Dela via


Privata slutpunkter för Azure Data Explorer

Du kan använda privata slutpunkter för klustret för att tillåta klienter i ett virtuellt nätverk att på ett säkert sätt komma åt data över en privat länk. Privata slutpunkter använder privata IP-adresser från ditt virtuella nätverksadressutrymme för att ansluta dig privat till klustret. Nätverkstrafik mellan klienter i det virtuella nätverket och klustret passerar över det virtuella nätverket och en privat länk i Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet.

Med privata slutpunkter för klustret kan du:

  • Skydda klustret genom att konfigurera brandväggen för att blockera alla anslutningar på den offentliga slutpunkten till klustret.
  • Öka säkerheten för det virtuella nätverket genom att blockera exfiltrering av data från det virtuella nätverket.
  • Anslut säkert till kluster från lokala nätverk som ansluter till det virtuella nätverket med hjälp av en VPN-gateway eller ExpressRoutes med privat peering.

Översikt

En privat slutpunkt är ett särskilt nätverksgränssnitt för en Azure-tjänst i ditt virtuella nätverk som har tilldelats IP-adresser från IP-adressintervallet för ditt virtuella nätverk. När du skapar en privat slutpunkt för klustret ger den säker anslutning mellan klienter i det virtuella nätverket och klustret. Anslutningen mellan den privata slutpunkten och klustret använder en säker privat länk.

Diagram som visar schemat för den privata slutpunktsarkitekturen.

Program i det virtuella nätverket kan smidigt ansluta till klustret över den privata slutpunkten. Anslutningssträngarna och auktoriseringsmekanismerna är desamma som du skulle använda för att ansluta till en offentlig slutpunkt.

När du skapar en privat slutpunkt för klustret i ditt virtuella nätverk skickas en begäran om medgivande för godkännande till klusterägaren. Om användaren som begär att den privata slutpunkten ska skapas också är ägare till klustret godkänns begäran automatiskt. Klusterägare kan hantera begäranden om medgivande och privata slutpunkter för klustret i Azure Portal under Privata slutpunkter.

Du kan skydda klustret så att det bara accepterar anslutningar från ditt virtuella nätverk genom att konfigurera klusterbrandväggen så att den nekar åtkomst via dess offentliga slutpunkt som standard. Du behöver ingen brandväggsregel för att tillåta trafik från ett virtuellt nätverk som har en privat slutpunkt eftersom klusterbrandväggen endast styr åtkomsten för den offentliga slutpunkten. Privata slutpunkter förlitar sig däremot på medgivandeflödet för att ge undernät åtkomst till klustret.

Planera storleken på undernätet i ditt virtuella nätverk

Storleken på det undernät som används som värd för en privat slutpunkt för ett kluster kan inte ändras när undernätet har distribuerats. Den privata slutpunkten använder flera IP-adresser i ditt virtuella nätverk. I extrema scenarier, till exempel avancerad inmatning, kan antalet IP-adresser som förbrukas av den privata slutpunkten öka. Den här ökningen orsakas av ett ökat antal tillfälliga lagringskonton som krävs som mellanlagringskonton för inmatning i klustret. Om scenariot är relevant i din miljö måste du planera för det när du fastställer storleken för undernätet.

Anteckning

De relevanta inmatningsscenarierna som skulle ansvara för att skala ut de tillfälliga lagringskontona är inmatning från en lokal fil och asynkron inmatning från en blob.

Använd följande information för att fastställa det totala antalet IP-adresser som krävs av din privata slutpunkt:

Användning Antal IP-adresser
Motortjänst 1
Datahanteringstjänst 1
Tillfälliga lagringskonton 6
Reserverade Azure-adresser 5
Totalt 13

Anteckning

Den absoluta minsta storleken för undernätet måste vara /28 (14 användbara IP-adresser). Om du planerar att skapa ett Azure Data Explorer-kluster för extrema inmatningsarbetsbelastningar är du på den säkra sidan med en /24-nätmask.

Om du har skapat ett undernät som är för litet kan du ta bort det och skapa ett nytt med ett större adressintervall. När du har återskapat undernätet kan du skapa en ny privat slutpunkt för klustret.

Ansluta till en privat slutpunkt

Klienter i ett virtuellt nätverk som använder en privat slutpunkt bör använda samma anslutningssträng för klustret som klienter som ansluter till en offentlig slutpunkt. DNS-matchning dirigerar automatiskt anslutningar från det virtuella nätverket till klustret via en privat länk.

Viktigt

Använd samma anslutningssträng för att ansluta till klustret med privata slutpunkter som du skulle använda för att ansluta till en offentlig slutpunkt. Anslut inte till klustret med dess underdomänwebbadress för privat länk.

Som standard skapar Azure Data Explorer en privat DNS-zon som är kopplad till det virtuella nätverket med nödvändiga uppdateringar för de privata slutpunkterna. Men om du använder din egen DNS-server kan du behöva göra fler ändringar i DNS-konfigurationen.

Viktigt

För optimal konfiguration rekommenderar vi att du justerar distributionen med rekommendationerna i artikeln Privat slutpunkt och DNS-konfiguration i Skala Cloud Adoption Framework. Använd informationen i artikeln för att automatisera Privat DNS skapande av post med hjälp av Azure-principer, vilket gör det enklare att hantera distributionen när du skalar.

Skärmbild av sidan DNS-konfiguration som visar DNS-konfigurationen för den privata slutpunkten.

Azure Data Explorer skapar flera kund synliga FQDN:er som en del av distributionen av den privata slutpunkten. Förutom frågan och inmatnings-FQDN levereras den med flera FQDN:er för blob/tabell/köslutpunkter (behövs för inmatningsscenarier)

Inaktivera offentlig åtkomst

Om du vill öka säkerheten kan du också inaktivera offentlig åtkomst till klustret i Azure Portal.

Skärmbild av nätverkssidan som visar alternativet inaktivera offentlig åtkomst.

Hanterade privata slutpunkter

Du kan använda en hanterad privat slutpunkt för att antingen göra det möjligt för klustret att på ett säkert sätt komma åt dina inmatnings- eller frågerelaterade tjänster via deras privata slutpunkt. På så sätt kan Azure Data Explorer-klustret komma åt dina resurser via en privat IP-adress.

Diagram som visar schemat för den hanterade privata slutpunktsarkitekturen.

Tjänster som stöds

Azure Data Explorer har stöd för att skapa hanterade privata slutpunkter till följande tjänster:

Begränsningar

Privata slutpunkter stöds inte för virtuella nätverk som matas in i Azure Data Explorer-kluster.

Konsekvenser för kostnader

Privata slutpunkter eller hanterade privata slutpunkter är resurser som medför ytterligare kostnader. Kostnaden varierar beroende på den valda lösningsarkitekturen. Mer information finns i Azure Private Link prissättning.