Azure Data Explorer 的私人端點
您可以使用叢集的私人端點,允許虛擬網路上的用戶端透過私人連結安全地存取數據。 私人端點會使用虛擬網路位址空間中的私人IP位址,私下將您連線到叢集。 虛擬網路和叢集上的用戶端之間的網路流量、透過虛擬網路周遊,以及Microsoft骨幹網路上的私人連結,消除公用因特網的暴露。
使用叢集的私人端點可讓您:
- 藉由設定防火牆來封鎖叢集公用端點上的所有連線,以保護您的叢集。
- 藉由讓您封鎖從虛擬網路外流數據,來增加虛擬網路的安全性。
- 使用 VPN 閘道或具有私人對等互連的 ExpressRoutes,從連線到虛擬網路的內部部署網路安全地連線到叢集。
概觀
私人端點是虛擬網路中 Azure 服務的特殊網路介面,會從虛擬網路的 IP 位址範圍指派 IP 位址。 當您建立叢集的私人端點時,它會提供虛擬網路上用戶端與叢集之間的安全連線。 私人端點與叢集之間的聯機會使用安全的私人連結。
虛擬網路中的應用程式可以透過私人端點順暢地連線到叢集。 連接字串 和授權機制與您用來連線至公用端點的相同。
當您在虛擬網路中建立叢集的私人端點時,會將同意要求傳送給叢集擁有者。 如果要求建立私人端點的使用者也是叢集的擁有者,則會自動核准要求。 叢集擁有者可以在 Azure 入口網站 的 [私人端點] 下管理叢集的同意要求和私人端點。
您可以設定叢集防火牆,以預設拒絕透過其公用端點的存取,來保護叢集只接受來自虛擬網路的連線。 您不需要防火牆規則來允許來自具有私人端點之虛擬網路的流量,因為叢集防火牆只會控制公用端點的存取權。 相反地,私人端點會依賴同意流程來授與子網對叢集的存取權。
規劃虛擬網路中的子網大小
部署子網之後,就無法變更用來裝載叢集私人端點的子網大小。 私人端點會取用虛擬網路中的多個IP位址。 在極端情況下,例如高端擷取,私人端點取用的IP位址數目可能會增加。 此增加是因為暫存帳戶需要作為暫存帳戶來擷取到叢集的暫時性記憶體帳戶數目增加所造成。 如果您的環境與案例相關,您必須在判斷子網的大小時規劃它。
使用下列資訊可協助您判斷私人端點所需的 IP 位址總數:
| 使用 | IP 位址數目 |
|---|---|
| 引擎服務 | 1 |
| 數據管理服務 | 1 |
| 暫時性記憶體帳戶 | 6 |
| Azure 保留位址 | 5 |
| 總數 | 13 |
注意
子網的絕對最小大小必須是 /28 (14 個可用IP位址)。 如果您打算為極端擷取工作負載建立 Azure 數據總管叢集,請使用 /24 netmask 在安全端。
如果您建立的子網太小,則可以將其刪除,並建立具有較大位址範圍的新子網。 重新建立子網之後,您可以為叢集建立新的私人端點。
連線到私人端點
使用私人端點之虛擬網路上的用戶端應該使用與連線至公用端點的用戶端相同的叢集 連接字串。 DNS 解析會自動透過私人連結,將虛擬網路的連線路由傳送至叢集。
重要
使用相同的連接字串以透過私人端點連線至叢集,就像您使用來連線至公用端點一樣。 請勿連線至使用其私人連結子網域 URL 的叢集。
根據預設,Azure 數據總管會 建立連結至虛擬網路的私人 DNS 區域 ,其中包含私人端點的必要更新。 不過,如果您使用的是自己的 DNS 伺服器,則可能需要對 DNS 設定進行更多變更。
重要
為了獲得最佳設定,建議您將部署與大規模 雲端採用架構 私人端點和 DNS 設定中的建議一致。 使用本文中的資訊,使用 Azure 原則將建立 私用 DNS 項目自動化,讓您更輕鬆地在調整規模時管理部署。
Azure 數據總管會在私人端點部署中建立多個客戶可見的 FQDN。 除了 查詢 和 擷取 FQDN 之外,還隨附數個 Blob/數據表/佇列端點的 FQDN(擷取案例所需的)
停用公用存取
若要提高安全性,您也可以停用 Azure 入口網站 中叢集的公用存取。
![網路頁面的螢幕快照,其中顯示 [停用公用存取] 選項。](media/security-network-private-endpoint/pe-disable-public-access.png)
受控私人端點
您可以使用受控私人端點,讓叢集能夠透過其私人端點安全地存取您的擷取或查詢相關服務。 這可讓 Azure 資料總管叢集透過私人 IP 位址存取您的資源。
支援的服務
Azure 數據總管支援建立下列服務的受控私人端點:
限制
虛擬網路插入的 Azure 資料總管叢集不支援私人端點。
對成本的影響
私人端點或受控私人端點是會產生額外成本的資源。 成本會根據選取的解決方案架構而有所不同。 如需詳細資訊,請參閱 Azure Private Link 定價。