244.202.155, 52.244.206.225, 52.244.218.1, 52.244.218.34, 52.244.218.38, 52.244.218.47, 52.244.202.7, 52.244.203.6, 52.127.2.97 |
USGov Texas | 52.126.176.221, 52.126.177.43, 52.126.177.89, 52.126.177.90, 52.126.177.171, 52.126.177.233, 52.126.177.245, 52.126.177.150, 52.126.178.37, 52.126.178.44, 52.126.178.56, 52.126.178.59, 52.126.178.68, 52.126.178.70, 52.126.178.97, 52.126.178.98, 52.126.178.93, 52.126.177.54, 52.126.178.94, 52.126.178.129, 52.126.178.130, 52.126.178.142, 52.126.178.144, 52.126.178.151, 52.126.178.172, 52.126.178.179, 52.126.178.182, 52.126.178.187, 52.126.178.189, 52.126.178.154, 52.127.34.97 |
USGov Virginia | 52.127.161.3, 52.127.163.115, 52.127.163.124, 52.127.163.125, 52.127.163.130, 52.127.163.131, 52.127.163.152, 20.140.189.226, 20.140.191.106, 20.140.191.107, 20.140.191.128, 52.127.161.234, 52.245.216.185, 52.245.216.186, 52.245.216.187, 52.245.216.160, 52.245.216.161, 52.245.216.162, 52.245.216.163, 52.245.216.164, 52.245.216.165, 52.245.216.166, 52.245.216.167, 52.245.216.168, 20.140.191.129, 20.140.191.144, 20.140.191.170, 52.245.214.70, 52.245.214.164, 52.245.214.189, 52.127.50.128 |
Stati Uniti centro-occidentali | 23.101.115.123, 13.71.194.194, 13.78.151.73, 13.77.204.92, 13.78.144.31, 13.78.139.92, 13.77.206.206, 13.78.140.98, 13.78.145.207, 52.161.88.172, 13.77.200.169 |
Europa occidentale | 213.199.136.176, 51.124.88.159, 20.50.253.190, 20.50.254.255, 52.143.5.71, 20.50.255.137, 20.50.255.176, 52.143.5.148, 20.50.255.211, 20.54.216.1, 20.54.216.113, 20.54.216.236, 20.54.216.244, 20.54.217.89, 20.54.217.102, 20.54.217.162, 20.50.255.109, 20.54.217.184, 20.54.217.197, 20.54.218.36, 20.54.218.66, 51.124.139.38, 20.54.218.71, 20.54.218.104, 52.143.0.117, 20.54.218.240, 20.54.219.47, 20.54.219.75, 20.76.10.82, 20.76.10.95, 20.76.10.139, 20.50.2.13 |
India occidentale | 52.163.244.128 |
Stati Uniti occidentali | 13.88.13.50, 40.80.156.205, 40.80.152.218, 104.42.156.123, 104.42.216.21, 40.78.63.47, 40.80.156.103, 40.78.62.97, 40.80.153.6 |
West US 2 | 52.183.35.124, 40.64.73.23, 40.64.73.121, 40.64.75.111, 40.64.75.125, 40.64.75.227, 40.64.76.236, 40.64.76.240, 40.64.76.242, 40.64.77.87, 40.64.77.111, 40.64.77.122, 40.64.77.131, 40.91.83.189, 52.250.74.132, 52.250.76.69, 52.250.76.130, 52.250.76.137, 52.250.76.145, 52.250.76.146, 52.250.76.153, 52.250.76.177, 52.250.76.180, 52.250.76.191, 52.250.76.192, 40.64.77.143, 40.64.77.159, 40.64.77.195, 20.64.184.243, 20.64.184.249, 20.64.185.9, 20.42.128.97 |
Configurazione di ExpressRoute
Usare ExpressRoute per connettersi alla rete locale all'Rete virtuale di Azure. Una configurazione comune consiste nel annunciare la route predefinita (0.0.0.0/0) tramite la sessione BGP (Border Gateway Protocol). In questo modo il traffico che esce dal Rete virtuale deve essere inoltrato alla rete locale del cliente che può eliminare il traffico, causando l'interruzione dei flussi in uscita. Per superare questo valore predefinito, è possibile configurare la route definita dall'utente (UDR) ( 0.0.0/0) e l'hop successivo sarà Internet. Poiché l'UDR ha la precedenza su BGP, il traffico verrà destinato a Internet.
Protezione del traffico in uscita con un firewall
Se si vuole proteggere il traffico in uscita usando Firewall di Azure o qualsiasi appliance virtuale per limitare i nomi di dominio, è necessario consentire nel firewall i seguenti nomi di dominio completi.
prod.warmpath.msftcloudes.com:443
gcs.prod.monitoring.core.windows.net:443
production.diagnostics.monitoring.core.windows.net:443
graph.windows.net:443
graph.microsoft.com:443
*.login.microsoft.com :443
*.update.microsoft.com:443
login.live.com:443
wdcp.microsoft.com:443
login.microsoftonline.com:443
azureprofilerfrontdoor.cloudapp.net:443
*.core.windows.net:443
*.servicebus.windows.net:443,5671
shoebox2.metrics.nsatc.net:443
prod-dsts.dsts.core.windows.net:443
*.vault.azure.net
ocsp.msocsp.com:80
*.windowsupdate.com:80
ocsp.digicert.com:80
go.microsoft.com:80
dmd.metaservices.microsoft.com:80
www.msftconnecttest.com:80
crl.microsoft.com:80
www.microsoft.com:80
adl.windows.com:80
crl3.digicert.com:80
Nota
Per limitare l'accesso per le dipendenze con un carattere jolly (*), usare l'API descritta in Come individuare automaticamente le dipendenze.
Se si usa Firewall di Azure, aggiungere regola di rete con le proprietà seguenti:
Protocollo: tipo di origine TCP: origine indirizzo IP: * Tag del servizio: Porte di destinazione AzureMonitor: 443
Configurare la tabella di route
È necessario configurare la tabella di route della subnet del cluster con hop successivo Internet per evitare problemi di route asimmetriche.
Configurare la tabella di route usando la delega della subnet
È consigliabile usare la delega della subnet per configurare la tabella di route per la distribuzione del cluster, analogamente a come è stata eseguita per le regole del gruppo di sicurezza di rete. Abilitando la delega della subnet nella subnet del cluster, è possibile abilitare il servizio per configurare e aggiornare la tabella di route.
Configurare manualmente la tabella di route
In alternativa, è possibile configurare manualmente la tabella di route. Per impostazione predefinita, la distribuzione di un cluster in una rete virtuale applica la delega della subnet per "Microsoft.Kusto/clusters" da configurare. Il rifiuto esplicito di questo requisito è possibile usando il riquadro Funzionalità di anteprima .
Avviso
La configurazione manuale della tabella di route per il cluster non è semplice e richiede di monitorare costantemente questo articolo per le modifiche. È consigliabile usare la delega di subnet per il cluster o, se si preferisce, considerare l'uso di una soluzione basata su endpoint privato .
Per configurare manualmente la tabella di route , è necessario definirla nella subnet. È necessario aggiungere gli indirizzi di gestione e monitoraggio dell'integrità con hop successivo Internet.
Ad esempio, per l'area Stati Uniti occidentali , è necessario definire le procedure definite dall'utente seguenti:
Nome | Prefisso indirizzo | Hop successivo |
---|---|---|
ADX_Management | 13.64.38.225/32 | Internet |
ADX_Monitoring | 23.99.5.162/32 | Internet |
ADX_Monitoring_1 | 40.80.156.205/32 | Internet |
ADX_Monitoring_2 | 40.80.152.218/32 | Internet |
ADX_Monitoring_3 | 104.42.156.123/32 | Internet |
ADX_Monitoring_4 | 104.42.216.21/32 | Internet |
ADX_Monitoring_5 | 40.78.63.47/32 | Internet |
ADX_Monitoring_6 | 40.80.156.103/32 | Internet |
ADX_Monitoring_7 | 40.78.62.97/32 | Internet |
ADX_Monitoring_8 | 40.80.153.6/32 | Internet |
Come individuare automaticamente le dipendenze
Azure Esplora dati fornisce un'API che consente ai clienti di individuare tutte le dipendenze in uscita esterne (FQDN) a livello di codice. Queste dipendenze in uscita consentiranno ai clienti di configurare un firewall alla fine per consentire il traffico di gestione tramite i FQDN dipendenti. I clienti possono avere queste appliance firewall in Azure o in locale. Quest'ultimo potrebbe causare una latenza aggiuntiva e potrebbe influire sulle prestazioni del servizio. I team di servizio dovranno testare questo scenario per valutare l'impatto sulle prestazioni del servizio.
ArmClient viene usato per illustrare l'API REST usando PowerShell.
Accedere con ARMClient
armclient login
Richiamare l'operazione di diagnostica
$subscriptionId = '<subscription id>' $clusterName = '<name of cluster>' $resourceGroupName = '<resource group name>' $apiversion = '2021-01-01' armclient get /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/OutboundNetworkDependenciesEndpoints?api-version=$apiversion
Controllare la risposta
{ "value": [ ... { "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Kusto/Clusters/<clusterName>/OutboundNetworkDependenciesEndpoints/AzureActiveDirectory", "name": "<clusterName>/AzureActiveDirectory", "type": "Microsoft.Kusto/Clusters/OutboundNetworkDependenciesEndpoints", "etag": "\"\"", "location": "<AzureRegion>", "properties": { "category": "Azure Active Directory", "endpoints": [ { "domainName": "login.microsoftonline.com", "endpointDetails": [ { "port": 443 } ] }, { "domainName": "graph.windows.net", "endpointDetails": [ { "port": 443 } ] } ], "provisioningState": "Succeeded" } }, { "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Kusto/Clusters/<clusterName>/OutboundNetworkDependenciesEndpoints/InternalTracing", "name": "<clustername>/InternalTracing", "type": "Microsoft.Kusto/Clusters/OutboundNetworkDependenciesEndpoints", "location": "Australia Central", "properties": { "category": "Internal Tracing", "endpoints": [ { "domainName": "ingest-<internalTracingCluster>.<region>.kusto.windows.net", "endpointDetails": [ { "port": 443, "ipAddress": "25.24.23.22" } ] } ], "provisioningState": "Succeeded" } } ... ] }
Le dipendenze in uscita coprono categorie come MICROSOFT ENTRA ID, Monitoraggio di Azure, Autorità di certificazione, Archiviazione di Azure e Traccia interna. In ogni categoria è disponibile un elenco di nomi di dominio e porte necessari per eseguire il servizio. Possono essere usati per configurare a livello di codice l'appliance del firewall preferita.
Distribuire il cluster di Azure Esplora dati nella rete virtuale usando un modello di Resource Manager di Azure
Per distribuire il cluster di Azure Esplora dati nella rete virtuale, usare il modello Distribuire il cluster di Azure Esplora dati nella rete virtuale di Azure Resource Manager.
Questo modello crea il cluster, la rete virtuale, la subnet, il gruppo di sicurezza di rete e gli indirizzi IP pubblici.
Limitazioni note
- Le risorse di rete virtuale con cluster distribuiti non supportano il passaggio a un nuovo gruppo di risorse o a un'operazione di sottoscrizione .
- Le risorse dell'indirizzo IP pubblico usate per il motore del cluster o il servizio di gestione dei dati non supportano lo spostamento in un nuovo gruppo di risorse o operazione di sottoscrizione.
- Non è possibile usare il prefisso DNS "privato" della rete virtuale inserita in Azure Esplora dati cluster come parte della query
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per