Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I takt med att organisationer i allt högre grad inför molntjänster blir det av största vikt att säkerställa säker och effektiv åtkomst till dessa resurser. FinOps-hubbar erbjuder flexibla alternativ för att stödja offentlig eller privat åtkomst till datanätverk, beroende på dina behov. Den här guiden förklarar hur varje alternativ för dataåtkomst fungerar och hur du konfigurerar privata nätverk för säker åtkomst till data i FinOps-hubbar.
Så här fungerar offentlig åtkomst
Offentlig åtkomst i FinOps-hubbar har följande egenskaper:
- Åtkomsten styrs via rollbaserad åtkomstkontroll (RBAC) och kommunikation krypterad via TLS (Transport Layer Security).
- Lagring är tillgänglig via offentliga IP-adresser (brandväggen är inställd på offentlig).
- Datautforskaren (om den distribueras) är tillgänglig via offentliga IP-adresser (brandväggen är inställd på offentlig).
- Key Vault är tillgängligt via offentliga IP-adresser (brandväggen är inställd på offentlig).
- Azure Data Factory är konfigurerat för att använda den offentliga integrationskörningen.
Så här fungerar privat åtkomst
Privat åtkomst är ett säkrare alternativ som placerar FinOps Hubs-resurser i ett isolerat nätverk och begränsar åtkomsten via privata nätverk:
- Offentlig nätverksåtkomst är inaktiverad som standard.
- Lagring är tillgänglig via privat IP-adress och betrodda Azure-tjänster – brandväggen är inställd på standard neka med förbikoppling för tjänster i betrodd lista.
- DataUtforskaren (om den distribueras) är tillgänglig via privat IP-adress – brandväggen är inställd på standardnekande utan undantag.
- Nyckelvalvet är tillgängligt via privat IP-adress och betrodda Azure-tjänster – brandväggen är inställd på standard neka med förbikoppling för tjänster i betrodd lista.
- Azure Data Factory är konfigurerat för att använda den offentliga integrationskörningen, vilket bidrar till att minska kostnaderna.
- Ett virtuellt nätverk distribueras för att säkerställa att kommunikationen mellan alla komponenter under distributionen och vid körning förblir privat.
Observera att privata nätverk medför extra kostnader för nätverksresurser, anslutningar och dedikerad beräkning i Azure Data Factory. En detaljerad kostnadsuppskattning finns i priskalkylatorn för Azure.
Jämföra alternativ för nätverksåtkomst
I följande tabell jämförs alternativen för nätverksåtkomst som är tillgängliga i FinOps-hubbar:
| Komponent | Offentlig | Privat | Fördel |
|---|---|---|---|
| Lagring | Tillgänglig via Internet¹ | Åtkomsten är begränsad till FinOps Hub-nätverket, peer-kopplade nätverk (till exempel företags-vNet) och betrodda Azure-tjänster | Data är endast tillgängliga när de är på jobbet eller på företagets VPN |
| Azure Data Explorer (Azure datautforskare) | Tillgänglig via Internet¹ | Åtkomsten är begränsad till FinOps Hub-nätverket, peer-kopplade nätverk (till exempel företags-vNet) och betrodda Azure-tjänster | Data är endast tillgängliga när de är på jobbet eller på företagets VPN |
| Nyckelvalv | Tillgänglig via Internet¹ | Åtkomsten är begränsad till FinOps Hub-nätverket, peer-kopplade nätverk (till exempel företags-vNet) och betrodda Azure-tjänster | Nycklar och hemligheter är aldrig tillgängliga via det öppna Internet |
| Azure Data Factory | Använder offentlig beräkningspool | Hanterad integrationskörning i ett privat nätverk med Data Explorer, lagring och nyckelvalv | All databehandling sker i nätverket |
| Virtuellt nätverk | Används inte | FinOps-hubbtrafik sker i ett isolerat virtuellt nätverk | Allt förblir privat; perfekt för reglerade miljöer |
¹ Även om resurser är tillgängliga via Internet skyddas åtkomsten fortfarande av rollbaserad åtkomstkontroll (RBAC).
Aktivera privata nätverk
Om du vill aktivera privata nätverk när du distribuerar en ny eller uppdaterar en befintlig FinOps-hubbinstans anger du Access till Privat på fliken Avancerat.
Innan du aktiverar privat åtkomst kan du läsa nätverksinformationen på den här sidan för att förstå den extra konfiguration som krävs för att ansluta till din hubbinstans. När den är aktiverad är din FinOps-hubbinstans otillgänglig tills nätverksåtkomst har konfigurerats utanför FinOps Hub-instansen. Vi rekommenderar att du delar detta med nätverksadministratörerna för att se till att IP-intervallet uppfyller nätverksstandarderna och att de förstår hur du ansluter din hubbinstans till det befintliga nätverket.
Det virtuella finOps-hubbnätverket
När privat åtkomst har valts innehåller din FinOps-hubbinstans ett virtuellt nätverk för att säkerställa att kommunikationen mellan dess olika komponenter förblir privat.
- Det virtuella nätverket ska vara en /26 (64 IP-adresser) i storlek. Den här inställningen aktiverar de minsta nödvändiga undernätsstorlekarna för Container Services (används under distributioner för skript som körs) och DataUtforskaren.
- IP-intervallet kan anges vid tidpunkten för distributionen och standardvärdet är 10.20.30.0/26.
Om det behövs kan du skapa det virtuella nätverket, undernäten och eventuellt peer-koppla det till ditt hubbnätverk innan du distribuerar FinOps-hubbar om du följer dessa krav:
- Det virtuella nätverket ska vara en /26 (64 IP-adresser i storlek).
- Namnet ska vara
<HubName>-vNet. - Det virtuella nätverket måste vara uppdelat i tre undernät med tjänstdelegeringarna enligt beskrivningen:
- private-endpoint-subnet (/28) – inga tjänstdelegeringar har konfigurerats. är värd för privata slutpunkter för lagring och nyckelvalv.
- script-subnet (/28) – delegerad till containertjänster för att köra skript under distributionen.
- dataExplorer-subnet (/27) – delegerad till Azure Data Explorer.
Privata slutpunkter och DNS
Kommunikationen mellan de olika FinOps-hubbkomponenterna krypteras med hjälp av TLS. För att TLS-certifikatverifieringen ska lyckas när du använder privata nätverk krävs tillförlitlig DNS-namnmatchning (Domain Name System). DNS-zoner, privata slutpunkter och DNS-poster garanterar namnmatchning mellan FinOps Hub-komponenter.
- privatelink.blob.core.windows.net – för DataUtforskaren och lagring som används av distributionsskript
- privatelink.dfs.core.windows.net – för Data Explorer och datasjön som är värd för FinOps-data- och pipelinekonfigurationen
- privatelink.table.core.windows.net – för Data Explorer
- privatelink.queue.core.windows.net – för Data Explorer
- privatelink.vaultcore.azure.net – för Azure Key Vault
- privatelink.{location}.kusto.windows.net – för Datautforskaren
Viktig
Det rekommenderas inte att ändra DNS-konfigurationen för det virtuella FinOps-hubbnätverket. FinOps Hub-komponenter kräver tillförlitlig namnmatchning för att distributioner och uppgraderingar ska lyckas. Data Factory-pipelines kräver också tillförlitlig namnmatchning mellan komponenter.
Nätverkspeering, routning och namnmatchning
När privat åtkomst har valts distribueras FinOps Hub-instansen till ett isolerat talförgreningsnätverk. Det finns flera alternativ för att aktivera privat anslutning till det virtuella FinOps Hub-nätverket, inklusive:
- Att koppla FinOps-hubbenätverket till ett annat Azure vNet.
- Ansluta FinOps hub-nätverket med en Azure vWAN-hubb.
- Utöka FinOps-hubbens nätverksadressutrymme och distribuera en VPN-gateway.
- Utöka FinOps-hubbens nätverksadressutrymme och distribuera en Power BI-datagateway.
- Genom att låta företagets brandvägg och VPN-IP-intervall få åtkomst över det offentliga Internet genom lagrings- och Data Explorer-brandväggarna.
Om du vill komma åt FinOps-hubbdata från ett befintligt virtuellt nätverk konfigurerar du A- poster i ditt befintliga virtuella nätverk för att få åtkomst till lagring eller Datautforskaren. CNAME poster kan också krävas beroende på din DNS-lösning.
| Krävs | Namn | Beskrivning |
|---|---|---|
| Krävs | < >storage_account_name.privatelink.dfs.core.windows.net | En post för åtkomst till lagring |
| valfritt | < >storage_account_name.dfs.core.windows.net | CNAME till lagrings-A-posten |
| Krävs | < >data_explorer_name.privatelink.<>azure_location.kusto.windows.net | En datapost för att komma åt Data Explorer |
| valfritt | < >data_explorer_name.<>azure_location.kusto.windows.net | CNAME till Data Explorer A-record |
Viktig
När du använder privata slutpunkter tillsammans med en Power BI-datagateway ska du använda det fullständigt kvalificerade domännamnet (FQDN) för Azure Data Explorer-klustret (t.ex clustername.region.kusto.windows.net. ) i stället för den förkortade versionen (till exempel clustername.region). Detta säkerställer korrekt namnupplösning för funktionerna för privata slutpunkter som förväntat.
Exempel på nätverkspeering
I det här exemplet:
- Det virtuella FinOps Hub-nätverket är peerkopplat till en nätverkshubb.
- Azure-brandväggen fungerar som kärnan i routern.
- DNS-poster för lagring och Datautforskaren läggs till i Azure DNS Resolver för att säkerställa tillförlitlig namnmatchning.
- En routningstabell är ansluten till undernätet för nätverksgatewayen för att säkerställa att trafik från den lokala miljön kan dirigeras till det peerkopplade virtuella nätverket.
Den här nätverkstopologin följer riktlinjerna för Hub-Spoke nätverksarkitektur som beskrivs i Cloud Adoption Framework för Azure och Azure Architecture Center.
Lämna feedback
Låt oss veta hur det går med en snabb granskning. Vi använder dessa granskningar för att förbättra och utöka FinOps-verktyg och -resurser.
Om du letar efter något specifikt kan du rösta på en befintlig eller skapa en ny idé. Dela idéer med andra för att få fler röster. Vi fokuserar på idéer med flest röster.