Integrering av virtuella nätverk för Azure Data Lake Storage Gen1

Den här artikeln introducerar integrering av virtuella nätverk för Azure Data Lake Storage Gen1. Med integrering av virtuella nätverk kan du konfigurera dina konton för att endast acceptera trafik från specifika virtuella nätverk och undernät.

Den här funktionen hjälper till att skydda ditt Data Lake Storage-konto från externa hot.

Integrering av virtuella nätverk för Data Lake Storage Gen1 använder tjänstens slutpunktssäkerhet för virtuella nätverk mellan ditt virtuella nätverk och Microsoft Entra ID för att generera ytterligare säkerhetsanspråk i åtkomsttoken. Dessa anspråk används sedan för att autentisera ditt virtuella nätverk till ditt Data Lake Storage Gen1-konto och tillåta åtkomst.

Anteckning

Det finns ingen extra kostnad med att använda dessa funktioner. Kontot faktureras enligt standardavgifterna för Data Lake Storage Gen1. Mer information finns i priser. Information om alla andra Azure-tjänster som du använder finns i prissättning.

Scenarier för integrering av virtuella nätverk för Data Lake Storage Gen1

Med integrering av virtuella nätverk för Data Lake Storage Gen1 kan du begränsa åtkomsten till ditt Data Lake Storage Gen1-konto från specifika virtuella nätverk och undernät. När ditt konto är låst till de angivna virtuella nätverkets undernät tillåts inte åtkomst för andra virtuella nätverk/virtuella datorer i Azure. Funktionellt möjliggör integrering av virtuella nätverk med Data Lake Storage Gen1 samma scenario som tjänstslutpunkter för virtuellt nätverk. Det finns några viktiga skillnader som beskrivs i följande avsnitt.

Anteckning

De befintliga IP-brandväggsreglerna kan användas utöver regler för virtuellt nätverk för att även tillåta åtkomst från lokala nätverk.

Optimal routning med integrering av virtuella nätverk med Data Lake Storage Gen1

En viktig fördel med tjänstslutpunkter för virtuellt nätverk är optimal routning från ditt virtuella nätverk. Du kan utföra samma vägoptimering till Data Lake Storage Gen1-konton. Använd följande användardefinierade vägar från ditt virtuella nätverk till ditt Data Lake Storage Gen1-konto.

Offentlig IP-adress för Data Lake Storage – Använd den offentliga IP-adressen för dina Data Lake Storage Gen1-målkonton. För att identifiera IP-adresserna för ditt Data Lake Storage Gen1-konto löser du DNS-namnen för dina konton. Skapa en separat post för varje adress.

# Create a route table for your resource group.
az network route-table create --resource-group $RgName --name $RouteTableName

# Create route table rules for Data Lake Storage public IP addresses.
# There's one rule per Data Lake Storage public IP address. 
az network route-table route create --name toADLSregion1 --resource-group $RgName --route-table-name $RouteTableName --address-prefix <ADLS Public IP Address> --next-hop-type Internet

# Update the virtual network, and apply the newly created route table to it.
az network vnet subnet update --vnet-name $VnetName --name $SubnetName --resource-group $RgName --route-table $RouteTableName

Dataexfiltrering från kundens virtuella nätverk

Utöver att skydda Data Lake Storage-konton för åtkomst från det virtuella nätverket är du kanske även intresserad av att se till att det inte finns någon exfiltrering till ett obehörigt konto.

Använd en brandväggslösning i det virtuella nätverket för att filtrera utgående trafik baserat på målkontots URL. Tillåt åtkomst endast till godkända Data Lake Storage Gen1-konton.

Några tillgängliga alternativ är:

• Azure Firewall: Distribuera och konfigurera en Azure-brandvägg för det virtuella nätverket. Skydda den utgående Data Lake Storage-trafiken och låsa den till den kända och godkända konto-URL:en.
• Brandvägg för virtuell nätverksinstallation: Administratören kan tillåta att endast vissa kommersiella brandväggsleverantörer används. Använd en brandväggslösning för virtuell nätverksinstallation som är tillgänglig på Azure Marketplace för att utföra samma funktion.

Anteckning

Användning av brandväggar i datasökvägen introducerar ytterligare ett hopp i datasökvägen. Det kan påverka nätverkets prestanda för slutpunkt till slutpunkt-datautbyte. Dataflödestillgänglighet och anslutningens svarstid kan påverkas.

Begränsningar

• HDInsight-kluster som skapades innan det fanns stöd för integrering av virtuella nätverk med Data Lake Storage Gen1 måste återskapas för att ge stöd för den här nya funktionen.

• När du skapar ett nytt HDInsight-kluster och väljer ett Data Lake Storage Gen1-konto med integrering av virtuella nätverk aktiverat misslyckas processen. Inaktivera först regeln för virtuellt nätverk. Eller så kan du på bladet Brandvägg och virtuella nätverk i Data Lake Storage-kontot välja Tillåt åtkomst från alla nätverk och tjänster. Skapa därefter HDInsight-klustret innan du slutligen återaktiverar regeln för virtuellt nätverk eller avmarkerar Allow access from all networks and services (Tillåt åtkomst från alla nätverk och tjänster). Mer information finns i avsnittet Undantag.

• Integrering av virtuella nätverk med Data Lake Storage Gen1 fungerar inte med hanterade identiteter för Azure-resurser.

• Fil- och mappdata i ditt Data Lake Storage Gen1-konto med virtuellt nätverk aktiverat är inte tillgängliga från portalen. Den här begränsningen omfattar åtkomst från en virtuell dator som finns i det virtuella nätverket och aktiviteter som att använda Datautforskaren. Kontohanteringsaktiviteter fortsätter att fungera. Fil- och mappdata i ditt Data Lake Storage-konto med virtuellt nätverk aktiverat är tillgängliga via alla icke-portalresurser. Dessa resurser inkluderar SDK-åtkomst, PowerShell-skript och andra Azure-tjänster när de inte kommer från portalen.

Konfiguration

Steg 1: Konfigurera ditt virtuella nätverk så att det använder en Microsoft Entra tjänstslutpunkt

1. Gå till Azure-portalen och logga in på ditt konto.

2. Skapa ett nytt virtuellt nätverk i din prenumeration. Eller så går du till ett befintligt virtuellt nätverk. Det virtuella nätverket måste finnas i samma region som Data Lake Storage Gen1-kontot.

3. På bladet Virtuellt nätverk väljer du Tjänstslutpunkter.

4. Välj Lägg till för att lägga till en ny tjänstslutpunkt.

   

5. Välj Microsoft.AzureActiveDirectory som tjänst för slutpunkten.

   

6. Välj de undernät som du vill tillåta anslutningsmöjligheter för. Välj Lägg till.

   

7. Det kan ta upp till 15 minuter för tjänstslutpunkten att läggas till. När den har lagts till visas den i listan. Kontrollera att den visas och att all information är enligt konfigurationen.

   

Steg 2: Konfigurera det tillåtna virtuella nätverket eller undernätet för ditt Data Lake Storage Gen1-konto

1. När du har konfigurerat det virtuella nätverket skapar du ett nytt Azure Data Lake Storage Gen1-konto i din prenumeration. Eller så går du till ett befintligt Data Lake Storage Gen1-konto. Data Lake Storage Gen1-kontot måste finnas i samma region som det virtuella nätverket.

2. Välj Brandvägg och virtuella nätverk.

   Anteckning

   Om du inte ser Brandvägg och virtuella nätverk i inställningarna loggar du ut från portalen. Stäng webbläsaren och rensa webbläsarens cacheminne. Starta om datorn och försök igen.

   

3. Välj Valda nätverk.

4. Välj Lägg till befintligt virtuellt nätverk.

   

5. Välj de virtuella nätverk och undernät som du vill tillåtna för anslutningar. Välj Lägg till.

   

6. Se till att de virtuella nätverken och undernäten visas korrekt i listan. Välj Spara.

   

   Anteckning

   Det kan ta upp till 5 minuter innan inställningarna börjar gälla när du har sparat.

7. [Valfritt] På sidan Brandvägg och virtuella nätverk kan du i avsnittet Brandvägg tillåta anslutningar från specifika IP-adresser.

Undantag

Du kan aktivera anslutningar från Azure-tjänster och virtuella datorer utanför dina valda virtuella nätverk. På bladet Brandvägg och virtuella nätverk väljer du bland två val i området Undantag:

• Tillåt att alla Azure-tjänster får åtkomst till det här Data Lake Storage Gen1-kontot. Det här alternativet tillåter att Azure-tjänster som Azure Data Factory, Azure Event Hubs och alla virtuella Azure-datorer kommunicerar med ditt Data Lake Storage-konto.

• Ge Azure Data Lake Analytics åtkomst till detta Data Lake Storage Gen1-konto. Det här alternativet tillåter Data Lake Analytics-anslutning till det här Data Lake Storage-kontot.

  

Vi rekommenderar att du behåller de här undantagen avstängda. Aktivera dem bara om du behöver anslutning mellan dessa andra tjänster utifrån ditt virtuella nätverk.