Доступ к Azure Data Lake Storage 1-го поколения с виртуальных машин в виртуальной сети Azure
Azure Data Lake Storage 1-го поколения — это служба PaaS, которая использует общедоступные IP-адреса в Интернете. Любой сервер с доступом к общедоступному Интернету, как правило, может подключаться к конечным точкам Azure Data Lake Storage 1-го поколения. По умолчанию все виртуальные машины, которые находятся в виртуальных сетях Azure, могут подключиться к Интернету, а значит и получить доступ к Azure Data Lake Storage 1-го поколения. Тем не менее для виртуальных машин в виртуальной сети можно настроить ограничение доступа к Интернету. Такие виртуальные машины также не смогут подключаться к Azure Data Lake Storage 1-го поколения. Блокировать доступ к общедоступному Интернету для виртуальных машин в виртуальных сетях Azure можно с помощью одного из следующих методов.
- Настройка групп безопасности сети (NSG).
- Настройка определяемых пользователем маршрутов (UDR).
- Обмен маршрутами через BGP (стандартный протокол динамической маршрутизации) при использовании подключения ExpressRoute, блокирующего доступ к Интернету.
В этой статье вы узнаете, как включить доступ к Azure Data Lake Storage 1-го поколения с виртуальных машин Azure, для которых был ограничен доступ к ресурсам, с помощью одного из трех перечисленных выше методов.
Настройка подключения к Azure Data Lake Storage 1-го поколения с виртуальных машин с ограниченным доступом
Чтобы обеспечить подключение к Azure Data Lake Storage 1-го поколения с таких виртуальных машин, для них необходимо настроить доступ к IP-адресу для региона, в котором доступна учетная запись Azure Data Lake Storage 1-го поколения. IP-адреса для регионов учетных записей Data Lake Storage 1-го поколения можно определить, разрешая DNS-имена учетных записей (<account>.azuredatalakestore.net). Для разрешения DNS-имен учетных записей можно использовать такой инструмент, как nslookup. Откройте окно командной строки на компьютере и выполните следующую команду.
nslookup mydatastore.azuredatalakestore.net
Результат будет выглядеть, как показано ниже. Значение свойства Address — это IP-адрес, связанный с учетной записью Data Lake Storage 1-го поколения.
Non-authoritative answer:
Name: 1434ceb1-3a4b-4bc0-9c69-a0823fd69bba-mydatastore.projectcabostore.net
Address: 104.44.88.112
Aliases: mydatastore.azuredatalakestore.net
Настройка подключения из виртуальных машин, ограниченных с помощью NSG
При использовании правила NSG для блокировки доступа к Интернету можно создать другую группу безопасности сети, обеспечивающую доступ к IP-адресу Azure Data Lake Storage 1-го поколения. Дополнительные сведения о правилах NSG см. в статье Безопасность сети. Инструкции по созданию NSG см. в статье Создание групп безопасности сети.
Настройка подключения из виртуальных машин, ограниченных с помощью UDR или ExpressRoute
При использовании маршрутов UDR или маршрутов, обмениваемых через BGP, для блокирования доступа к Интернету необходимо настроить специальный маршрут, с помощью которого виртуальные машины в таких подсетях смогут получать доступ к конечным точкам Data Lake Storage 1-го поколения. Дополнительные сведения см. в статье Маршрутизация трафика в виртуальной сети. Инструкции по созданию определяемых пользователем маршрутов см. в статье Создание определяемых пользователем маршрутов (UDR) в Resource Manager с помощью PowerShell.
Настройка подключения из виртуальных машин, ограниченных с помощью ExpressRoute
Если настроен канал ExpressRoute, локальные серверы могут получать доступ к Data Lake Storage 1-го поколения через общедоступный пиринг. Дополнительные сведения о настройке ExpressRoute для общедоступного пиринга см. в статье Вопросы и ответы по ExpressRoute.