Een beheerd privé-eindpunt maken voor Azure Data Explorer

Beheerde privé-eindpunten zijn vereist om verbinding te maken met Azure-resources die maximaal zijn beveiligd. Het zijn privéverbindingen in één richting waarmee Azure Data Explorer verbinding kan maken met andere beveiligde services. In dit artikel leert u hoe u een beheerd privé-eindpunt maakt en dit verbindt met uw gegevensbron.

Vereisten

• Een Azure-abonnement. Maak een gratis Azure-account.
• Een Azure Data Explorer-cluster dat niet is geïnjecteerd in een virtueel netwerk.
• Een Event Hub of een Azure Storage-blob in een abonnement dat is geregistreerd bij de resourceprovider Microsoft.Network. Zie Abonnement registreren bij resourceprovider voor meer informatie.

Een beheerd privé-eindpunt maken met behulp van de Azure Portal

U kunt een beheerd privé-eindpunt maken met behulp van de portal voor uw cluster om te gebruiken bij het openen van uw opslag.

1. Ga in de Azure-portal naar het cluster en selecteer Netwerken.

2. Selecteer Beheerde privé-eindpunten en selecteer vervolgens Toevoegen.

   

3. Vul in het deelvenster Nieuw beheerd privé-eindpunt de resourcegegevens in met de volgende gegevens en selecteer Volgende.

   

   Instelling	Voorgestelde waarde	Beschrijving van veld
   Naam	mpeToStorage	De naam van het beheerde privé-eindpunt
   Abonnement	Uw abonnement	Selecteer het Azure-abonnement dat u wilt gebruiken voor uw cluster
   Resourcetype	Microsoft.Storage/storageAccounts	Selecteer het relevante type resources dat u wilt gebruiken voor uw gegevensbron.
   Resourcenaam	delen	Kies het cluster dat moet worden gebruikt als doel voor het nieuwe Azure-privé-eindpunt
   Stel subresource in	blob	Selecteer het relevante doel voor uw gegevensbron.

4. Selecteer Maken om de resource voor het beheerde privé-eindpunt te maken.

Een beheerd privé-eindpunt maken met behulp van de REST API

Voor het maken van een beheerd privé-eindpunt is één API-aanroep naar de Kusto-resourceprovider vereist. U kunt een beheerd privé-eindpunt instellen voor de volgende resourcetypen:

• Microsoft.Storage/storageAccounts (subresource kan 'blob' of 'dfs' zijn)
• Microsoft.EventHub/naamruimten (subresource 'naamruimte')
• Microsoft.Devices/IoTHubs (subresource 'iotHub')
• Microsoft.KeyVault/vaults (subresource 'kluis')
• Microsoft.Sql/servers (subresource 'sqlServer')
• Microsoft.Kusto/clusters (subresource 'cluster')
• Microsoft.DigitalTwins/digitalTwinsInstance (subresource "digitaltwinsinstance")

In het volgende voorbeeld gebruikt u de ARMclient in PowerShell om een beheerd privé-eindpunt te maken met behulp van de REST API.

Notitie

Voor het verbinden met een opslagaccount van een dfs-resource is een extra beheerd privé-eindpunt voor de subresource 'blob' vereist.

Vereisten voor het gebruik van de REST API

1. Choco installeren

2. ARMClient installeren

   choco install armclient
   

3. Aanmelden met ARMClient

   armclient login
   

Een beheerd privé-eindpunt maken om te Azure Event Hubs

Gebruik de volgende REST API-aanroep om het beheerde privé-eindpunt in te schakelen voor een Event Hubs-service:

1. Voer de volgende opdracht uit om een beheerd privé-eindpunt te maken voor een Event Hubs-service:

   # Replace the <...> placeholders with the correct values
   armclient PUT /subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/clusters/<clusterName>/managedPrivateEndpoints/<newMpeName>?api-version=2022-02-01 @"
   {
       'properties': {
           'privateLinkResourceId':'/subscriptions/<subscriptionIdEventHub>/resourceGroups/<resourceGroupNameEventHub>/providers/Microsoft.EventHub/namespaces/<EventHubNamespace>',
           'groupId':'namespace',
           'requestMessage':'Please Approve.'
       }
   }
   "@
   

2. Controleer het antwoord.

   {
     "id": "/subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/Clusters/<clusterName>/ManagedPrivateEndpoints/<newMpeName>",
     "name": "<clusterName>/<newMpeName>",
     "type": "Microsoft.Kusto/Clusters/ManagedPrivateEndpoints",
     "location": "DummyLocation",
     "properties": {
       "privateLinkResourceId": "/subscriptions/<subscriptionIdEventHub>/resourceGroups/<resourceGroupNameEventHub>/providers/Microsoft.EventHub/namespaces/<EventHubNamespace>",
       "groupId": "namespace",
       "requestMessage": "Please Approve.",
       "provisioningState": "Creating"
     }
   }
   

Een beheerd privé-eindpunt maken voor een Azure Storage-account

Gebruik de volgende REST API-aanroep om het beheerde privé-eindpunt in te schakelen voor een Azure Storage-blob:

1. Voer de volgende opdracht uit om een beheerd privé-eindpunt te maken voor Event Hubs:

   #replace the <...> placeholders with the correct values
   armclient PUT /subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/clusters/<clusterName>/managedPrivateEndpoints/<newMpeName>?api-version=2022-02-01 @"
   {
       'properties': {
           'privateLinkResourceId':'/subscriptions/<subscriptionIdStorage>/resourceGroups/<resourceGroupNameStorage>/providers/Microsoft.Storage/storageAccounts/<storageAccountName>',
           'groupId':'blob',
           'requestMessage':'Please Approve.'
       }
   }
   "@
   

2. Controleer het antwoord.

   {
     "id": "/subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/Clusters/<clusterName>/ManagedPrivateEndpoints/<newMpeName>",
     "name": "<clusterName>/<newMpeName>",
     "type": "Microsoft.Kusto/Clusters/ManagedPrivateEndpoints",
     "location": "DummyLocation",
     "properties": {
       "privateLinkResourceId": "/subscriptions/<subscriptionIdStorage>/resourceGroups/<resourceGroupNameStorage>/providers/Microsoft.Storage/storageAccounts/<storageAccountName>",
       "groupId": "blob",
       "requestMessage": "Please Approve.",
       "provisioningState": "Creating"
     }
   }
   

Voortgang controleren

Gebruik de volgende opdracht om de voortgang van de migratie van het beheerde privé-eindpunt te controleren:

1. Voer de volgende opdracht uit:

   #replace the <...> placeholders with the correct values
   armclient GET /subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/clusters/<clusterName>/managedPrivateEndpoints/<newMpeName>?api-version=2022-02-01
   

2. Controleer het antwoord.

   {
     "id": "/subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/Clusters/<clusterName>/ManagedPrivateEndpoints/<newMpeName>",
     "name": "<clusterName>/<newMpeName>",
     "type": "Microsoft.Kusto/Clusters/ManagedPrivateEndpoints",
     "location": "DummyLocation",
     "properties": {
       "privateLinkResourceId": "/subscriptions/02de0e00-8c52-405c-9088-1342de78293d/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.<service>/<...>/<name>",
       "groupId": "<groupId>",
       "requestMessage": "Please Approve.",
       "provisioningState": "Succeeded"
     },
     "systemData": {
       "createdBy": "<UserName>",
       "createdByType": "User",
       "createdAt": "2022-02-05T08:29:54.2912851Z",
       "lastModifiedBy": "chrisqpublic@contoso.com",
       "lastModifiedByType": "User",
       "lastModifiedAt": "2022-02-05T08:29:54.2912851Z"
     }
   }
   

Het beheerde privé-eindpunt goedkeuren

Welke methode u ook hebt gebruikt om het beheerde privé-eindpunt te maken, u moet het maken ervan op de doelresource goedkeuren. In het volgende voorbeeld ziet u de goedkeuring van een beheerd privé-eindpunt voor een Event Hubs-service.

1. Navigeer in de Azure Portal naar uw Event Hubs-service en selecteer netwerken.

2. Selecteer Privé-eindpuntverbindingen, selecteer het beheerde privé-eindpunt dat u hebt gemaakt en selecteer vervolgens Goedkeuren.

   

3. Controleer in de kolom Verbindingsstatus of het beheerde privé-eindpunt is goedgekeurd.

   

Uw cluster kan nu verbinding maken met de resource met behulp van de beheerde privé-eindpuntverbinding.

Gerelateerde inhoud

• Problemen met privé-eindpunten in Azure Data Explorer oplossen