Azure Data Explorer的網路安全性
Azure Data Explorer叢集的設計目的是要使用公用 URL 來存取。 叢集上具有有效身分識別的任何人都可以從任何位置存取它。 身為組織,保護資料可能是您最高的優先順序工作。 因此,您可能想要限制和保護叢集的存取,或甚至只允許透過私人虛擬網路存取您的叢集。 您可以使用下列其中一個選項來達成此目標:
強烈建議您使用 私人端點 來保護叢集的網路存取。 此選項比 虛擬網路插入 有許多優點,可降低維護額外負荷,包括更簡單的部署程式,以及更強固的虛擬網路變更。
下一節說明如何使用私人端點和虛擬網路插入來保護叢集。
私人端點
私人端點是使用虛擬網路私人 IP 位址的網路介面。 此網路介面會以私人且安全的方式連線到由 Azure Private Link 提供電源的叢集。 透過啟用私人端點,您將服務帶入您的虛擬網路。
若要成功將叢集部署到私人端點,您只需要一組私人 IP 位址。
注意
插入虛擬網路的叢集不支援私人端點。
虛擬網路插入
重要
請考慮使用 Azure 私人端點型解決方案,以使用 Azure Data Explorer實作網路安全性。 它較不容易出錯,並提供 功能同位。
虛擬網路插入可讓您直接將叢集部署到虛擬網路。 叢集可以從虛擬網路內和透過 VPN 閘道或來自內部部署網路的 Azure ExpressRoute 進行私下存取。 將叢集插入虛擬網路可讓您管理其所有流量。 這包括存取叢集及其所有資料擷取或匯出的流量。 此外,您必須負責讓 Microsoft 存取叢集以進行管理和健康情況監視。
若要成功將叢集插入虛擬網路,您必須設定虛擬網路以符合下列需求:
- 您必須將子網委派給Microsoft.Kusto/clusters,才能啟用服務,並以網路意圖原則的形式定義部署的先決條件
- 子網必須經過妥善調整,才能支援叢集使用量的未來成長
- 管理叢集需要兩個公用 IP 位址,並確保其狀況良好
- 或者,如果您使用額外的防火牆設備來保護網路,您必須允許叢集連線到一組完整功能變數名稱, (FQDN) 連出流量
私人端點與虛擬網路插入
虛擬網路插入可能會導致高維護負荷,因為實作詳細資料,例如在防火牆中維護 FQDN 清單,或在受限制的環境中部署公用 IP 位址。 因此,建議您使用私人端點來連線到您的叢集。
下表說明如何根據插入虛擬網路的叢集,或使用私人端點來保護網路安全性相關功能來實作。
| 功能 | 私人端點 | 虛擬網路插入 |
|---|---|---|
| 輸入 IP 位址篩選 | 管理公用存取 | 建立輸入網路安全性群組規則 |
| 可轉移存取其他服務 (儲存體、事件中樞等 ) | 建立受控私人端點 | 建立資源的私人端點 |
| 限制輸出存取 | 使用 圖說文字原則或 AllowedFQDNList | 使用 虛擬裝置 來篩選子網的傳出流量 |
相關內容
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應