Azure Veri Gezgini için ağ güvenliği
Azure Veri Gezgini kümeleri genel URL'ler kullanılarak erişilebilir olacak şekilde tasarlanmıştır. Kümede geçerli kimliğe sahip herkes bu kimliğe herhangi bir konumdan erişebilir. Kuruluş olarak, verilerin güvenliğini sağlamak en yüksek öncelikli görevlerinizden biri olabilir. Bu nedenle, kümenize erişimi sınırlamak ve güvenli hale getirmek, hatta yalnızca özel sanal ağınız üzerinden kümenize erişime izin vermek isteyebilirsiniz. Bu hedefe ulaşmak için aşağıdaki seçeneklerden birini kullanabilirsiniz:
- Özel uç nokta (önerilen)
- Sanal ağ (VNet) ekleme
Kümenize ağ erişiminin güvenliğini sağlamak için özel uç noktaları kullanmanızı kesinlikle öneririz. Bu seçenek, daha basit bir dağıtım işlemi ve sanal ağ değişikliklerine karşı daha güçlü olmak dahil olmak üzere daha düşük bakım yüküne neden olan sanal ağ eklemeye göre birçok avantaja sahiptir.
Aşağıdaki bölümde özel uç noktaları ve sanal ağ eklemeyi kullanarak kümenizin güvenliğini sağlama açıklanmaktadır.
Özel uç nokta
Özel uç nokta, sanal ağınızdaki özel IP adreslerini kullanan bir ağ arabirimidir. Bu ağ arabirimi sizi Azure Özel Bağlantı tarafından desteklenen kümenize özel ve güvenli bir şekilde bağlar. Özel uç noktayı etkinleştirerek hizmeti sanal ağınıza getirmiş olursunuz.
Kümenizi özel uç noktaya başarıyla dağıtmak için yalnızca bir özel IP adresleri kümesine ihtiyacınız vardır.
Not
Özel uç noktalar, sanal ağa eklenen bir küme için desteklenmez.
Sanal ağ ekleme
Önemli
Azure Veri Gezgini ile ağ güvenliğini uygulamak için Azure Özel Uç Nokta tabanlı bir çözüm düşünün. Daha az hataya açıktır ve özellik eşliği sağlar.
Sanal ağ ekleme, kümenizi doğrudan bir sanal ağa dağıtmanızı sağlar. Kümeye sanal ağ içinden ve vpn ağ geçidi üzerinden veya şirket içi ağlardan Azure ExpressRoute üzerinden özel olarak erişilebilir. Bir kümeyi sanal ağa eklemek, tüm trafiğini yönetmenizi sağlar. Bu, kümeye erişim trafiğini ve tüm veri alımını veya dışarı aktarmalarını içerir. Ayrıca, Microsoft'un yönetim ve sistem durumu izleme için kümeye erişmesine izin vermek sizin sorumluluğundadır.
Kümenizi bir sanal ağa başarıyla eklemek için sanal ağınızı aşağıdaki gereksinimleri karşılayacak şekilde yapılandırmanız gerekir:
- Hizmeti etkinleştirmek ve dağıtım önkoşullarını ağ amacı ilkeleri biçiminde tanımlamak için alt ağı Microsoft.Kusto/clusters'a devretmeniz gerekir
- Küme kullanımının gelecekteki büyümesini desteklemek için alt ağın iyi ölçeklendirilmesi gerekir
- Kümeyi yönetmek ve iyi durumda olduğundan emin olmak için iki genel IP adresi gerekir
- İsteğe bağlı olarak, ağınızın güvenliğini sağlamak için ek bir güvenlik duvarı gereci kullanıyorsanız, kümenizin giden trafik için bir Tam Etki Alanı Adları (FQDN) kümesine bağlanmasına izin vermelisiniz
Özel uç nokta ile sanal ağ ekleme karşılaştırması
Sanal ağ ekleme, güvenlik duvarlarında FQDN listelerini koruma veya kısıtlanmış bir ortamda genel IP adresleri dağıtma gibi uygulama ayrıntılarının bir sonucu olarak yüksek bakım ek yüküne yol açabilir. Bu nedenle, kümenize bağlanmak için özel bir uç nokta kullanmanızı öneririz.
Aşağıdaki tabloda, ağ güvenliğiyle ilgili özelliklerin sanal ağa eklenen veya özel uç nokta kullanılarak güvenliği sağlanan bir kümeye göre nasıl uygulanabileceği gösterilmektedir.
| Özellik | Özel uç nokta | Sanal ağ ekleme |
|---|---|---|
| Gelen IP adresi filtreleme | Genel erişimi yönetme | Gelen Ağ Güvenlik Grubu kuralı oluşturma |
| Diğer hizmetlere geçişli erişim (Depolama, Event Hubs vb.) | Yönetilen özel uç nokta oluşturma | Kaynağa özel uç nokta oluşturma |
| Giden erişimi kısıtlama | Belirtme Çizgisi ilkelerini veya AllowedFQDNList'i kullanma | Alt ağın giden trafiği filtrelemek için sanal gereç kullanma |
İlgili içerik
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin